샤문

Shamoon
예수의 사도는 샤문사파를 보라. 배우에 대해서는 샤문 압바시를 보라.

샤문[a](페르시아어: شمعون), W32로도 알려져 있다.디스트트랙은 2012년에 발견된 모듈형 컴퓨터 바이러스로 당시 32비트 NT 커널 버전의 마이크로소프트 윈도를 목표로 하고 있다.[1] 이 바이러스는 공격의 파괴적인 성격과 회복 비용 때문에 눈에 띄었다. 샤문(Shamoon)은 감염된 기계에서 네트워크의 다른 컴퓨터로 퍼질 수 있다. 시스템이 감염되면 바이러스는 시스템의 특정 위치에서 파일 목록을 계속 컴파일하여 공격자에게 업로드하고 지운다. 마지막으로 바이러스는 감염된 컴퓨터의 마스터 부트 레코드를 덮어쓰게 하여 사용할 수 없게 만든다.[2][3]

이 바이러스는 사우디아라비아의 사우디아라비아 아람코와 카타르의 라스가스 등 국영 석유회사들을 상대로 사이버 워페어[4] 이용됐다.[5][2][6] '정의의 칼 자르기'라는 이름의 한 단체가 사우디 아람코 워크스테이션 3만 대에 대한 공격에 대한 책임을 주장하면서 회사는 일주일 넘게 그들의 서비스를 복구하는데 시간을 보냈다.[7] 이 단체는 후에 샤문 바이러스가 이번 공격에 사용되었음을 시사했다.[8] 라스가스의 컴퓨터 시스템도 정체불명의 컴퓨터 바이러스에 의해 오프라인으로 전환되었는데, 일부 보안 전문가들은 이 피해를 샤문 탓으로 돌렸다.[9] 그것은 나중에 "역사상 가장 큰 해킹"[3]으로 묘사되었다.

Symantec, Kaspersky Lab,[10] Seculert는 2012년 8월 16일에 악성코드를 발견했다고 발표했다.[2][11] 카스퍼스키 연구소와 세쿨러트는 샤문(Shamoon)과 Flame(불꽃) 악성코드의 유사점을 발견했다.[10][11] 샤먼은 2016년 11월,[12] 2017년 1월,[13] 2018년 12월 깜짝 컴백했다.[14]

디자인

Shamoon은 손상된 이미지로 하드 드라이브 데이터를 지우고 덮어쓰고 감염된 컴퓨터의 주소를 회사 네트워크 내의 컴퓨터에 다시 보고하도록 설계되었다.[15]악성코드는 8월 15일 수요일 오전 11시 8분에 마스터 부트 레코드와 데이터를 삭제하는 로직 폭탄을 가지고 있었다. 이번 공격은 2012년 라마단 기간 중 발생했다. 이번 공격은 대부분의 직원들이 휴가를 떠나 최대한의 피해가 발생하기 전에 발견의 기회를 줄여 회복을 방해한 후 발생한 것으로 보인다.

바이러스는 드로퍼, 와이퍼, 리포터 등 세 가지 요소로 구성되었다. 감염원인 드로퍼는 감염된 컴퓨터에서 지속성을 유지할 수 있는 'NtsSrv'라는 이름의 서비스를 만든다. Dropper는 32비트 버전과 64비트 버전으로 제작되었다. 32비트 드로퍼가 64비트 아키텍처를 감지하면 64비트 버전을 삭제한다. 이 구성 요소는 감염된 컴퓨터에 와이퍼와 리포터를 떨어뜨려 스스로 실행한다. 그것은 네트워크 공유와 다른 컴퓨터에 자신을 복사함으로써 로컬 네트워크를 통해 퍼진다.[16]

Wiper 컴포넌트는 RawDisk로 알려진 Eldos에서 제작한 드라이버를 사용하여 Windows API를 사용하지 않고도 하드 드라이브에 직접 사용자 모드로 액세스할 수 있다. 감염된 컴퓨터에 있는 모든 파일의 위치를 식별하고 지운다. 삭제된 파일에 대한 정보를 공격자에게 전송한 다음 삭제된 파일을 손상된 데이터로 덮어써 복구할 수 없도록 한다. 이미지의 일부를 사용한 구성 요소. 2012년 공격에서는 불타는 미국 국기의 이미지를 사용했고, 2016년 공격에서는 알란 쿠르디의 시신 사진을 사용했다.[17][18][12]

공격 전

이 악성코드는 국영석유회사인 사우디아람코에 파괴를 일으켜 사우디 정부를 겨냥하는 데 사용되는 독특한 것이었다.예를 들어, 그것은 정부의 사우디 아라비아가 사람과 은행에서 바이러스를 발견하도록 돕는다. 공격자들은 와이퍼 논리 폭탄이 발생하기 몇 시간 전에 PasteBin.com에 페이스티를 게시했는데, 이 공격의 이유로 억압과 알 사우드 정권을 들었다.[19] 공격 후 사우디 아람코의 보안 고문인 크리스 쿠베카(Chris Kubecka)에 따르면 아람코 해외 보안 그룹장은 공격이 잘 진행됐다고 전했다.[3] 익명의 사우디 아람코 정보 기술 직원이 개설한 피싱 이메일 공격으로 인해 2012년 중순경 이 회사 네트워크에 그룹 진입이 가능해졌다.[20]

우리는 특히 시리아, 바레인, 예멘, 레바논, 이집트와 같은 인접 국가들에서 일어나는 범죄와 잔혹행위에 질려버린 반압박 해커 집단을 대표하고, 또한 이러한 국가들에 대한 세계 공동체의 이중적 접근에 대해 이들 국가의 주요 지지자들을 때리고자 한다.이 행동으로 인해 소름이 끼치다 이번 재난의 주요 지지자 중 한 명은 알 사우드 부패 정권이다. 알 사우드 정권은 이슬람교도의 석유 자원을 이용하여 이러한 강압적인 조치를 지지한다. 알사우드는 이러한 범죄를 저지르는 파트너다. 그것은 순진한 아이들과 사람들의 피에 감염되었다. 첫 번째 단계에서는 알사우드 정권의 최대 자금원으로 아람코사를 상대로 한 조치가 이뤄졌다. 이 단계에서 우리는 여러 나라의 해킹된 시스템을 이용하여 아람코 회사의 시스템을 침투시킨 다음 악성 바이러스를 보내 이 회사에 네트워크로 연결된 3만 대의 컴퓨터를 파괴했다. 파괴작업은 2012년 8월 15일 수요일 오전 11시 8분(사우디아라비아 현지시간)에 시작돼 몇 시간 안에 완료될 예정이다.[21]

파스티가 '정의의 칼'이라는 단체의 사우디 아람코에 대한 공격을 예고했다.

쿠베카는 이날 블랙햇 USA 연설에서 사우디 아람코가 보안 예산의 대부분을 ICS 관제망에 투자해 비즈니스 네트워크가 큰 사건의 위험에 처했다고 설명했다.[20]

공격 중

현지 시간으로 8월 15일 오전 11시 8분, 3만 대 이상의 윈도우 기반 시스템이 덮어쓰기 시작했다. Symantec은 영향을 받은 시스템 중 일부가 데이터를 삭제하고 덮어쓰는 동안 미국 국기의 이미지를 보여주었다는 것을 발견했다.[2] 사우디 아람코는 2012년 8월 25일 회사 성명서가 발표될 때까지 페이스북에 이번 공격을 발표하고 다시 오프라인으로 돌아섰다. 정상영업이 재개된 것은 2012년 8월 25일이라고 허위 보고한 성명서. 그러나 한 중동 기자는 2012년 9월 1일 촬영된 사진을 유출해 해킹된 비즈니스 시스템으로 인해 수 킬로미터의 가솔린 트럭이 여전히 운전불가능하다는 것을 보여주었다.

샤문 공격으로 유조선 트럭에 휘발유를 실을 수 없음

"사우디 아람코는 2012년 8월 15일 외부 소스에서 발원해 약 3만대의 워크스테이션에 영향을 준 악성 바이러스에 의해 영향을 받은 주요 내부 네트워크 서비스를 모두 복구했다. 그 이후로 작업대는 청소되고 복구되었다. 예방책으로, 온라인 자원에 대한 원격 인터넷 접속이 제한되었다. 사우디아라비아 아람코 직원들은 아이드 휴일에 이어 2012년 8월 25일 업무에 복귀해 정상 영업을 재개했다. 동사는 탄화수소 탐사 및 생산의 1차 기업체 시스템이 고립된 네트워크 시스템에서 작동함에 따라 영향을 받지 않음을 확인했다. 이런 제어장치도 고립돼 있어 생산 공장도 완전 가동됐다."

2012년 8월 29일, 샤먼의 배후에서 같은 공격자들이 또 다른 페이스티를 PasteBin.com에 올려, 그들이 여전히 회사 네트워크에 접속하고 있다는 증거로 사우디 아람코를 조롱했다. 게시물에는 보안과 네트워크 장비에 대한 사용자 이름과 비밀번호, 아람코 칼리드 알팔리 최고경영자(CEO)의 새 비밀번호가 적혀 있었다.[22] 공격자들은 또한 샤문 악성코드의 일부를 페이스트리의 추가 증거로 언급했다.

"8월 29일 월요일, 좋은 날, SHN/AMOO/lib/pr/~/역전됨

우리는 토요일 밤에 사우디 아람코에서 뉴스가 나오지 않는 것이 재미있고 이상하다고 생각한다. 그러나 우리는 그것을 좀 더 분명히 하고 우리가 약속한 것이 끝났다는 것을 증명하기 위해 단지 회사의 시스템에 대한 다음과 같은 사실들을 읽기만 하면 된다.

- 인터넷 서비스 라우터는 3개, 그 정보는 다음과 같다.

핵심 라우터: SA-AR-CO-1# 암호(텔넷): c1sc0p@ss-ar-cr-tl / (활성화): c1sc0p@ss-ar-cr-bl
백업 라우터: SA-AR-CO-3# 암호(텔넷): c1sc0p@ss-ar-bk-tl / (활성화): c1sc0p@ss-ar-bk-bl
중간 라우터: SA-AR-CO-2# 암호(텔넷): c1sc0p@ss-ar-st-tl / (활성화): c1sc0p@ss-ar-st-bl

- 칼리드 A. Al-Falih CEO는 다음과 같이 이메일을 보낸다.

Khalid.falih@aramco.com 암호:kal@ram@sa1960

- 사용된 보안 어플라이언스:

Cisco ASA # McAfee # FireEye:
모두를 위한 기본 비밀번호!!!!!!!!!!!!

우리는 우리의 임무가 끝났고 더 이상 낭비할 시간이 필요하지 않다고 생각하고 진심으로 믿는다. SA가 소리 지르고 대중에게 무언가를 공개해야 할 때인 것 같아. 그러나 침묵은 해결책이 아니다.

맛있게 드셨길 바라며, SHN/AMOO/lib/pr/에 대한 마지막 페이스트 기다리세요.

분노한 인터넷 애호가 #SH"

쿠베카에 따르면 사우디 아람코는 운항을 복원하기 위해 대규모 민간 항공기와 가용 자금을 활용해 세계 하드 드라이브의 상당 부분을 구입해 가격을 끌어올렸다. 유가가 투기의 영향을 받지 않도록 가능한 한 빨리 새로운 하드 드라이브가 필요했다. 2012년 9월 1일까지, 8월 15일 테러 공격 17일 후 사우디 아라비아의 대중을 위한 휘발유 자원이 줄어들고 있었다. 라스가스 또한 다른 변종의 영향을 받아 비슷한 방식으로 그들을 무력화시켰다.[20]

공격자가 감염된 PC를 실제로 파괴하는 데 관심을 가질 수 있는 이유는 불분명하다. 카스퍼스키랩스는 900KB 악성코드가 지난 4월 이란 사이버 공격에 사용된 와이퍼와 관련이 있을 수 있음을 시사했다. 이틀간의 분석 끝에 회사는 이 악성코드가 와이퍼에서 영감을 받은 '스크립트키디'에서 나올 가능성이 높다고 잘못 결론 내렸다.[23] 이후 한 블로그 게시물에서 유진 카스퍼스키가 사이버워페어로 분류한 샤문 사용을 명확히 했다.[24]

참고 항목

메모들

  1. ^ "Shamoon"은 바이러스의 Wiper 구성 요소에서 발견된 디렉토리 문자열의 일부다.

참조

  1. ^ "Joint Security Awareness Report (JSAR-12-241-01B):'Shamoon/DistTrack' Malware (Update B)". United States Department of Homeland Security ICS-CERT. 2017-04-18. Retrieved 2017-11-03.
  2. ^ a b c d Symantec Security Response (2012-08-16). "The Shamoon Attacks". Symantec. Retrieved 2012-08-19.
  3. ^ a b c Jose Pagliery (2015-08-05). "The inside story of the biggest hack in history". Retrieved 2012-08-19.
  4. ^ Iain Thompson (2012-08-17). "Exhibitionist Shamoon virus blows PCs' minds". The Register. Retrieved 2017-11-03.
  5. ^ Tim Sandle (2012-08-18). "Shamoon virus attacks Saudi oil company". Digital Journal. Retrieved 2012-08-19.
  6. ^ "Shamoon virus targets energy sector infrastructure". BBC News. 2012-08-17. Retrieved 2012-08-19.
  7. ^ Nicole Perlroth (2012-10-23). "Cyberattack On Saudi Firm Disquiets U.S." The New York Times. pp. A1. Retrieved 2012-10-24.
  8. ^ Elinor Mills (2012-08-30). "Virus knocks out computers at Qatari gas firm RasGas". CNET. Retrieved 2012-09-01.
  9. ^ "Computer virus hits second energy firm". BBC News. 2012-08-31. Retrieved 2012-09-01.
  10. ^ a b GReAT (2012-08-16). "Shamoon the Wiper — Copycats at Work". Archived from the original on 2012-08-20. Retrieved 2012-08-19.
  11. ^ a b Seculert (2012-08-16). "Shamoon, a two-stage targeted attack". Seculert. Archived from the original on 2012-08-20. Retrieved 2012-08-19.CS1 maint: 잘못된 URL(링크)
  12. ^ a b Symantec Security Response (2016-11-30). "Shamoon: Back from the dead and destructive as ever". Symantec. Retrieved 2016-12-06.
  13. ^ Reuters Staff (2017-01-23). "Saudi Arabia warns on cyber defense as Shamoon resurfaces". Reuters. Retrieved 2017-01-26.
  14. ^ Stephen Jewkes, Jim Finkle (2018-12-12). "Saipem says Shamoon variant crippled hundreds of computers". Reuters. Retrieved 2020-09-24.
  15. ^ Porche III, Isaac R. (2020). Cyberwarfare - An Introduction to Information-Age Conflict/. Artech House. p. 264. ISBN 978-1-5231-3277-5.
  16. ^ Mackenzie, Heather (2012-10-25). "Shamoon Malware and SCADA Security – What are the Impacts?".
  17. ^ Sean Gallagher (2016-12-01). "Shamoon wiper malware returns with a vengeance". Ars Technica. Retrieved 2017-07-03.
  18. ^ Nicole Perlroth (2012-08-24). "Among Digital Crumbs from Saudi Aramco Cyberattack, Image of Burning U.S. Flag". Bits. The New York Times. Retrieved 2017-07-03.
  19. ^ Cutting Sword of Justice (2012-08-15). "Pastie:'Untitled'". Retrieved 2017-11-03.
  20. ^ a b c Christina Kubecka (2015-08-03). "How to Implement IT Security after a Cyber Meltdown". Retrieved 2017-11-03. (PDF 슬라이드, YouTube 동영상)
  21. ^ Rid, Thomas (2013). Cyber War Will Not Take Place. Oxford University Press. p. 63. ISBN 978-0-19-936546-3.
  22. ^ "Saudi Aramco hug, another one". 2012-08-29. Retrieved 2017-11-03.
  23. ^ Wolfgang Gruener (2012-08-18). "Cyber Attack: Shamoon Malware Infects, Steals, Wipes MBR". Tom's Hardware. Retrieved 2017-03-22.
  24. ^ Eugene Kaspersky (2017-03-06). "StoneDrill: We've Found New Powerful "Shamoon-ish" Wiper Malware – and It's Serious". Retrieved 2017-11-03.