소니픽처스 내부망 해킹 사고 분석 보고서

 

12월 11일 NSHC(대표 허영일) Red Alert팀은 소니픽처스 내부망 해킹 사고 분석 보고서를 발표했습니다. 자료는 하단에 첨부파일 클릭하시면 있습니다.

 

11월 24일 소니픽처스의 내부 전상망이 해킹으로 인해 내부 컴퓨터 시스템이 사용불능 상태가 되었습니다. APT 공격을 통해 내부 전산망 침투가 이루어졌으며, 감염된 시스템은 파일 삭제, 공유 네트워크 감염, MBR 파괴 등의 피해를 입었습니다. 사고 이후에도 다수의 변종으로 공격이 이루어지고 어 감염이 의심되는 시스템에서는 대응방안에 따른 조치와 백신을 통한 치료가 필요합니다.

 

이번 보고서에는 공격에 사용된 악성코드에 대한 상세 정보와 공격순서도 포함돼 있습니다. 공격순서를 보면, 이메일을 통한 APT 공격으로 소니픽쳐스 내부망에 악성코드가 감염된 것으로 확인됐으며 감염된 시스템은 공유 네트워크를 통한 악성코드 전파와 파일 삭제, MBR 파괴 등의 공격이 순차적으로 진행됐습니다.

 

공격대상은 악성코드가 실행되면서 특정 IP대역에 속하는 다수의 IP와 USSDI(시스템이름) 형식의 호스트에 대해 공격합니다. 이 IP들은 일본에서 관리중인 IP로 확인됐으며, 악성코드의 암호화된 데이트 중에는 특정 시스템의 이름과 비밀번호 정보를 포함하고 있습니다. 보고서에는 악성코드에서 사용하는 C&C 서버의 IP 정보도 공개하고 있습니다.

 

출처: Red Alert팀 페이스북(https://www.facebook.com/nshc.redalert)

20141211_SonyPictures_Internal_Hacking_Ver_1.0_External.pdf

1.84MB