¾È·¦ ASEC ºÐ¼®ÆÀ ¡°ÃÖ±Ù ´Ù¼öÀÇ ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ© ·Î±× È®ÀÎ, µ¿ÀÏ °ø°ÝÀÚ ¼ÒÇà ÃßÁ¤¡±
[º¸¾È´º½º ±Ç ÁØ ±âÀÚ] ÃÖ±Ù ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ© ¾Ç¼ºÄڵ尡 Ãë¾àÇÑ MS-SQL ¼¹ö¸¦ ´ë»óÀ¸·Î À¯Æ÷ ÁßÀÎ °ÍÀ» È®ÀÎÇß´Ù°í ¾È·¦ ASEC ºÐ¼®ÆÀÀÌ ¹àÇû´Ù.
MS-SQL ¼¹ö´Â À©µµ¿ì ȯ°æÀÇ ´ëÇ¥ÀûÀÎ µ¥ÀÌÅͺ£À̽º ¼¹ö·Î¼ °ú°ÅºÎÅÍ ²ÙÁØÈ÷ °ø°ÝÀÚµéÀÇ °ø°Ý ´ë»óÀÌ µÇ°í ÀÖ´Ù. MS-SQL ¼¹ö¸¦ ´ë»óÀ¸·Î ÇÏ´Â °ø°ÝÀ¸·Î´Â, Ãë¾àÁ¡ÀÌ ÆÐÄ¡µÇÁö ¾ÊÀº ȯ°æ¿¡ ´ëÇÑ °ø°Ý ¿Ü¿¡µµ ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â ¼¹ö¿¡ ´ëÇÑ ¹«Â÷º° ´ëÀÔ °ø°ÝÀÎ ºê·çÆ® Æ÷½º(Brute Forcing) °ø°ÝÀ̳ª »çÀü °ø°Ý(Dictionary Attack)ÀÌ ÀÖ´Ù.
¡ãÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ© ¼³Á¤ µ¥ÀÌÅÍ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
ÀϹÝÀûÀ¸·Î °ø°ÝÀÚ ¶Ç´Â ¾Ç¼ºÄÚµå´Â 1433¹ø Æ÷Æ®¿¡ ´ëÇÑ ½ºÄ³´× °úÁ¤À» ÅëÇØ ¿ÜºÎ¿¡ ¿ÀÇÂµÈ MS-SQL ¼¹öµéÀ» È®ÀÎÇÑ´Ù. ÀÌÈÄ °ü¸®ÀÚ °èÁ¤ Áï ¡®sa¡¯ °èÁ¤¿¡ ´ëÇØ ¹«Â÷º° ´ëÀÔ °ø°ÝÀ̳ª »çÀü °ø°ÝÀ» ¼öÇàÇØ ·Î±×ÀÎÀ» ½ÃµµÇÏ°Ô µÈ´Ù. ¶ÇÇÑ, ¿ÜºÎ¿¡ MS-SQL ¼¹ö°¡ ¿ÀǵǾî ÀÖ´Â ÇüÅ°¡ ¾Æ´Ï¶ó°í ÇÏ´õ¶óµµ, ·¹¸ó´ö(Lemon_Duck) ¾Ç¼ºÄÚµå¿Í °°ÀÌ ³»ºÎ ³×Æ®¿öÅ©¿¡¼ Ãø¸é À̵¿À» ¸ñÀûÀ¸·Î 1433¹ø Æ÷Æ® ½ºÄ³´× ¹× ÀüÆÄÇÏ´Â À¯Çüµµ Á¸ÀçÇÑ´Ù´Â °Ô ¾È·¦ ASEC ºÐ¼®ÆÀ ÃøÀÇ ¼³¸íÀÌ´Ù.
Áï, °ü¸®ÀÚ °èÁ¤ Á¤º¸¸¦ ¹«Â÷º° ´ëÀÔ ¹× »çÀü °ø°Ý¿¡ Ãë¾àÇÑ ÇüÅ·Π°ü¸®Çϰųª ÀÏÁ¤ ÁÖ±â·Î º¯°æÇÏÁö ¾ÊÀ¸¸é MS-SQL ¼¹ö´Â °ø°ÝÀÚÀÇ ÁÖ¿ä Ÿ±êÀÌ µÉ ¼ö ÀÖ´Ù. ÀÌ·¯ÇÑ MS-SQL ¼¹ö¸¦ °ø°Ý ´ë»óÀ¸·Î ÇÏ´Â ¾Ç¼ºÄÚµåµé·Î´Â ·¹¸ó´ö ¿Ü¿¡µµ Kingminer, Vollgar¿Í °°Àº ÄÚÀÎ ¸¶ÀÌ³Ê ¾Ç¼ºÄÚµåµéÀÌ Á¸ÀçÇÑ´Ù.
ÀÌ·¯ÇÑ °úÁ¤À» ÅëÇØ °ø°ÝÀÚ°¡ °ü¸®ÀÚ °èÁ¤À¸·Î ·Î±×Àο¡ ¼º°øÇϸé xp_cmdshell ¸í·ÉÀ» Æ÷ÇÔÇÑ ´Ù¾çÇÑ ¹æ½ÄµéÀ» ÀÌ¿ëÇØ °¨¿° ½Ã½ºÅÛ¿¡¼ ¸í·ÉÀ» ½ÇÇà½Ãų ¼ö ÀÖ´Ù. ÇöÀç È®ÀÎµÈ ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ© ¾Ç¼ºÄÚµå´Â MS-SQL ÇÁ·Î¼¼½º¿¡ ÀÇÇØ cmd.exe ¹× powershell.exeÀ» °ÅÃÄ ´Ù¿î·Îµå µÈ °ÍÀ¸·Î ºÐ¼®µÆ´Ù.
ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ©´Â »ó¿ë ħÅõ Å×½ºÆ® µµ±¸·Î, ÃÖ±Ù¿¡´Â APT ¹× ·£¼¶¿þ¾î¸¦ Æ÷ÇÔÇÑ ´ë´Ù¼öÀÇ °ø°Ýµé¿¡¼ ³»ºÎ ½Ã½ºÅÛ Àå¾ÇÀ» À§ÇÑ Áß°£ ´Ü°è·Î »ç¿ëµÇ°í ÀÖ´Ù. ÇöÀç È®ÀÎµÈ ¾Ç¼ºÄÚµå´Â ÀÎÁ§Åͷμ ³»ºÎ¿¡ Æ÷ÇÔµÈ ÀÎÄÚµùµÈ ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ©¸¦ µðÄÚµùÇÑ ÈÄ Á¤»ó ÇÁ·Î±×·¥ÀÎ MSBuild.exe¸¦ ½ÇÇàÇÏ°í ÀÎÁ§¼ÇÇÑ´Ù.
MSBuild.exe¿¡¼ ½ÇÇàµÇ´Â ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ©´Â Ãß°¡ÀûÀÎ ¿É¼ÇÀÌ ¼³Á¤µÇ¾î Àִµ¥, º¸¾È Á¦Ç°ÀÇ Áø´ÜÀ» ¿ìȸÇϱâ À§ÇÑ ¸ñÀûÀ¸·Î Á¤»ó dllÀÎ wwanmm.dllÀ» ·ÎµåÇÑ ÈÄ, ÇØ´ç dllÀÇ ¸Þ¸ð¸® ¿µ¿ª¿¡ ºñÄÁÀ» ¾²°í ½ÇÇàÇÏ´Â ¹æ½ÄÀ¸·Î µå·¯³µ´Ù. ÀÌ¿¡ µû¶ó °ø°ÝÀÚÀÇ ¸í·ÉÀ» Àü´Þ¹Þ¾Æ ¾Ç¼º ÇàÀ§¸¦ ¼öÇàÇÏ´Â ºñÄÁÀÌ Àǽɽº·¯¿î ¸Þ¸ð¸® ¿µ¿ª¿¡ Á¸ÀçÇÏÁö ¾Ê°í Á¤»ó ¸ðµâ wwanmm.dll¿¡¼ µ¿ÀÛÇÔ¿¡ µû¶ó ¸Þ¸ð¸® ±â¹ÝÀÇ Áø´ÜÀ» ¿ìȸÇÒ ¼ö ÀÖ´Ù´Â °ÍÀÌ´Ù.
°ø°ÝÀÚ°¡ ¾î¶°ÇÑ ¹æ½ÄÀ¸·Î MS-SQL¸¦ Àå¾ÇÇÏ°í ¾Ç¼ºÄڵ带 ¼³Ä¡Çß´ÂÁö ¿©ºÎ´Â Á¤È®È÷ È®ÀεÇÁö ¾Ê¾ÒÁö¸¸, ÇØ´ç ½Ã½ºÅÛµµ °èÁ¤Á¤º¸°¡ ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â ½Ã½ºÅÛÀ¸·Î ÃßÁ¤µÈ´Ù.
¾È·¦ ASEC ºÐ¼®ÆÀÀº ¡°ÀÚ»çÀÇ ASD ÀÎÇÁ¶ó¿¡ µû¸£¸é ÃÖ±Ù ÇÑ ´Þ »çÀ̸¸ Çصµ ´Ù¼öÀÇ ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ© ·Î±×µéÀ» È®ÀÎÇÒ ¼ö ÀÖ¾ú´Âµ¥, ´Ù¿î·Îµå ÁÖ¼Ò ¹× ¸í·ÉÁ¦¾î(C&C) ¼¹öÀÇ ÁÖ¼Ò°¡ À¯»çÇÑ Á¡À» º¸¸é ´ëºÎºÐ µ¿ÀÏÇÑ °ø°ÝÀÚÀÇ °ø°ÝÀ¸·Î ÃßÁ¤µÈ´Ù¡±¸ç, ¡°¾È·¦ Á¦Ç°¿¡¼´Â ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ©¸¦ È°¿ëÇÑ Ã¹ ħÅõ ´Ü°èºÎÅÍ ³»ºÎ È®»ê ½Ã »ç¿ëµÇ´Â ºñÄÁ ¹éµµ¾î¿¡ ´ëÇØ ÇÁ·Î¼¼½º ¸Þ¸ð¸® ±â¹ÝÀÇ Å½Áö ¹æ½Ä°ú ÇàÀ§ ±â¹ÝÀÇ Å½Áö ±â¼úÀ» º¸À¯ÇÏ°í ÀÖ´Ù¡±°í ¼³¸íÇß´Ù.
[±Ç ÁØ ±âÀÚ(editor@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>