[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ÇöÀç±îÁö ÇÑ ¹øµµ ¹ß°ßµÈ Àû ¾ø´ø Áß±¹ APT ´Üü°¡ »õ·Ó°Ô ¸ð½ÀÀ» µå·¯³Â´Ù. À̵éÀº ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ÀͽºÃ¼ÀÎÁö(Microsoft Exchange)ÀÇ ÇÁ·Ï½Ã·Î±×¿Â(ProxyLogon) Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ°í ÀÖÀ¸¸ç, À̸¦ ÅëÇØ ¼Îµµ¿ìÆеå(ShadowPad)¶ó´Â ¹éµµ¾î ¸Ö¿þ¾î¸¦ ½É°í ÀÖ´Ù°í ÇÑ´Ù. ƯÈ÷ °Ç¹° ÀÚµ¿È ½Ã½ºÅÛ(BAS)¸¦ Àå¾ÇÇÔÀ¸·Î½á ³×Æ®¿öÅ©ÀÇ ´õ ±íÀº ºÎºÐ¿¡±îÁö µµ´ÞÇÏ´Â °ÍÀÌ ´«¿¡ ¶è´Ù.
[À̹ÌÁö = utoimage]
»õ ´ÜüÀÇ ¿òÁ÷ÀÓÀ» Á¦ÀÏ ¸ÕÀú Æ÷ÂøÇÑ °Ç º¸¾È ¾÷ü Ä«½ºÆÛ½ºÅ°(Kaspersky)´Ù. Ä«½ºÆÛ½ºÅ°´Â ÀÌ APT ´Üü°¡ ¾ÆÇÁ°¡´Ï½ºÅº°ú ÆÄÅ°½ºÅºÀÇ ICS ½Ã½ºÅÛ°ú Åë½Å»çµé°ú, ¸»·¹À̽þÆÀÇ ¹°·ù ¹× ¿î¼Û ȸ»ç Çϳª¸¦ ħÇØÇÏ´Â µ¥ ¼º°øÇß´Ù°í ¹àÇû´Ù. óÀ½ ¹ß°ßµÈ °Ç 10¿ùÀ̾ú´Âµ¥, À̵éÀÇ È°µ¿ÀÌ ½ÃÀÛµÈ °Ç ÃÖ¼Ò 3¿ùºÎÅÍÀÏ °¡´É¼ºÀÌ ³ô´Ù°í ÇÑ´Ù. ¡°ÇöÀç±îÁö ¹ß°ßµÈ ÇÇÇØÀÚµéÀº ºù»êÀÇ ÀÏ°¢ÀÏ ¼ö ÀÖ½À´Ï´Ù. °è¼ÓÇؼ À̵éÀÇ È°µ¿À» ¸ð´ÏÅ͸µÇϸç ÇÇÇØÀÚµéÀ» ã¾Æ³»·Á°í ÇÕ´Ï´Ù.¡±
Ä«½ºÆÛ½ºÅ°°¡ ÁýÁßÇÏ°í ÀÖ´Â °Ç ÀÌ °ø°ÝÀÚµéÀÇ °íÀ¯ÇÑ Àü·«°ú ±â¼úÀÌ´Ù. ¡°À̵éÀº BAS ¿£Áö´Ï¾î¸µ ÄÄÇ»Å͸¦ ÃÖÃÊÀÇ Ä§Åõ ÁöÁ¡À¸·Î¼ È°¿ëÇÕ´Ï´Ù. APT ´Üüµé Áß ÀÌ·¯ÇÑ ¿òÁ÷ÀÓÀ» º¸ÀÎ »ç·Ê´Â ã±â°¡ Èûµì´Ï´Ù. BAS ½Ã½ºÅÛ¿¡ ´ëÇÑ °ø°Ý ÀÚü°¡ »õ·Î¿î °ÍÀº ¾Æ´Õ´Ï´Ù¸¸, APT°¡ À̸¦ ÃÖÃÊ Ä§Åõ °æ·Î·Î¼ È°¿ëÇÑ °Ç óÀ½ º¸´Â ÀÏÀÔ´Ï´Ù.¡± Ä«½ºÆÛ½ºÅ°ÀÇ º¸¾È Àü¹®°¡ Å°¸± Å©·ç±Û·ÎÇÁ(Kirill Kruglov)ÀÇ ¼³¸íÀÌ´Ù.
BAS´Â °Ç¹° ÀÚµ¿È ¼Ö·ç¼ÇÀ̱⠶§¹®¿¡, °ø°ÝÀÚµéÀÌ ¿©±â¿¡ ħÅõÇÏ´Â µ¥ ¼º°øÇÒ °æ¿ì ¹°¸®Àû ÇÇÇظ¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù°í Ä«½ºÆÛ½ºÅ°´Â °æ°íÇÑ´Ù. ¡°Àü±â, Á¶¸í, ȯ±â, ÈÀç °æº¸, º¸¾È Ä«¸Þ¶ó µîÀÌ ¸ðµÎ BAS Ç÷§Æû¿¡ Æ÷ÇԵǾî ÀÖÁÒ. ±×¸®°í BAS°¡ ħÇصǸé ÀÌ·± ¸ðµç ±¸¼º ¿ä¼ÒµéÀÌ Ä§ÇØµÈ´Ù°í º¸¸é µË´Ï´Ù.¡± ÀÛ³â 12¿ù ÇÑ BAS Àü¹® ¾÷ü°¡ °ø°ÝÀ» ´çÇØ °Ç¹°ÀÇ Á¶¸í, °¢Á¾ ¼¾¼, Àá±Ý ÀåÄ¡ µîÀ» ÀüÇô Á¦¾îÇÒ ¼ö ¾ø´Â ÀÏÀÌ ¹ß»ýÇϱ⵵ Çß¾ú´Ù.
ÇÁ·Ï½Ã·Î±×¿Â Ãë¾àÁ¡°ú ¼Îµµ¿ìÆÐµå ¸Ö¿þ¾î
Ä«½ºÆÛ½ºÅ°¿¡ ÀÇÇϸé À̹ø Ä·ÆäÀο¡¼ ÇÁ·Ï½Ã·Î±×¿Â Ãë¾àÁ¡ÀÌ Àû±ØÀûÀ¸·Î ÀͽºÇ÷ÎÀÕ µÇ¾ú´Ù°í ÇÑ´Ù. ÇÁ·Î½Ã·Î±×¿Â Ãë¾àÁ¡Àº MS ÀͽºÃ¼ÀÎÁö(MS Exchange)¿¡¼ ¹ß°ßµÈ CVE-2021-26855À̸ç, ÀÏÁ¾ÀÇ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡À¸·Î ºÐ·ùµÇ°í ÀÖ´Ù. ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ´Â µ¥ ¼º°øÇÒ °æ¿ì °ø°ÝÀÚµéÀÌ ¼¹ö ÀÎÁõ ´Ü°è¸¦ Åë°úÇÏ¿© À¥¼ÐÀ» ½É¾î ¿ø°Ý¿¡¼ ¼¹ö¸¦ Á¦¾îÇÒ ¼ö ÀÖ°Ô µÈ´Ù°í ¾Ë·ÁÁ® ÀÖ´Ù. ÀÛ³â 3¿ù Áß±¹ Á¤ºÎ ±â°üÀÇ Áö¿øÀ» ¹Þ´Â ÇØÅ· ´Üü°¡ Á¦·Îµ¥ÀÌ °ø°ÝÀ» ½Ç½ÃÇÏ´Â »óȲ¿¡¼ óÀ½ ¹ß°ßµÆ´Ù. ´ç½Ã ÇØÄ¿ Á¶Á÷ÀÇ À̸§Àº ÇÏÇÁ´½(Hafnium)À̾ú´Ù.
À̹ø Ä·ÆäÀο¡¼µµ ÇØÅ· ´Üü´Â ºñ½ÁÇÑ ¼ö¹ýÀ¸·Î ÇÁ·Ï½Ã·Î±×¿ÂÀ» ÀͽºÇ÷ÎÀÕ ÇÏ°í ÀÖ´Ù. ´Ù¸¸ ÇÏÇÁ´½°ú ´Þ¸® ¼Îµµ¿ìÆеå(ShadowPad)¶ó´Â ¹éµµ¾î¸¦ ½É´Â´Ù. ¼Îµµ¿ìÆеå´Â Áß±¹ APT ´Üüµé »çÀÌ¿¡¼ ÀαⰡ ²Ï ³ôÀº ¿ø°Ý Á¢±Ù Æ®·ÎÀ̸ñ¸¶´Ù. º¸¾È ¾÷ü ½ÃÅ¥¾î¿÷½º(Secureworks)°¡ °ú°Å ¼Îµµ¿ìÆе忡 ´ëÇØ ¡°°íÂ÷¿øÀûÀÌ°í ¸ðµâ ±¸¼ºÀ» ÇÑ ¹éµµ¾î¡±¶ó°í ¹¦»çÇÑ ¹Ù ÀÖÀ¸¸ç, ¡°ºê·ÐÁî ¾ÆƲ¶ó½º(Bronze Atlas)¶ó´Â À§Çù ´Üü°¡ 2017³â¿¡ È°¿ëÇß°í, ±× ÈÄ Á¡Á¡ ´õ ¸¹Àº Áß±¹ ÇØÄ¿µéÀÌ À̸¦ È°¿ëÇÏ´Â Áß¡±À̶ó°í ¹àÇû´Ù.
Ä«½ºÆÛ½ºÅ°°¡ ºÐ¼®ÇÑ ¹Ù¿¡ µû¸£¸é À̹ø Ä·ÆäÀο¡¼ °ø°ÝÀÚµéÀº ¼Îµµ¿ìÆе带 Á¤»óÀûÀÎ ¼ÒÇÁÆ®¿þ¾î·Î Æ÷ÀåÇØ ÇÇÇØÀÚµéÀÇ ÄÄÇ»ÅÍ¿¡ ½É°í ÀÖ´Ù°í ÇÑ´Ù. ƯÈ÷ MSÀÇ ¶óÀ̺귯¸® ÆÄÀÏ Áß ÇϳªÀÎ mscoree.dll ÆÄÀÏ·Î µÐ°©ÇØ ÀÖ´Â °æ¿ì°¡ ¸¹´Ù. ÀÌ ÆÄÀÏÀº ´å³Ý ÇÁ·¹ÀÓ¿öÅ©(.NET Framework)¿Í °ü·ÃÀÌ ÀÖ´Ù.
¡°ÇÇÇØÀÚ°¡ °¡Â¥ mscoree.dll ÆÄÀÏÀ» ´Ù¿î·Îµå µÇ¸é AppLaunch.exe ¾ÖÇø®ÄÉÀ̼ÇÀ» ÅëÇØ ½ÇÇàµË´Ï´Ù. ±×·¯¸é À©µµ ÀÓ¹« ½ºÄÉÁÙ·¯(Task Scheduler)¿¡ ÀÓ¹« Çϳª°¡ µî·ÏµÇÁÒ. ±×·¯¸é¼ °ø°ÝÀÇ Áö¼Ó¼º±îÁö È®º¸µÇ´Â °Ì´Ï´Ù. ÄÄÇ»ÅÍ°¡ ÄÑÁö¸é ½ºÄÉÁÙ·¯ ¶§¹®¿¡ ¼Îµµ¿ìÆе尡 ÀÚµ¿À¸·Î ½ÇÇàµË´Ï´Ù. Áï °ø°ÝÀÚµéÀº MS ÀͽºÃ¼ÀÎÁöÀÇ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÑ ÀÌÈÄ¿¡´Â Á¤»óÀûÀÎ À©µµ À¯Æ¿¸®Æ¼µéÀ» È°¿ëÇÏ¿© ¾Ç¼º ÇàÀ§¸¦ ½Ç½ÃÇÏ´Â °ÍÀ¸·Î º¼ ¼ö ÀÖ½À´Ï´Ù. ¡®¸®ºù ¿ÀÇÁ ´õ ·£µå(living-off-the-land)¡¯ Àü·«ÀÎ °ÍÀÌÁÒ. ÀÌ·² °æ¿ì ŽÁö°¡ Á¦´ë·Î µÇÁö ¾ÊÀ» ¼ö ÀÖ½À´Ï´Ù.¡±
ÃÖÃÊ Ä§Åõ ÀÌÈÄ °ø°ÝÀÚµéÀº ¼Îµµ¿ìÆе忡 ¿©·¯ °¡Áö ¸í·É¾î¸¦ Àü¼ÛÇÒ ¼ö ÀÖ´Ù. Ä«½ºÆÛ½ºÅ°°¡ ºÐ¼®ÇÑ ¹Ù¿¡ µû¸£¸é óÀ½¿¡´Â ¼öµ¿À¸·Î Á¶±Ý¾¿ ¸í·É¾î¸¦ º¸³»´Ù°¡ ¾î´À Á¤µµ ½Ã°£ÀÌ Áö³ª¸é ÀÚµ¿À¸·Î Ãß°¡ µµ±¸µéÀ» Àü¼ÛÇÑ´Ù°í ÇÑ´Ù. °ø°ÝÀÚµéÀÌ Ãß°¡ Àü¼ÛÇÏ´Â µµ±¸µéÀº ´ÙÀ½°ú °°´Ù.
1) ÄÚ¹ßÆ®½ºÆ®¶óÀÌÅ©(Cobalt Strike) : ȾÀû ¿òÁ÷ÀÓÀ» È°¼ºÈÇϱâ À§ÇØ
2) ¹Ì¹ÌijÃ÷(Mimikatz) : Å©¸®µ§¼È Å»Ã븦 À§ÇØ
3) Ç÷¯±×¿¢½º(PlugX)
4) BAT ÆÄÀϵé : Å©¸®µ§¼È Å»Ã븦 À§ÇØ
5) À¥¼Ðµé : ¿ø°Ý¿¡¼ À¥ ¼¹ö¿¡ Á¢±ÙÇϱâ À§ÇØ
6) ³Ø½ºÆ®³Ý(Nextnet) : ³×Æ®¿öÅ© È£½ºÆ® ½ºÄµÀ» À§ÇØ
¿©±â±îÁö º¸¸é °ø°ÝÀÚµéÀÇ ÇöÀç±îÁö È°µ¿ °æÀ§¸¦ ´ÙÀ½°ú °°Áö Á¤¸®ÇÒ ¼ö ÀÖ´Ù. ¡°BAS ½Ã½ºÅÛÀÇ MS ÀͽºÃ¼ÀÎÁö¸¦ ÅëÇØ Ä§ÅõÇÑ °ø°ÝÀÚµéÀº ¼Îµµ¿ìÆе带 ÅëÇØ °ø°Ý Áö¼Ó¼ºÀ» È®º¸ÇÏ°í, Áö¼ÓµÈ °ø°ÝÀ¸·Î Å©¸®µ§¼ÈÀ» ÈÉÃļ ³×Æ®¿öÅ© ³»ºÎ¸¦ ȾÀûÀ¸·Î ¿òÁ÷ÀÌ·Á°í ÇÕ´Ï´Ù.¡± ´Ù¸¸ ¾ÆÁ÷±îÁö À̵éÀÇ ±Ã±ØÀûÀÎ ¸ñÀû±îÁö ¾Ë±â´Â Èûµç »óȲÀÌ´Ù.
Ä«½ºÆÛ½ºÅ°´Â À̵éÀÇ È°µ¿ Áß BAS°¡ Áß¿äÇÑ ¼ö¹®Àå ¿ªÇÒÀ» ÇϹǷΠBAS º¸¾ÈÀ» °ÈÇÏ¸é ¾î´À Á¤µµ ÇÇÇظ¦ ¸·À» ¼ö ÀÖ´Ù°í ±Ç°íÇÑ´Ù. ¡°BAS¿Í °ü·ÃµÈ OS³ª ¼ÒÇÁÆ®¿þ¾î¸¦ ÁÖ±âÀûÀ¸·Î ¾÷µ¥ÀÌÆ® ÇÏ°í, Á¡°Ë°ú ¸ð´ÏÅ͸µ ¿ª½Ã ÀÚÁÖÇÏ´Â ÆíÀÌ ÁÁ½À´Ï´Ù. BAS Æ®·¡ÇÈÀ» ½Ç½Ã°£À¸·Î °¨½ÃÇÏ°í, ÀÌ»ó ¡ÈÄ Å½Áö ¼Ö·ç¼ÇÀ» µµÀÔÇÏ´Â °Íµµ ÁÁÀº ¹æ¾ÈÀÔ´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. óÀ½ ¹ß°ßµÈ Áß±¹ APTÀÇ È°µ¿ ³»¿ëÀÌ °ø°³µÊ.
2. À̵éÀº °Ç¹° ÀÚµ¿È ½Ã½ºÅÛÀ» ÅëÇØ ³×Æ®¿öÅ© ³»ºÎ·Î ħÅõÇѴٴ ƯÀÌÇÑ Àü·«À» ±¸»çÇÔ.
3. ħÅõ ÈÄ¿¡´Â °¢Á¾ µµ±¸¿Í Àü·«À» ÅëÇØ È¾ÀûÀ¸·Î ¿òÁ÷ÀÓ. ÇÏÁö¸¸ ÃÖÁ¾ ¸ñÀûÀº ¾Ë ¼ö ¾øÀ½.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>