ÆÄÀÏ ¾ÏÈ£È ¹× º¼·ý ½¦µµ »èÁ¦ ÇàÀ§ ÅëÇØ »ç¿ëÀÚ PC ·£¼¶¿þ¾î °¨¿°½ÃÄÑ
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ¸Å±×´Ïº£¸£(Magniber) ·£¼¶¿þ¾î°¡ Á¤»ó À©µµ(Windows) ÀνºÅç·¯(MSI)·Î À§ÀåÇØ À¯Æ÷¸¦ Àç°³ÇÑ °ÍÀ¸·Î µå·¯³µ´Ù.
ÇöÀç MSI È®ÀåÀÚ·Î À¯Æ÷ ÁßÀÎ ¸Å±×´Ïº£¸£ÀÇ ÆÄÀϸíÀº ¡®MS.Update.Center.Security.KB17347418.msi¡¯, ¡®MS.Update.Center.Security.KB2562020.msi¡¯, ¡®MS.Update.Center.Security.KB44945726.msi¡¯ µî À©µµ ¾÷µ¥ÀÌÆ® ÆÄÀÏ·Î À§ÀåÇß´Ù. ÇØ´ç ·£¼¶¿þ¾î´Â 1¿ù 27ÀÏÀ» ±âÁ¡À¸·Î À¯Æ÷·®ÀÌ Áõ°¡µÇ´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ¾ú´Ù.
¡ã¾È·¦ÀÇ ·Î±× ½Ã½ºÅÛÀ» ÅëÇØ È®ÀÎµÈ Magniber ·£¼¶¿þ¾î À¯Æ÷ Áõ°¡[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¾È·¦ ASEC ºÐ¼®ÆÀ¿¡ µû¸£¸é, ÇöÀç ¸Å±×´Ïº£¸£°¡ À¯Æ÷µÇ´Â »çÀÌÆ®¿¡¼´Â °ú°Å °øÀ¯µÈ MOTW(Mark of the Web)¸¦ ÀÌ¿ëÇÑ µµ¸ÞÀÎ Â÷´ÜÀ» ¿ìȸÇϱâ À§ÇØ a ű׸¦ ÀÌ¿ëÇØ ´Ù¿î·Îµå µ¥ÀÌÅ͸¦ Ãß°¡ÇÏ´Â ¹æ½ÄÀ¸·Î À¯Æ÷ÇÏ°í ÀÖ´Ù.
a ű×ÀÇ href¸¦ base64·Î ÀÎÄÚµùÇÑ ¸Å±×´Ïº£¸£ ÆÄÀÏ(zip or msi)À» ½ºÅ©¸³Æ®·Î Ãß°¡ÇØ ³»·Á¹ÞÀ» °æ¿ì HostUrl¿¡ about:internetÀ¸·Î ³²´Âµ¥, ÀÌ´Â µµ¸ÞÀÎ Â÷´ÜÀ» ¿ìȸÇϱâ À§ÇØ Ãß°¡ÇÑ °ÍÀ¸·Î È®ÀεȴÙ.
¡ãa ű׸¦ ÀÌ¿ëÇÑ MOTW ¿ìȸ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¸Å±×´Ïº£¸£ ·£¼¶¿þ¾î´Â ÆÄÀÏ ¾Ïȣȸ¦ À§ÇØ ¹æÇصǴ ºÎºÐÀº ¸ðµÎ Á¦°ÅÇÏ°í À¯Æ÷ÇÏ´Â °ÍÀ¸·Î µå·¯³µ´Ù. ½Ã±×´Ïó ±â¹Ý ¾ÈƼ ¹ÙÀÌ·¯½º Á¦Ç°ÀÇ ÆÄÀÏ ±â¹Ý ŽÁö ¿ìȸ´Â ¸»ÇÒ °Íµµ ¾øÀÌ ½Ç½Ã°£À¸·Î º¯ÇüÀ» ½ÃµµÇϸç À¯Æ÷ ÁßÀÌ´Ù. APT(Advanced Persistent Threat) ŽÁö ¼Ö·ç¼ÇÀÎ MDS Á¦Ç°Àº ÇØ´ç ÆÄÀÏÀÌ À¯À﵃ °æ¿ì MDS Agent¿¡ ÀÇÇØ ¸ÕÀú »÷µå¹Ú½º ȯ°æ¿¡¼ ½ÇÇàÇØ ÇØ´ç ÆÄÀÏÀÌ ¾Ç¼ºÀÎÁö È®ÀÎÇÑ´Ù.
¡ã¹ÙÀÌ·¯½º ÅäÅ»¿¡ ¼öÁýµÇÁö ¾ÊÀº Magniber ¾Ç¼ºÄÚµå(ÁÂ) ¹× Magniber ·£¼¶¿þ¾î ŽÁöȸé(¿ì)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
MDS´Â Àǽɽº·´°Ô À¯ÀÔµÈ msi ÆÄÀÏÀ» »÷µå¹Ú½º ȯ°æ ³»¿¡¼ ÆÄÀÏ ¾ÏÈ£È ¿©ºÎ¸¦ ÆÇ´ÜÇÏ°í ·£¼¶¿þ¾î·Î Áø´ÜÇØ »ç¿ëÀÚ¿¡°Ô ÇØ´ç ÆÄÀÏÀÌ ¾Ç¼ºÀÓÀ» ¾Ë·ÁÁØ´Ù. ¿£µåÆ÷ÀÎÆ®(Endpoint) ´Ü¿¡¼ ÀÇ½É ÇàÀ§¸¦ ±â·Ï ¹× ŽÁöÇÏ´Â EDR(Endpoint Detection&Response)µµ ¸Å±×´Ïº£¸£ À¯Æ÷(.zip) ÆÄÀÏÀ» ´Ù¿î·ÎµåÇØ ½ÇÇàÇÒ °æ¿ì ·£¼¶¿þ¾î·Î ŽÁöÇÏ°í ÀÖ´Ù.
¡ãEDR ÀÇ½É ÇàÀ§ ŽÁö ȸé[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
´Ù¿î·ÎµåµÈ MSI ÆÐÅ°Áö ÆÄÀÏÀº Á¤»óÀûÀÎ À©µµ ¾÷µ¥ÀÌÆ®¿¡µµ »ç¿ëµÇ´Â ÀÏÁ¾ÀÇ ¼³Ä¡ ÇÁ·¹ÀÓ¿öÅ©´Ù. ¸Å±×´Ïº£¸£´Â MSI ÆÐÅ°Áö ÆÄÀÏ ³»ºÎ¿¡ ¸Å±×´Ïº£¸£ ·£¼¶¿þ¾î DLLÀ» Æ÷ÇÔÇØ À¯Æ÷Çß´Ù.
MSI´Â Custom Action Å×À̺íÀ» ÅëÇØ DLLÀÇ ÀͽºÆ÷Æ® ÇÔ¼ö È£Ãâ ±â´ÉÀ» ±âº»ÀûÀ¸·Î Á¦°øÇÑ´Ù. ¸Å±×´Ïº£¸£ °ø°ÝÀÚ´Â ÀÌÁ¡À» ¾Ç¿ëÇØ MSI ½ÇÇà ½Ã ¸Å±×´Ïº£¸£ ·£¼¶¿þ¾î DLLÀÇ ÀͽºÆ÷Æ® ÇÔ¼ö°¡ ½ÇÇàµÇµµ·Ï Çß´Ù. ½ÇÇàµÈ DLL¿¡ ÀÇÇØ ÆÄÀÏ ¾ÏÈ£È ¹× º¼·ý ½¦µµ »èÁ¦ ÇàÀ§¸¦ ¼öÇàÇÏ¸ç »ç¿ëÀÚ PC¸¦ ·£¼¶¿þ¾î¿¡ °¨¿°½ÃŲ´Ù.
¡ãµðÄÚÀÌ Å½Áö ´ÙÀ̾î±×·¥(ÁÂ) ¹× º¼·ý ½¦µµ Ä«ÇÇ »èÁ¦ ŽÁö(¿ì)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
ÇöÀç ¸Å±×´Ïº£¸£´Â ÃֽŠÀ©µµ ¹öÀüÀÇ Å©·Ò, ¿§Áö ºê¶ó¿ìÀú »ç¿ëÀÚ ´ë»óÀ¸·Î µµ¸ÞÀÎ ¿ÀÅ»ÀÚ¸¦ ¾Ç¿ëÇÑ Å¸ÀÌÆ÷½ºÄõÆÃ(Typosquatting) ¹æ½ÄÀ¸·Î À¯Æ÷µÇ°í ÀÖ´Ù. »ç¿ëÀÚ°¡ À߸ø ÀÔ·ÂÇÑ µµ¸ÞÀÎÀ¸·Î ÀÎÇØ À̹ø °æ¿ì¿Í °°ÀÌ ·£¼¶¿þ¾î À¯Æ÷·Î ¿¬°áµÉ ¼ö Àֱ⠶§¹®¿¡ »ç¿ëÀÚµéÀÇ ¼¼½ÉÇÑ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>