À¥ ºê¶ó¿ìÀú ¶Ç´Â ¸ÞÀÏ Ã·ºÎÆÄÀÏ ÅëÇØ ¾Ç¼ºÄÚµå È®»ê...Á¤»ó ÇÁ·Î±×·¥À¸·Î À§Àåµµ
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÃÖ±Ù ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â ¸®´ª½º SSH ¼¹ö¸¦ ´ë»óÀ¸·Î ½©º¿(ShellBot) ¾Ç¼ºÄÚµåµéÀÌ ¼³Ä¡µÇ°í ÀÖ´Â °ÍÀÌ È®ÀεƴÙ. ÆÞº¿(PerlBot)À̶ó°íµµ ºÒ¸®´Â ½©º¿Àº ÆÞ(Perl) ¾ð¾î·Î °³¹ßµÈ µðµµ½ºº¿(DDoS Bot) ¾Ç¼ºÄÚµå·Î¼, C&C(¸í·ÉÁ¦¾î) ¼¹ö¿Í IRC ÇÁ·ÎÅäÄÝÀ» ÀÌ¿ëÇØ Åë½ÅÇÏ´Â °ÍÀÌ Æ¯Â¡ÀÌ´Ù. ½©º¿Àº ²ÙÁØÈ÷ »ç¿ëµÇ°í ÀÖ´Â ¿À·¡µÈ ¾Ç¼ºÄÚµå·Î¼ ÃÖ±Ù±îÁöµµ ´Ù¼öÀÇ ¸®´ª½º ½Ã½ºÅÛµéÀ» ´ë»óÀ¸·Î °ø°ÝÇÏ°í ÀÖ´Ù.
[À̹ÌÁö=utoimage]
¾È·¦ ASEC ºÐ¼®ÆÀ¿¡¼´Â ¸®´ª½º SSH ¼¹ö¸¦ ´ë»óÀ¸·Î °ø°ÝÇÏ´Â ½©º¿ ¾Ç¼ºÄڵ带 È®ÀÎÇß´Ù°í ¹àÇû´Ù. ÀÏ¹Ý »ç¿ëÀÚµéÀÇ ÁÖ¿ä ÀÛ¾÷ ȯ°æÀÎ µ¥½ºÅ©Åé°ú ´Þ¸® ¼¹ö´Â ÁַΠƯÁ¤ ¼ºñ½º¸¦ Á¦°øÇÑ´Ù. µû¶ó¼ µ¥½ºÅ©Åé ȯ°æ¿¡¼´Â ¾Ç¼ºÄڵ尡 ÁÖ·Î À¥ ºê¶ó¿ìÀú³ª ¸ÞÀÏÀÇ Ã·ºÎÆÄÀÏÀ» ÅëÇØ °¨ÇàµÇ¸ç, °ø°ÝÀÚµµ ¾Ç¼ºÄÚµå ¼³Ä¡¸¦ À¯µµÇϱâ À§ÇØ Á¤»ó ÇÁ·Î±×·¥À¸·Î À§ÀåÇØ ¾Ç¼ºÄڵ带 À¯Æ÷ÇÑ´Ù.
¼¹ö ȯ°æÀ» ´ë»óÀ¸·Î ÇÏ´Â °ø°ÝÀÚµéÀº ÀÌ·¯ÇÑ ¹æ½ÄÀ¸·Î ¾Ç¼ºÄڵ带 À¯Æ÷Çϴµ¥ ÇÑ°è°¡ Á¸ÀçÇϱ⠶§¹®¿¡ ´Ù¸¥ ¹æ½ÄÀ» »ç¿ëÇÑ´Ù. ´ëÇ¥ÀûÀ¸·Î ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í Àְųª ÃֽŠ¹öÀüÀ¸·Î ÆÐÄ¡¸¦ ÇÏÁö ¾Ê¾Æ Ãë¾àÁ¡¿¡ ³ëÃâµÈ ¼ºñ½ºµéÀÌ ±× ´ë»óÀÌ µÈ´Ù.
ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â ¼ºñ½º·Î´Â ´ëÇ¥ÀûÀ¸·Î ´Ü¼øÇÑ ÇüÅÂÀÇ °èÁ¤Á¤º¸¸¦ »ç¿ëÇÔ¿¡ µû¶ó »çÀü °ø°Ý¿¡ Ãë¾àÇÑ À¯ÇüÀÌ ÀÖ´Ù. ¿¹¸¦ µé¾î ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® À©µµ ¿î¿µÃ¼Á¦¸¦ ´ë»óÀ¸·Î ÇÏ´Â ÁÖ¿ä °ø°Ý º¤ÅÍ Áß ÇϳªÀÎ Remote Desktop Protocol(RDP) ¹× MS-SQL ¼ºñ½º°¡ ´ëÇ¥ÀûÀÌ´Ù. ¸®´ª½º ¼¹ö ȯ°æ¿¡¼´Â ÁÖ·Î Secure Shell(SSH) ¼ºñ½º°¡ °ø°Ý ´ë»óÀÌ µÈ´Ù. ¿À·¡µÈ ¸®´ª½º ¼¹ö ¶Ç´Â ÀÓº£µðµå ¸®´ª½º ¿î¿µÃ¼Á¦°¡ ¼³Ä¡µÈ IoT ȯ°æ¿¡¼´Â ÅÚ³Ý(Telnet) ¼ºñ½º°¡ »çÀü °ø°Ý ´ë»óÀÌ µÇ±âµµ ÇÑ´Ù.
¡ã½©º¿ ¾Ç¼ºÄÚµåÀÇ ¹öÀü Á¤º¸[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
½©º¿ ¾Ç¼ºÄڵ嵵 °ø°ÝÀÚµéÀÌ ¼³Ä¡ÇÑ ½ºÄ³³Ê ¹× SSH BruteForce ¾Ç¼ºÄÚµåµéÀ» ÀÌ¿ëÇØ È¹µæÇÑ °èÁ¤Á¤º¸¸¦ ÀÌ¿ëÇØ ¼³Ä¡µÈ °ÍÀ¸·Î ÃßÁ¤µÈ´Ù. °ø°ÝÀÚµéÀº 22¹ø Æ÷Æ®ÀÎ SSH ¼ºñ½º°¡ µ¿ÀÛÇÏ´Â ½Ã½ºÅÛµéÀ» ½ºÄ³´×ÇÑ´Ù. ÀÌÈÄ SSH ¼ºñ½º°¡ µ¿ÀÛ ÁßÀÎ ½Ã½ºÅÛÀ» ãÀº ´ÙÀ½ ÈçÈ÷ »ç¿ëµÇ´Â SSH °èÁ¤ Á¤º¸ ¸ñ·ÏÀ» ÀÌ¿ëÇØ »çÀü °ø°ÝÀ» ÁøÇàÇß´Ù.
½©º¿Àº ¿À·£ ±â°£ ´Ù¾çÇÑ °ø°ÝÀڵ鿡 ÀÇÇØ »ç¿ëµÇ°í ÀÖ´Ù. ½©º¿Àº °ø°ÝÀÚ¸¶´Ù Ä¿½ºÅ͸¶ÀÌ¡ÇØ »ç¿ëÇϱ⠶§¹®¿¡ Á¶±Ý¾¿ ´Ù¸¥ ÇüÅ ¹× ±â´ÉÀ» °®´Â´Ù. ÃÖ±Ù À¯Æ÷ ÁßÀÎ °ÍÀ¸·Î È®ÀÎµÈ ½©º¿ ¾Ç¼ºÄÚµå´Â ±âÁØÀ¸·Î Å©°Ô LiGhT¡Çs Modded perlbot v2, DDoS PBot v2.0, PowerBots (C) GohacK µî 3°³·Î ºÐ·ùÇßÀ¸¸ç, ¼³Ä¡¿¡ »ç¿ëµÈ ¸í·É°ú Ư¡, DDoS °ø°ÝÀ» Æ÷ÇÔÇÑ °£·«ÇÑ ±â´ÉµéÀ» Á¤¸®ÇÏ¸é ´ÙÀ½°ú °°´Ù.
ù ¹ø°·Î ¡®LiGhT¡Çs Modded perlbot v2¡¯À̶ó°í À̸§ ºÙ¿©Áø ½©º¿ ¾Ç¼ºÄÚµå´Ù. ¡®LiGhT¡Çs Modded perlbot v2¡¯´Â ´Ù¾çÇÑ °ø°ÝÀÚµéÀÌ »ç¿ëÇÏ°í ÀÖ´Ù. SSH ¼¹ö ·Î±×Àο¡ ¼º°øÇÑ ÀÌÈÄ¿¡´Â ´ÙÀ½°ú °°Àº ¸í·ÉµéÀÌ ½©º¿ ¼³Ä¡¿¡ »ç¿ëµÇ°í ÀÖ´Ù.
C&C ¼¹ö ¹× ÀÔÀåÇÒ Ã¤³Î À̸§°ú °°Àº ¼³Á¤ µ¥ÀÌÅ͵éÀº ½©º¿ÀÇ Ãʱ⠷çƾ¿¡ Á¸ÀçÇÑ´Ù. IRC ä³Î ÀÔÀå¿¡ ÇÊ¿äÇÑ ´Ð³×ÀÓÀº ¡®IP-[·£´ýÇÑ 5°³ÀÇ ¼ýÀÚ]¡¯°¡ »ç¿ëµÈ´Ù.
¡ã½©º¿ÀÇ ¼³Á¤ µ¥ÀÌÅÍ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¡®LiGhT¡Çs Modded perlbot v2¡¯ ¹öÀüÀÇ ½©º¿Àº ´Ù¾çÇÑ ±â´ÉµéÀ» Á¦°øÇϴµ¥, Å©°Ô ´ÙÀ½°ú °°ÀÌ ºÐ·ùÇÒ ¼ö ÀÖ´Ù. ½ÇÁúÀûÀ¸·Î ¾ÇÀÇÀûÀÎ ¸ñÀûÀ¸·Î »ç¿ëµÉ ¼ö ÀÖ´Â ¸í·ÉÀ̶ó°í ÇÑ´Ù¸é TCP, UDP, HTTP Flooding°ú °°Àº DDoS ¸í·Éµé ±×¸®°í ¸®¹ö½º ½©, ·Î±× »èÁ¦, ½ºÄ³³Ê¿Í °°ÀÌ °¨¿° ½Ã½ºÅÛÀ» Á¦¾îÇÏ°í ´Ù¸¥ °ø°Ý¿¡ ÀÌ¿ëÇÒ ¼ö ÀÖµµ·Ï ÇÏ´Â ´Ù¾çÇÑ ¸í·ÉµéÀÌ ÀÖ´Ù.
µÎ ¹ø°·Î ¡®DDoS PBot v2.0¡¯µµ ´Ù¾çÇÑ °ø°Ý¿¡ »ç¿ëµÇ°í ÀÖ´Ù. ¡®DDoS PBot v2.0¡¯´Â Ãʱ⠷çƾ¿¡¼ º¼ ¼ö ÀÖ´Â ÁÖ¼®¿¡ ±âº»ÀûÀÎ Á¤º¸µé°ú »ç¿ë °¡´ÉÇÑ ¸í·ÉµéÀ» º¸¿©ÁÖ´Â Á¡ÀÌ Æ¯Â¡ÀÌ´Ù.
¡®DDoS PBot v2.0¡¯´Â ¡®abbore¡¯, ¡®ably¡¯, ¡®abyss¡¯¸¦ Æ÷ÇÔÇÑ 500°³°¡ ³Ñ´Â ´Ð³×ÀÓµé Áß Çϳª¸¦ ·£´ýÀ¸·Î ¼±ÅÃÇØ IRC ä³Î¿¡ ÀÔÀåÇÏ´Â °ÍÀÌ Æ¯Â¡ÀÌ´Ù. Âü°í·Î ÀϹÝÀûÀÎ IRC BotµéÀº IRC ä³Î¿¡¼ °ø°ÝÀÚ°¡ ³»¸° ¸í·ÉÀ» ¹Þ¾Æ ¾Ç¼º ÇàÀ§¸¦ ¼öÇàÇÑ´Ù. ÀÌ¿¡ µû¶ó ¸í·ÉÀ» ³»¸®´Â °ø°ÝÀÚ¸¦ °ËÁõÇÒ ÇÊ¿ä°¡ ÀÖ´Ù. °ËÁõ °úÁ¤ÀÌ ¾ø´Ù¸é ´Ù¸¥ »ç¿ëÀÚ°¡ ÇØ´ç ä³Î¿¡ ÀÔÀåÇØ ¸¶À½´ë·Î BotµéÀ» Á¦¾îÇÒ ¼ö Àֱ⠶§¹®ÀÌ´Ù.
¡ãDDoS PBot v2.0ÀÇ Ãʱ⠷çƾ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
À̸¦ À§ÇØ IRC BotÀº Ãß°¡ÀûÀÎ ÀÛ¾÷À» ÁøÇàÇϴµ¥, ¸í·ÉÀ» ³»¸®±â À§Çؼ´Â ä³Î¿¡ ÀÔÀåÇÑ »ç¿ëÀÚÀÇ ´Ð³×ÀÓ°ú È£½ºÆ® ÁÖ¼Ò¸¦ °ËÁõÇÑ´Ù. ¿¹¸¦ µé¾î ¡®bash¡¯ ¾Ç¼ºÄڵ忡¼ »ç¿ëÀÚÀÇ ´Ð³×ÀÓÀº ¡®admins¡¯ º¯¼ö¿¡ ÁöÁ¤µÈ ¡®crond¡¯, ¡®drugs¡¯, ¡®tab¡¯ Áß Çϳª¿©¾ß Çϸç, È£½ºÆ® ÁÖ¼Ò´Â ¡®hostauth¡¯ º¯¼ö¿¡ ÁöÁ¤µÈ ¡®localhost¡¯¿©¾ß ÇÑ´Ù. ¡®DDoS PBot v2.0¡¯ ¶ÇÇÑ ÀϹÝÀûÀÎ ShellBot°ú µ¿ÀÏÇÏ°Ô DDoS °ø°ÝÀ» Æ÷ÇÔÇÑ ´Ù¾çÇÑ ¾ÇÀÇÀûÀÎ ¸í·ÉµéÀ» Á¦°øÇÑ´Ù.
¡ãDDoS PBot v2.0ÀÇ ¼³Á¤ µ¥ÀÌÅÍ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
½©º¿Àº Perl ¾ð¾î·Î °³¹ßµÈ °Í ¿Ü¿¡µµ C&C ¼¹ö¿ÍÀÇ Åë½Å¿¡ IRC ÇÁ·ÎÅäÄÝÀ» ÀÌ¿ëÇѴٴ Ư¡ÀÌ ÀÖ´Ù. IRC´Â 1988³â °³¹ßµÈ ½Ç½Ã°£ ÀÎÅÍ³Ý Ã¤Æà ÇÁ·ÎÅäÄÝÀÌ´Ù. »ç¿ëÀÚµéÀº ƯÁ¤ IRC ¼¹öÀÇ Æ¯Á¤ ä³Î¿¡ Á¢¼ÓÇØ °°Àº ä³Î¿¡ Á¢¼ÓÇÑ ´Ù¸¥ »ç¿ëÀÚµé°ú ½Ç½Ã°£À¸·Î äÆÃÇÒ ¼ö ÀÖ´Ù.
IRC º¿Àº ÀÌ·¯ÇÑ IRC¸¦ ¾Ç¿ëÇØ C&C ¼¹ö¿ÍÀÇ Åë½Å¿¡ »ç¿ëÇÏ´Â º¿ ¾Ç¼ºÄÚµå´Ù. °¨¿° ½Ã½ºÅÛ¿¡ ¼³Ä¡µÈ IRC º¿Àº IRC ÇÁ·ÎÅäÄÝ¿¡ µû¶ó °ø°ÝÀÚ°¡ ÁöÁ¤ÇÑ IRC ¼¹öÀÇ Ã¤³Î¿¡ Á¢¼ÓÇϸç, ÀÌÈÄ Å»ÃëÇÑ Á¤º¸¸¦ ÇØ´ç ä³Î¿¡ Àü´ÞÇϰųª °ø°ÝÀÚ°¡ ƯÁ¤ ¹®ÀÚ¿À» ÀÔ·ÂÇÒ °æ¿ì À̸¦ ¸í·ÉÀ¸·Î Àü´Þ¹Þ¾Æ ÀÌ¿¡ »óÀÀÇÏ´Â ¾Ç¼º ÇàÀ§¸¦ ¼öÇàÇÒ ¼ö ÀÖ´Ù.
Ãß°¡ÀûÀÎ C&C ¼¹ö ¹× ÇÁ·ÎÅäÄÝÀ» °³¹ßÇÒ ÇÊ¿ä ¾øÀÌ ÀÌ¹Ì Á¸ÀçÇÏ´Â IRC ÇÁ·ÎÅäÄÝÀ» ÀÌ¿ëÇÏ°í ±âÁ¸ IRC ¼¹ö¸¦ È°¿ëÇÒ ¼ö ÀÖ´Ù´Â Á¡¿¡¼ IRC´Â °ú°ÅºÎÅÍ ²ÙÁØÈ÷ ¾Ç¼ºÄÚµåµé¿¡ ÀÇÇØ »ç¿ëµÆ´Ù. À©µµ ȯ°æÀ» ´ë»óÀ¸·Î ÇÏ´Â ¾Ç¼ºÄÚµå Áß¿¡¼´Â IRC º¿ÀÇ ºñÀ²ÀÌ ÁÙ¾úÁö¸¸, ¸®´ª½º ȯ°æÀÇ °æ¿ì¿¡´Â ¾ÆÁ÷µµ IRC º¿ÀÌ ´Ù¼ö À¯Æ÷µÇ°í ÀÖ´Ù.
¼¼ ¹ø°·Î ¡®PowerBots (C) GohacK¡¯ ¾Ç¼ºÄڵ尡 ÀÖ´Ù. PowerBots´Â À§¿¡¼ ´Ù·é ½©º¿ À¯Çüµéº¸´Ù ´Ü¼øÇÑ ÇüÅÂÀÎ °ÍÀÌ Æ¯Â¡ÀÌ´Ù. ´Ù¾çÇÑ DDoS °ø°Ý ±â´ÉÀ» Á¦°øÇÏ´Â ½©º¿ À¯Çüµé°ú ´Þ¸® ¸®¹ö½º ½© ¹× ÆÄÀÏ ´Ù¿î·Îµå ±â´ÉÀÌ ÁÖ¿ä ±â´ÉÀÎ °ÍÀ» º¸¸é °ø°ÝÀÚ´Â ¹éµµ¾î·Î¼ ½©º¿ ¾Ç¼ºÄڵ带 ¼³Ä¡ÇÑ °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.
¡ãPowerBotsÀÇ ¼³Á¤ µ¥ÀÌÅÍ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
ÃÖ±Ù ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â ¸®´ª½º SSH ¼¹ö¸¦ ´ë»óÀ¸·Î °ø°ÝÀÚµéÀÌ ½©º¿ ¾Ç¼ºÄڵ带 ¼³Ä¡ÇÏ°í ÀÖ´Ù. ÀÌ·¯ÇÑ À¯ÇüÀÇ °ø°ÝµéÀº °ú°ÅºÎÅÍ ²ÙÁØÈ÷ ÁøÇàµÇ°í ÀÖÀ¸¸ç ÃÖ±Ù±îÁöµµ ´Ù¼öÀÇ °ø°ÝÀÌ È®Àεǰí ÀÖ´Ù. ½©º¿ÀÌ ¼³Ä¡µÉ °æ¿ì ¸®´ª½º ¼¹ö´Â °ø°ÝÀÚÀÇ ¸í·ÉÀ» ¹Þ¾Æ ƯÁ¤ ´ë»ó¿¡ ´ëÇÑ DDoS °ø°ÝÀ» ¼öÇàÇÏ´Â DDoS BotÀ¸·Î »ç¿ëµÉ ¼ö ÀÖÀ¸¸ç, ÀÌ¿Ü¿¡µµ ´Ù¾çÇÑ ¹éµµ¾î ±â´ÉÀ» ÅëÇØ Ãß°¡ ¾Ç¼ºÄڵ尡 ¼³Ä¡µÇ°Å³ª ´Ù¸¥ °ø°Ý¿¡ »ç¿ëµÉ ¼ö ÀÖ´Ù.
ÀÌ¿¡ °ü¸®ÀÚµéÀº °èÁ¤ÀÇ ºñ¹Ð¹øÈ£¸¦ ÃßÃøÇϱ⠾î·Á¿î ÇüÅ·Π»ç¿ëÇÏ°í ÁÖ±âÀûÀ¸·Î º¯°æÇØ ¹«Â÷º° ´ëÀÔ °ø°Ý°ú »çÀü °ø°ÝÀ¸·ÎºÎÅÍ ¸®´ª½º ¼¹ö¸¦ º¸È£ÇØ¾ß ÇÑ´Ù. ¼¹ö ÇÁ·Î±×·¥Àº Ç×»ó ÃֽŠ¹öÀüÀ¸·Î ÆÐÄ¡ÇØ Ãë¾àÁ¡ °ø°ÝÀ» ¹æÁöÇØ¾ß ÇÑ´Ù. ¶ÇÇÑ, ¿ÜºÎ¿¡ ¿ÀǵŠÁ¢±Ù °¡´ÉÇÑ ¼¹ö´Â ¹æȺ® µîÀÇ º¸¾ÈÁ¦Ç°À» ÀÌ¿ëÇØ °ø°ÝÀڷκÎÅÍÀÇ Á¢±ÙÀ» ÅëÁ¦ÇØ¾ß ÇÑ´Ù. ¸¶Áö¸·À¸·Î V3 µî ¹é½ÅÀ» ÃֽŠ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®ÇØ ¾Ç¼ºÄÚµåÀÇ °¨¿°À» »çÀü¿¡ Â÷´ÜÇÒ ¼ö ÀÖµµ·Ï ÇØ¾ß ÇÑ´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>