Home > Àüü±â»ç

·¯½ºÆ® ±â¹Ý ¾Ç¼ºÄÚµå ¡®³×¹Ù´Ù¡¯ ·£¼¶¿þ¾î ±¹³» À¯Æ÷ Áß

ÀÔ·Â : 2023-03-21 18:11
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
¸ðµç µå¶óÀ̺ê Ž»öÇØ ¾Ïȣȭ ÁøÇà ¶Ç´Â ¡®file¡¯, ¡®dir¡¯ ¿É¼Ç ÁöÁ¤ °Ë»öµµ °¡´É
¾Ïȣȭ ·çƾ ÀÌÈÄ ÀÚ°¡»èÁ¦ ¼öÇà ±â´Éµµ Áö¿ø... ·¯½Ã¾Æ, º§¶ó·ç½º µî 9°³±¹Àº ¾Ïȣȭ Á¦¿Üµµ


[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ·¯½ºÆ®(Rust) ±â¹ÝÀ¸·Î ÀÛ¼ºµÈ ¾Ç¼ºÄÚµåÀÎ ³×¹Ù´Ù(Nevada) ·£¼¶¿þ¾î°¡ À¯Æ÷µÇ°í ÀÖ´Â °ÍÀÌ È®ÀεƴÙ. ³×¹Ù´Ù ·£¼¶¿þ¾î´Â °¨¿°µÆÀ» ¶§ °¨¿°µÈ ÆÄÀÏ¿¡ ¡®.NEVADA¡¯ È®ÀåÀÚ°¡ Ãß°¡µÇ´Â Ư¡ÀÌ ÀÖ´Ù. ¶ÇÇÑ, ¾Ïȣȭ¸¦ ¼öÇàÇÑ °¢ µð·ºÅ͸®¿¡ ¡®README.txt¡¯ À̸§À¸·Î ·£¼¶³ëÆ®¸¦ »ý¼ºÇϸç, ·£¼¶³ëÆ® ³»¿¡ ÁöºÒÀ» À§ÇÑ Tor ºê¶ó¿ìÀú ¸µÅ©°¡ Á¸ÀçÇÑ´Ù.

¡ã¾Ïȣȭ ÆÄÀÏ ¿¹½Ã ¹× Nevada ·£¼¶³ëÆ®(ÁºÎÅÍ)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


¾È·¦ ASEC ºÐ¼®ÆÀÀº ³×¹Ù´Ù ·£¼¶¿þ¾î´Â ¼¼ºÎ ½ÇÇà ¹æ½Ä ÁöÁ¤À» À§ÇÑ Ä¿¸Çµå ±â¹Ý ¿É¼ÇÀ» Áö¿øÇÏ°í ÀÖ´Ù°í ¹àÇû´Ù. ÀÌ ·£¼¶¿þ¾î´Â º°µµÀÇ ¿É¼ÇÀ» ÁöÁ¤ÇÏÁö ¾Ê°í ½ÇÇà ½Ã, ¸ðµç µå¶óÀ̺긦 ¼øȸÇÏ¸ç ¾Ïȣȭ¸¸À» ÁøÇàÇÏÁö¸¸ ¡®file¡¯, ¡®dir¡¯ ¿É¼Ç ÁöÁ¤À¸·Î °³º° ÆÄÀÏ ¹× µð·ºÅ͸®¸¦ ƯÁ¤ÇØ ¾Ïȣȭ¸¦ ¼öÇàÇϰųª ±âŸ ¿É¼ÇµéÀ» ÅëÇØ ÀÚ°¡»èÁ¦, ¾Ïȣȭ ´ë»ó µå¶óÀ̺ê Ãß°¡ ·Îµå, ¾ÈÀü¸ðµå¿¡¼­ µ¿ÀÛ ¼öÇà µîÀÇ ±â´ÉÀ» È°¼ºÈ­ÇÒ ¼ö ÀÖ´Ù.

¡ãNevada ·£¼¶¿þ¾î ½ÇÇà ¿É¼Ç[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


³×¹Ù´Ù ·£¼¶¿þ¾îÀÇ ÁÖ¿ä ±â´É ´Ù¼¸ °¡Áö Áß Ã¹ ¹ø°´Â ¡®ÀÚ°¡»èÁ¦(-sd)¡¯ ±â´ÉÀ¸·Î, ³×¹Ù´Ù ·£¼¶¿þ¾î´Â ¾Ïȣȭ ·çƾ ¼öÇà ÀÌÈÄ ÀÚ°¡»èÁ¦¸¦ ¼öÇàÇÏ´Â ±â´ÉÀ» Áö¿øÇÑ´Ù. µÎ ¹ø°·Î, ¡®º¼·ý½¦µµ »èÁ¦(-sc)¡¯ ±â´ÉÀÌ ÀÖ´Ù. ³×¹Ù´Ù ·£¼¶¿þ¾î´Â DeviceIoControlÀ» È°¿ëÇØ, ½Ã½ºÅÛ º¹±¸¸¦ ¹æÇØ(T1490)ÇÏ´Â ±â¹ýÀÌ È®ÀεƴÙ. ½Ã½ºÅÛ º¹±¸ ¹æÇØ´Â ÇØ´ç ·£¼¶¿þ¾î ³»¿¡¼­ È®ÀÎµÈ º¼·ý½¦µµ º¹»çº»(VSS, Volume Shadow Copy)À» »èÁ¦ÇÏ´Â ¹æ½ÄÀ¸·Î ÁøÇàÇÑ´Ù. ÀÌ´Â 2³â Àü Æ®À§ÅÍ ¹× ±êÇãºê(poc)¿¡ °ø°³µÈ ¹æ¹ýÀ¸·Î ÆľǵȴÙ.

¡ãNevada ·£¼¶¿þ¾îÀÇ ÀÚ°¡»èÁ¦ ¿É¼Ç ¹× DeviceIoControl()À» È°¿ëÇÑ º¼·ý½¦µµ Å©±â ÀçÁöÁ¤(ÁºÎÅÍ)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


ÇØ´ç ÄÚµå´Â Á÷Á¢ÀûÀÎ Device IO Control callsÀ» ÅëÇØ µð¹ÙÀ̽º µå¶óÀ̹ö¿¡ Á÷Á¢ ¿¢¼¼½ºÇØ ¡®Volume Shadow Copy Storage Å©±â¸¦ ¸Å¿ì ÀÛÀº Å©±â·Î ÀçÁöÁ¤¡¯ÇÏ´Â ¹æ½ÄÀÌ´Ù. ÈçÈ÷ vssadmin, wbadmin, bcdedit, wmic ¸í·É¾î È£ÃâÀ» ÅëÇØ ½Ã½ºÅÛ º¹±¸¸¦ ¹æÇØÇÏ´Â ±â¹ýÀº ±âÁ¸¿¡ ´Ù¾çÇÑ ¾Ç¼ºÄڵ忡¼­ È°¿ëµÇ°í ÀÖ¾úÀ¸³ª, ÇØ´ç ·£¼¶¿þ¾î´Â Device IO Control callsÀ» Á÷Á¢ ÀÌ¿ëÇÏ´Â ÈçÈ÷ »ç¿ëµÇÁö ¾Ê´Â ¹æ½ÄÀ» È°¿ëÇÑ °ÍÀÌ Æ¯Â¡ÀÌ´Ù.

¼¼ ¹ø°´Â ¡®hidden µå¶óÀÌºê ·Îµå(-lhd)¡¯ ±â´ÉÀ¸·Î, ³×¹Ù´Ù ·£¼¶¿þ¾î´Â Á¤ÀÇµÈ °¢ µå¶óÀÌºê ¹®ÀÚ¿­µéÀ» È°¿ëÇØ °¢ º¼·ýÀ» ¼øȸÇϸç, ¼û°ÜÁø ÆÄƼ¼ÇÀ» ·ÎµåÇØ ¾Ïȣȭ¸¦ ¼öÇàÇÏ´Â ±â´ÉÀÌ ÀÖ´Ù.

´ÙÀ½À¸·Î ¡®³×Æ®¿öÅ© °øÀ¯Æú´õ ¾Ïȣȭ(-nd)¡¯ ±â´ÉÀÌ´Ù. ÀÌ ±â´ÉÀº ¼û°ÜÁø µå¶óÀ̺긦 ·ÎµåÇØ ¾Ïȣȭ¸¦ ¼öÇàÇÏ´Â ±â´É ¿Ü¿¡µµ, ½Ã½ºÅÛ ³»¿¡ Á¸ÀçÇÏ´Â ³×Æ®¿öÅ© °øÀ¯ ¸®¼Ò½º¿¡ Á¢±ÙÇØ ¾Ïȣȭ¸¦ ¼öÇàÇÑ´Ù.

¡ã¼û°ÜÁø ÆÄƼ¼ÇÀ» ·ÎµåÇØ ¾Ïȣȭ ¹× ³×Æ®¿öÅ© °øÀ¯Æú´õ ¾Ïȣȭ(ÁºÎÅÍ)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


´Ù¼¸ ¹ø°´Â ¡®¾ÈÀü¸ðµå·Î µ¿ÀÛ(-sm)¡¯ÇÏ´Â ±â´ÉÀÌ´Ù. ÇØ´ç ¾Ç¼ºÄÚµå´Â ¾ÈÀü¸ðµå·Î ÀçºÎÆÃÇØ µ¿ÀÛÇÏ´Â ±â´ÉÀÌ ÀÖÀ¸¸ç, À̸¦ À§ÇØ ÇØ´ç ·£¼¶¿þ¾î ÇÁ·Î±×·¥À» ¾ÈÀü¸ðµå ºÎÆà ÀÌÈÄ ½ÇÇàµÇ´Â ¼­ºñ½º ÇüÅ·Πµî·Ï ÈÄ ½ÇÇàÇÏ´Â ±â´Éµµ ÀÖ´Ù. ÀÌ¿Ü¿¡µµ ¾ÈÀü¸ðµå ºÎÆà ÀÌÈÄ ÀÚµ¿½ÃÀÛ ¼­ºñ½º ¸ñ·Ï¿¡¼­ WinDefender¸¦ Á¦°ÅÇÏ´Â ±â´Éµµ È®ÀεƴÙ.

¡ã¾ÈÀü¸ðµå ºÎÆà ÈÄ µ¿ÀÛÀ» À§ÇÑ ¼­ºñ½º »ý¼º ¹× ÀÚµ¿½ÃÀÛ ·¹Áö½ºÆ®¸® µî·Ï[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


³×¹Ù´Ù ·£¼¶¿þ¾îÀÇ °¨¿° ´ë»ó ¹× ¾Ïȣȭ ¿¹¿Ü Á¶°ÇÀº ´ÙÀ½°ú °°´Ù. ¸ÕÀú °¨¿° Á¦¿Ü LocaleÀº ³×¹Ù´Ù ·£¼¶¿þ¾î »ùÇÃÀÇ °æ¿ì, Commonwealth of Independent States(CIS) ±¹°¡ Áß ÀϺΠ9°³±¹(0x0419(ru-RU), 0x0444(tt-RU), 0x0423(be-BY), 0x0428(tg-Cyrl-TJ), 0x042B(hy-AM), 0x042C(az-Latn-AZ), 0x0440(ky-KG), 0x0443(uz-Latn-UZ), 0x0819(ru-MD))¿¡¼­´Â ÆÄÀÏÀ» °¨¿°ÇÏÁö ¾Ê°í Á¾·áÇϴ Ư¡ÀÌ ÀÖ´Ù. ÇØ´ç ±¹°¡´Â ±¸¼Ò·Ã °ü·Ã ±¹°¡µé·Î È®ÀεǸç, ÀÌ·¯ÇÑ ¿¹¿Ü ±¹°¡ ¼³Á¤À» À§ÇØ ÄÚµå ³» ¿¹¿Ü´ë»ó ±¹°¡µé¿¡ ´ëÇÑ ºñÆ® Ç÷¡±×°¡ ¼³Á¤µÈ °ÍÀ¸·Î º¸Àδٴ °Ô ¾È·¦ ASEC ºÐ¼®ÆÀÀÇ ¼³¸íÀÌ´Ù.

¡ãNEVADA ·£¼¶¿þ¾îÀÇ ¾ð¾î ÄÚµå üũ ·çƾ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


³×¹Ù´Ù ·£¼¶¿þ¾î´Â ¾Ïȣȭ ´ë»ó¿¡¼­ ¿¹¿Üó¸®ÇÒ ÆÄÀÏ¸í ¹× Æú´õ¸íÀ» üũÇÏ´Â ·çƾÀÌ Æ÷ÇԵƴÙ. °á°úÀûÀ¸·Î ¾Ïȣȭ ¿¹¿Ü ´ë»óÀÌ µÇ´Â Æú´õ´Â windows, program files, program files (x86), appdata, programdata, system volume information, NEVADA µîÀ̸ç, ¾Ïȣȭ Á¦¿Ü È®ÀåÀÚ´Â ¡®.exe¡¯, ¡®.ini¡¯, ¡®.dll¡¯, ¡®.url¡¯, ¡®.lnk¡¯, ¡®.scr¡¯ µîÀÌ´Ù. ¶ÇÇÑ, °¨¿° Á¦¿Ü substringÀº ntuserÀÌ´Ù.

¾È·¦ ASEC ºÐ¼®ÆÀ °ü°èÀÚ´Â ¡°·£¼¶¿þ¾î ¿¹¹æÀ» À§ÇØ Ãâó°¡ ºÒºÐ¸íÇÑ ÆÄÀÏ ½ÇÇà¿¡ ÁÖÀÇÇØ¾ß Çϸç, Àǽɽº·¯¿î ÆÄÀÏÀÇ °æ¿ì ¹é½ÅÀ» ÅëÇÑ °Ë»ç ¹× ¹é½Å ÃֽŠ¾÷µ¥ÀÌÆ®°¡ ÇÊ¿äÇÏ´Ù¡±°í ¹àÇû´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)