Home > Àüü±â»ç

¼ºÀÎ °ÔÀÓ À§ÀåÇÑ Á¤º¸ Å»ÃëÇü ¾Ç¼ºÄÚµå ¹ß°ß... ÀϺ» »ç¿ëÀÚµé ³ë¸°´Ù

ÀÔ·Â : 2023-05-15 00:24
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
Å䷻Ʈ µî ºÒ¹ý °øÀ¯ »çÀÌÆ® ÅëÇØ À¯Æ÷µÇ´Â °ÍÀ¸·Î ÃßÁ¤
¾È·¦ ASEC ºÐ¼®ÆÀ, ¾Ç¼ºÄÚµå´Â DLL ÇÏÀÌÀçÅ· ¹æ½ÄÀ¸·Î µ¿ÀÛ


[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ¼ºÀÎ °ÔÀÓÀ¸·Î À§ÀåÇÑ Á¤º¸ Å»ÃëÇü ¾Ç¼ºÄڵ尡 À¯Æ÷ ÁßÀÎ °ÍÀ¸·Î µå·¯³µ´Ù. À¯Æ÷ °æ·Î´Â È®ÀεÇÁö ¾ÊÁö¸¸, ¼ºÀÎ °ÔÀÓÀ̱⠶§¹®¿¡ Å䷻Ʈ³ª ºÒ¹ý °øÀ¯ »çÀÌÆ®¸¦ ÅëÇØ À¯Æ÷µÇ°í ÀÖ´Â °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.

¡ãÁ¤»óÀûÀÎ °ÔÀÓ ¼³Ä¡ Æú´õ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


¾È·¦ ASEC ºÐ¼®ÆÀÀº ÃÖ±Ù ÀϺ» »ç¿ëÀÚµéÀ» ´ë»óÀ¸·Î ÇÏ´Â ¼ºÀÎ °ÔÀÓ À§Àå Á¤º¸ Å»ÃëÇü ¾Ç¼ºÄڵ带 ¹ß°ßÇß´Ù. ¼ºÀÎ °ÔÀÓÀ» À§ÀåÇÑ ¾Ç¼ºÄÚµå À¯Æ÷ ¹æ½ÄÀº ±¹³»¿¡¼­µµ ÀÚÁÖ »ç¿ëµÈ´Ù. °ø°ÝÀÚ´Â Á÷Á¢ Á¦ÀÛÇÑ °ÍÀ¸·Î º¸ÀÌ´Â ¾Ç¼ºÄÚµåµéÀ» »ç¿ëÇßÀ¸¸ç, PDB Á¤º¸¸¦ ÅëÇØ Stellar, ReceiverNeo¶ó´Â À̸§À» È®ÀÎÇÒ ¼ö ÀÖ¾ú´Ù. ¸î °³ÀÇ °æ·ÎµéÀ» ÅëÇØ ¾Ç¼ºÄڵ尡 ŽÁöµÆÀ¸¸ç, ´Ù¾çÇÑ ¼ºÀÎ °ÔÀÓ¿¡ Æ÷ÇԵǾî À¯Æ÷µÈ °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.

ÀϹÝÀûÀ¸·Î ÀÌ·¯ÇÑ ¼ºÀÎ °ÔÀÓÀº ¾ÐÃà ÆÄÀÏ·Î À¯Æ÷µÇ¸ç ¡â¾ÐÃà ÇØÁ¦ Æú´õ ¾È¿¡ ÀÖ´Â ¡®Start.exe¡¯´Â °ÔÀÓÀÇ ·±Ã³ ÇÁ·Î±×·¥À¸·Î ¡â¡®Lib¡¯ Æú´õ¿¡´Â °ÔÀÓ ÇÁ·Î±×·¥ÀÌ »ç¿ëÇÒ ¶óÀ̺귯¸® ÆÄÀϵéÀÌ Á¸ÀçÇÏ´Â µîÀÇ ÇüŸ¦ º¸ÀÌ°í ÀÖ´Ù.

¾Ç¼ºÄڵ嵵 °ÔÀÓ ÆÄÀÏ°ú °°ÀÌ ¾ÐÃà ÆÄÀÏ·Î À¯Æ÷µÆÀ¸¸ç, ÇÑ °¡Áö Â÷ÀÌÁ¡À̶ó¸é ¡®Lib¡¯ Æú´õ¿¡ ¾Ç¼ºÄڵ尡 Æ÷ÇԵƴٴ Á¡ÀÌ´Ù. µå·ÎÆÛ ¾Ç¼ºÄÚµå´Â ¡®Sound.dll¡¯ À̸§À¸·Î Á¸ÀçÇϸç, ´ë½Å ¿øº» ¡®Sound.dll¡¯Àº ¡®SoundDX.dll¡¯, ¹æÈ­º® ¼³Á¤ ¾Ç¼ºÄÚµå´Â ¡®Vorbis64.dll¡¯ À̸§À¸·Î Á¸ÀçÇÑ´Ù.

¡ãÇÁ·Î¼¼½º Æ®¸®[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


¾Ç¼ºÄÚµå´Â DLL ÇÏÀÌÀçÅ· ¹æ½ÄÀ» ÅëÇØ ½ÇÇàµÈ´Ù. °ÔÀÓ ÇÁ·Î±×·¥ÀÎ ¡®Start.exe¡¯°¡ ½ÇÇàµÇ¸é ¡®Lib¡¯ Æú´õ¿¡ Á¸ÀçÇÏ´Â ¡®Sound.dll¡¯À» ·ÎµåÇϴµ¥, °ø°ÝÀÚ´Â ¾Ç¼ºÄڵ带 ¡®Sound.dll¡¯ °æ·Î¿¡ µ×±â ¶§¹®¿¡ Á¤»ó ¶óÀ̺귯¸® ÆÄÀÏ ´ë½Å ¾Ç¼ºÄڵ尡 ·ÎµåµÈ´Ù. ¾Ç¼º ¡®Sound.dll¡¯Àº Á¤»ó ÆÄÀÏó·³ À§ÀåÇÏ°í ÀÖÀ¸¸ç ½ÇÁ¦ Export ÇÔ¼öµéµµ °°´Ù.

¡®Start.exe¡¯°¡ µ¿ÀÛ °úÁ¤¿¡¼­ Á¤»ó ¡®Sound.dll¡¯ÀÇ Æ¯Á¤ ÇÔ¼ö¸¦ ½ÇÇàÇÏ·Á°í ½ÃµµÇÒ °æ¿ì ¾Ç¼ºÄÚµå ¡®Sound.dll¡¯Àº µ¿ÀÏ °æ·Î¿¡ Á¸ÀçÇÏ´Â ¡®SoundDX.dll¡¯ÀÇ ÇØ´ç ÇÔ¼ö°¡ ½ÇÇàµÇµµ·Ï ÇÑ´Ù. ¾Ç¼º ·çƾÀº DllMain() ÇÔ¼ö¿¡ Á¸ÀçÇϱ⠶§¹®¿¡ DLL ·Îµå ½Ã ¹Ù·Î ½ÇÇàµÇ¸ç, Á¤»ó ¶óÀ̺귯¸®¿¡ ´ëÇÑ ÇÔ¼ö È£Ãâµµ Áö¿øÇØ ¼ºÀÎ °ÔÀÓ ÀÚüµµ Á¤»óÀûÀ¸·Î µ¿ÀÛÇÑ´Ù. ÀÌ¿¡ µû¶ó »ç¿ëÀÚµéÀº °ÔÀÓÀÌ Á¤»óÀûÀ¸·Î µ¿ÀÛÇÏ´Â °ÍÀ¸·Î ÀÎÁöÇÏ°Ô µÇ´Âµ¥, °ÔÀÓ°ú ÇÔ²² ¾Ç¼º ·çƾµµ ½ÇÇàµÈ´Ù.

¡ã¾Ç¼ºÄڵ尡 Æ÷ÇÔµÈ Lib Æú´õ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


¡®Sound.dll¡¯Àº µå·ÎÆÛ ¾Ç¼ºÄÚµå·Î ÆÄÀÏ ³»ºÎÀÇ .data ¼½¼Ç¿¡ ½ÇÁ¦ ÀÎÆ÷½ºÆ¿·¯ ¾Ç¼ºÄڵ带 °®°í ÀÖ´Ù°¡ ƯÁ¤ °æ·Î¿¡ ¾Ç¼ºÄڵ带 »ý¼ºÇÑ´Ù. ¾Ç¼ºÄÚµå Áß¿¡¼­ ¡®taskdiskmgr.exe¡¯´Â Á÷Á¢ ½ÇÇàÇÏ°í, ¡®UpdChk.exe¡¯´Â ¡®App¡¯ À̸§À¸·Î ÀÛ¾÷ ½ºÄÉÁÙ·¯¿¡ µî·ÏÇØ 8½Ã°£¸¶´Ù ½ÇÇàµÇ°Ô ÇÑ´Ù.

¡®Sound.dll¡¯Àº .NETÀÇ ÄÚµå ÇÁ·ÎÆÄÀϸµ(Code Profiling) ±â´ÉÀ» ¾Ç¿ëÇÏ´Â ¹æ½ÄÀ¸·Î UAC¸¦ ¿ìȸÇÑ´Ù. ´ÙÀ½°ú °°Àº ·¹Áö½ºÆ®¸® Å°´Â °ü¸®ÀÚ ±ÇÇÑ ¾øÀ̵µ ¾µ ¼ö Àִµ¥, ÇØ´ç Å°¿¡ ¾Ç¼º DLLÀÇ °æ·Î¸¦ ÁöÁ¤ÇÏ°í ¡®mmc.exe¡¯¸¦ ½ÇÇàÇÒ °æ¿ì ¡®mmc.exe¡¯ ÇÁ·Î¼¼½º¿¡ ÁöÁ¤ÇÑ DLLÀÌ ·ÎµåµÅ ½ÇÇàµÈ´Ù. ¹®Á¦´Â ¡®mmc.exe¡¯°¡ UAC ÇÁ·ÒÇÁÆ®ÀÇ Æ˾÷ ¾øÀ̵µ °ü¸®ÀÚ ±ÇÇÑÀ¸·Î ½ÇÇàµÇ´Â ÇÁ·Î±×·¥À̹ǷΠ°á±¹ °ü¸®ÀÚ ±ÇÇѸ¸À¸·Î ½ÇÇàµÉ ¼ö ÀÖ´Ù.

¡®Sound.dll¡¯ÀÌ »ý¼ºÇÏ´Â ¾Ç¼ºÄÚµåµéÀº ÀÎÆ÷½ºÆ¿·¯À̸ç, ÀÌ¿¡ µû¶ó Å»ÃëÇÑ Á¤º¸¸¦ ¸í·ÉÁ¦¾î(C&C) ¼­¹ö¿¡ Àü¼ÛÇØ¾ß ÇÑ´Ù. °ø°ÝÀÚ´Â À̸¦ À§ÇØ ¹æÈ­º®À» ¼³Á¤ÇØ ¼³Ä¡ÇÑ ¾Ç¼ºÄÚµåµéÀÇ ³×Æ®¿öÅ© ÇàÀ§¸¦ Çã¿ëÄÉ ÇÒ ÇÊ¿ä°¡ ÀÖ´Ù. ¡®Vorbis64.dll¡¯Àº ¹æÈ­º® ÀÛ¾÷ ½Ã °ü¸®ÀÚ ±ÇÇÑÀ» ÇÊ¿ä·Î Çϱ⠶§¹®¿¡ UAC ¿ìȸ ¹æ½ÄÀ» ÅëÇØ ¡®Vorbis64.dll¡¯À» °ü¸®ÀÚ ±ÇÇÑÀ¸·Î µ¿ÀÛ½ÃÅ°´Â °ÍÀÌ´Ù.

¡ã.data ¼½¼Ç¿¡ Á¸ÀçÇÏ´Â ¾Ç¼ºÄÚµåµé[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


¡®Stellar¡¯¶ó´Â À̸§À¸·Î ¸¸µé¾îÁø ÀÎÆ÷½ºÆ¿·¯ ¾Ç¼ºÄڵ尡 ÀÖ´Ù. ¸ÕÀú, ÃÖÃÊ·Î ½ÇÇàµÇ´Â ¡®taskdiskmgr.exe¡¯´Â À¥ ºê¶ó¿ìÀú, FTP Ŭ¶óÀ̾ðÆ®, ºñ¹Ð¹øÈ£ °ü¸®ÀÚ, ¾ÏȣȭÆó Áö°© ÆÄÀÏ µî »ç¿ëÀÚ Á¤º¸¸¦ Å»ÃëÇÑ´Ù. ¾Ç¼ºÄÚµå Á¦ÀÛÀÚ´Â ÇØ´ç ¾Ç¼ºÄڵ带 ¡®Stellar¡¯¶ó´Â À̸§À¸·Î Á¦ÀÛÇßÀ¸¸ç, ƯÁ¤ ¾Ç¼ºÄÚµå ÇÁ·Î±×·¥ µ¥ÀÌÅͺ£À̽º Á¤º¸¸¦ ÅëÇØ È®ÀÎÇÒ ¼ö ÀÖ´Ù.

Stellar´Â ƯÁ¤ Æú´õ¸¦ »ý¼ºÇϴµ¥, ¿©±â¿¡´Â ÀÌÈÄ °úÁ¤¿¡¼­ Å»ÃëÇÑ Á¤º¸µéÀÌ ÀúÀåµÈ´Ù. Á¤º¸ Å»Ãë ´ë»óÀº ¡â±âº» Á¤º¸(OS Á¤º¸, »ç¿ëÀÚ À̸§, ÇÁ·Î¼¼½º ¸ñ·Ï) ¡âÀ¥ ºê¶ó¿ìÀú °èÁ¤ Á¤º¸(Google Chrome, Mozilla FireFox, Microsoft Edge) ¡âÀ̸ÞÀÏ Å¬¶óÀ̾ðÆ® °èÁ¤ Á¤º¸(Thunderbird) ¡âFTP Ŭ¶óÀ̾ðÆ® °èÁ¤ Á¤º¸(NextFTP, WinSCP) ¡âºñ¹Ð¹øÈ£ °ü¸®ÀÚ(KeePass, 1Password) ¡â¾ÏȣȭÆó(ºñÆ®ÄÚÀÎ) ¡â»ç¿ëÀÚ ÆÄÀÏ(¹ÙÅÁÈ­¸é, ¹®¼­ Æú´õ ³»ÀÇ ÆÄÀϵé) ¡â±âŸ(Dropbox, Putty) µîÀÌ´Ù.

¡ãStellarÀÇ Main ·çƾ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


¹ÙÅÁÈ­¸é°ú ¹®¼­ Æú´õ¿¡ Á¸ÀçÇÏ´Â ÆÄÀϵéÀÇ °æ¿ì ƯÁ¤ Å°¿öµå¸¦ Æ÷ÇÔÇÏ´Â ÆÄÀϸíÀ̰ųª ƯÁ¤ Å°¿öµå¸¦ Æ÷ÇÔÇÏ´Â Æú´õ ¾È¿¡ Á¸ÀçÇÏ´Â ÆÄÀϵéÀÌ Å»Ãë ´ë»óÀÌ µÈ´Ù. ºñÆ®ÄÚÀÎÀÇ °æ¿ìµµ ¼³Ä¡ °æ·Î¿¡ Á¸ÀçÇϴ ƯÁ¤ À̸§ÀÇ ÆÄÀϵéÀÌ Å»Ãë ´ë»óÀÌ µÈ´Ù. Å»Ãë ´ë»ó ÆÄÀÏ ¹× Æú´õ À̸§Àº ¡â¹ÙÅÁÈ­¸é Æú´õ¿¡ Á¸ÀçÇÏ´Â »ç¿ëÀÚ ÆÄÀϵé(ÆÄÀÏ À̸§) ¡â¹ÙÅÁÈ­¸é Æú´õ¿¡ Á¸ÀçÇÏ´Â »ç¿ëÀÚ ÆÄÀϵé (Æú´õ À̸§) ¡â¹ÙÅÁÈ­¸é Æú´õ¿¡ Á¸ÀçÇÏ´Â »ç¿ëÀÚ ÆÄÀϵé(Æú´õ À̸§) ¡â¹®¼­ Æú´õ¿¡ Á¸ÀçÇÏ´Â »ç¿ëÀÚ ÆÄÀϵé(ÆÄÀÏ À̸§) ¡â¹®¼­ Æú´õ¿¡ Á¸ÀçÇÏ´Â »ç¿ëÀÚ ÆÄÀϵé(Æú´õ À̸§) ¡âºñÆ®ÄÚÀÎ ¼³Ä¡ Æú´õ¿¡ Á¸ÀçÇÏ´Â ¼³Á¤ ÆÄÀϵé(ÆÄÀÏ À̸§) µîÀÌ´Ù.

¼öÁýÇÑ Á¤º¸ ¹× ÆÄÀϵéÀº C&C ¼­¹ö¿¡ HTTP·Î Á¢¼ÓÇØ POST ¹æ½ÄÀ¸·Î Àü¼ÛÇÑ´Ù. Stellar´Â ´Ù¾çÇÑ »ç¿ëÀÚ ÆÄÀϵéÀ» Å»ÃëÇϱ⠶§¹®¿¡ ¼öÁýÇÑ ÆÄÀϵéÀ» ³ª´²¼­ Àü¼ÛÇÑ´Ù. Á¤º¸ Å»Ãë ·çƾ ´ëºÎºÐÀº ÀÌ¹Ì ¾Ë·ÁÁø ÀÎÆ÷½ºÆ¿·¯ ¾Ç¼ºÄÚµåÀÇ ¹æ½Ä°ú µ¿ÀÏÇÏÁö¸¸, Edge À¥ ºê¶ó¿ìÀúÀÇ °æ¿ì ÆÄ¿ö½©ÀÇ PasswordVault¸¦ ÀÌ¿ëÇÑ´Ù´Â Á¡ÀÌ Æ¯Â¡ÀÌ´Ù. Âü°í·Î Stellar´Â º¸¾È Á¦Ç°ÀÇ AMSI·Î ÀÎÇØ PasswordVault ÆÄ¿ö½© ¸í·ÉÀÌ Â÷´ÜµÇ´Â °ÍÀ» ¹æÁöÇϱâ À§ÇØ ÇØ´ç ¸í·ÉÀ» ½ÇÇàÇϱâ ÀÌÀü¿¡ AMSI ºñÈ°¼ºÈ­¸¦ ½ÃµµÇÑ´Ù. ¸¶Áö¸·À¸·Î Å»ÃëÇÑ Á¤º¸°¡ ÀúÀåµÅ ÀÖ´Â Æú´õ¸¦ »èÁ¦ÇÏ°í, ·¹Áö½ºÆ®¸® Å° ¡®HKCU\Software\Kdslnc¡¯ÀÇ ¡®Id¡¯ Ç׸ñ¿¡ ·£´ýÇÑ ¹®ÀÚ¿­À» ¾´ ÈÄ Á¾·áÇÑ´Ù.

¡®UpdaChk.exe¡¯´Â °¨¿° ½Ã½ºÅÛÀÇ ½ºÅ©¸°¼¦À» Å»ÃëÇÏ´Â Á¤º¸ Å»ÃëÇü ¾Ç¼ºÄÚµå´Ù. PDB Á¤º¸¸¦ º¸¸é ¾Ç¼ºÄÚµå Á¦ÀÛÀÚ´Â ÇØ´ç ¾Ç¼ºÄڵ带 ReceiverNeo¶ó´Â À̸§À¸·Î Á¦ÀÛÇß´Ù. °ø°ÝÀÚ´Â Stellar°¡ ¸ÕÀú µ¿ÀÛÇϵµ·Ï ¼³°èÇÏ°í ÀÌÈÄ ÁÖ±âÀûÀ¸·Î ½ºÅ©¸°¼¦À» Å»ÃëÇÏ´Â ReceiverNeo°¡ µ¿ÀÛÇϵµ·Ï Çß´Ù. ReceiverNeo´Â ´Ü¼øÇÏ°Ô ½ºÅ©¸°¼¦À» Å»ÃëÇÏ´Â ±â´ÉÀÌ ÀüºÎÀ̸ç, ÀúÀåµÈ ½ºÅ©¸°¼¦Àº Stellaró·³ C&C ¼­¹ö¿¡ Àü¼ÛµÈ´Ù.

¾È·¦ ASEC ºÐ¼®ÆÀ °ü°èÀÚ´Â ¡°ÀÚ·á °øÀ¯ »çÀÌÆ®¿¡¼­ ´Ù¿î·ÎµåÇÑ ½ÇÇà ÆÄÀÏÀº °¢º°È÷ ÁÖÀÇÇØ¾ß ÇÏ°í, À¯Æ¿¸®Æ¼ ¹× °ÔÀÓ µîÀÇ ÇÁ·Î±×·¥Àº ¹Ýµå½Ã °ø½Ä ȨÆäÀÌÁö¿¡¼­ ´Ù¿î·ÎµåÇÏ´Â °ÍÀ» ±ÇÀåÇÑ´Ù¡±¸ç ¡°»ç¿ëÀÚ´Â ¹é½ÅÀ» ÃֽŠ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®ÇØ ¾Ç¼ºÄÚµå °¨¿°À» »çÀü¿¡ Â÷´ÜÇØ¾ß ÇÑ´Ù¡±°í ¸»Çß´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)