[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÃÖ±Ù ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°Å³ª °ø°Ý¿¡ Ãë¾àÇÑ MS-SQL ¼¹ö¸¦ ´ë»óÀ¸·Î ·¥ÄÚ½º·§ ¾Ç¼ºÄÚµå(Remcos RAT)°¡ ¼³Ä¡µÇ°í ÀÖ¾î »ç¿ëÀÚµéÀÇ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù. ·¥ÄÚ½º·§Àº ¼ö³â ÀüºÎÅÍ ½ºÆÔ ¸ÞÀÏÀ» ÅëÇØ ²ÙÁØÇÏ°Ô À¯Æ÷µÇ°í ÀÖ´Â RAT(Remote Administration Tool) ¾Ç¼ºÄÚµå´Ù.
¡ã¾È·¦ Smart Defense ·Î±×1[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¾È·¦ ASEC ºÐ¼®ÆÀ(ÀÌÇÏ ASEC)¿¡ µû¸£¸é À̹ø »ç·Ê´Â ´ç½Ã À¯Æ÷ ¹æ½Ä°ú ´Ù¸£°Ô °ø°ÝÀÚ´Â sqlps¸¦ À¯Æ÷¿¡ È°¿ëÇÏ°í ÀÖ´Â °ÍÀÌ È®ÀεƴÙ. sqlps´Â SQL Server ¼³Ä¡¿¡ Æ÷ÇԵŠÀÖ´Â SQL Server PowerShellÀÌ´Ù. SQL Server PowerShellÀ» »ç¿ëÇϸé SQL Server ÀνºÅϽº¸¦ °ü¸®ÇÏ´Â µ¥ ÇÊ¿äÇÑ PowerShell cmdletÀ» »ç¿ëÇÒ ¼ö Àִµ¥, °ø°ÝÀÚ´Â ÀÌ·± ±â´ÉÀ» ¾Ç¿ëÇØ ¾Ç¼ºÄÚµå À¯Æ÷¿¡ È°¿ëÇß´Ù.
ASECÀÇ AhnLab Smart Defense(ASD) ·Î±×¿¡ µû¸£¸é, °ø°ÝÀÚ´Â ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â MS-SQL ¼¹ö¿¡ ħÅõÇØ sqlps ¸í·É¾î·Î ¾Ç¼ºÄڵ带 %temp% °æ·Î¿¡ ´Ù¿î·Îµå ¹× ½ÇÇàÇÏ´Â °ÍÀ¸·Î µå·¯³µ´Ù. ¼³Ä¡µÇ´Â ¾Ç¼ºÄÚµå´Â QSetup Installation Suite·Î ÀÛ¼ºµÈ ÆÄÀÏÀÌ´Ù.
QSetup Installation SuiteÀº ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® À©µµ(Windows) ¿î¿µÃ¼Á¦¿¡¼ »ç¿ëÇÒ ¼ö ÀÖ´Â ¼³Ä¡ ÇÁ·Î±×·¥ Á¦ÀÛµµ±¸¸¦ ¶æÇÑ´Ù. ¾Ç¼ºÄڵ带 ½ÇÇàÇÏ°Ô µÇ¸é ¡âArchitecture ¡âClarke ¡âConversion ¡âDust ¡âHacker ¡âLone ¡âPayment ¡âPhilosophy ¡âProvided ¡âScotia ¡âSeek ¡âTones ¡âUnderstand ¡âYemen µîÀÇ ÆÄÀϵéÀÌ Àӽðæ·Î¿¡ »ý¼ºµÇ¸ç Dust ÆÄÀÏÀ» ½ÇÇàÇÑ´Ù.
¡ãdust ½ÇÇà ¸í·É¾î[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
QSetup »ý¼ºÆÄÀÏÀÇ Àӽà °æ·Î¿¡ »ý¼ºµÈ Dust ÆÄÀÏÀº ³µ¶ÈµÈ VBS ½ºÅ©¸³Æ® ÆÄÀÏ·Î, ƯÁ¤ ¸í·É¾î¸¦ ¼öÇàÇÑ´Ù. Dust ÆÄÀÏÀº ·£´ýÇÑ À̸§ÀÇ Æú´õ¸¦ »ý¼ºÇÏ°í, Àӽà °æ·Î¿¡ »ý¼ºµÈ ÆÄÀÏÀ» ÇÕÃÄ ½ÇÇà ÆÄÀÏ·Î »ý¼ºÇÑ´Ù. »ý¼ºµÈ ½ÇÇàÆÄÀÏÀº Á¤»ó ¿ÀÅäÀÕ ½ÇÇàÆÄÀÏÀÌ´Ù.
QSetup »ý¼ºÆÄÀÏ¿¡¼ Àӽà °æ·Î¿¡ »ý¼ºµÈ Lone ÆÄÀÏÀº ³µ¶ÈµÈ ¿ÀÅäÀÕ ½ºÅ©¸³Æ® ÆÄÀÏÀÌ´Ù. »ý¼ºµÈ Á¤»ó ¿ÀÅäÀÕ ½ÇÇàÆÄÀÏÀ» ÅëÇØ Lone ÆÄÀÏÀÌ ½ÇÇàµÇ¸ç, ·¥ÄÚ½º·§À» º¹È£ÈÇØ ÀÎÁ§¼Ç ¹× ½ÇÇàÇÑ´Ù. ½ÇÇàµÈ ·¥ÄÚ½º·§ ¾Ç¼ºÄÚµå´Â °¨¿° ½Ã½ºÅÛ¿¡ ´ëÇÑ ÆÄÀÏ ¹× ÇÁ·Î¼¼½º ÀÛ¾÷°ú °°Àº ¿ø°Ý Á¦¾î ±â´ÉÀ» À§ÇØ 80.66.75.51[:]2290¿¡ Á¢¼ÓÀ» ½ÃµµÇÑ´Ù.
MS-SQL ¼¹ö¸¦ ´ë»óÀ¸·Î ÇÏ´Â °ø°Ý¿¡´Â ´ëÇ¥ÀûÀ¸·Î ºÎÀûÀýÇÏ°Ô °èÁ¤Á¤º¸¸¦ °ü¸®ÇÏ°í ÀÖ´Â ½Ã½ºÅ۵鿡 ´ëÇÑ ¹«Â÷º° ´ëÀÔ °ø°Ý(Brute Forcing)°ú »çÀü °ø°Ý(Dictionary Attack)ÀÌ ÀÖ´Ù.
ASEC °ü°èÀÚ´Â ¡°°ü¸®ÀÚµéÀº °èÁ¤ÀÇ ºñ¹Ð¹øÈ£¸¦ ÃßÃøÇϱ⠾î·Á¿î ÇüÅ·Π»ç¿ëÇÏ°í ÀÏÁ¤ ÁÖ±â·Î º¯°æÇØ ¹«Â÷º° ´ëÀÔ °ø°Ý°ú »çÀü °ø°ÝÀ¸·ÎºÎÅÍ µ¥ÀÌÅͺ£À̽º ¼¹ö¸¦ º¸È£ÇØ¾ß ÇÑ´Ù¡±°í ¸»Çß´Ù. ÀÌ¾î ¡°¹é½ÅÀ» ÃֽŠ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®ÇØ ¾Ç¼ºÄÚµåÀÇ °¨¿°À» »çÀü¿¡ Â÷´ÜÇÒ ¼ö ÀÖµµ·Ï ½Å°æ ½á¾ß ÇÑ´Ù¡±¸ç ¡°¿ÜºÎ¿¡ °ø°³µÅ Á¢±Ù °¡´ÉÇÑ µ¥ÀÌÅͺ£À̽º ¼¹ö´Â ¹æȺ®°ú °°Àº º¸¾È Á¦Ç°À» ÀÌ¿ëÇØ ¿ÜºÎ °ø°ÝÀڷκÎÅÍÀÇ Á¢±ÙÀ» ÅëÁ¦ÇØ¾ß ÇÑ´Ù¡±°í ´çºÎÇß´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>