Home > Àüü±â»ç

¾Èµ¥ ·Î´õ ¾Ç¼ºÄÚµå, À̹ÌÁö ½ºÀ§Äª ÀÌ¿ëÇØ ºÏ¹Ì Á¦Á¶¾÷ ´ë»ó °ø°Ý

ÀÔ·Â : 2024-05-08 18:41
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
¾Ç¼ºÄڵ带 Á¤»ó ÇÁ·Î¼¼½º·Î À§ÀåÇÒ ¼ö ÀÖ¾î ÁÖÀÇ ÇÊ¿äÇØ
ÆÄÀÏ ´Ù¿î·Îµå ¹× ½ÇÇà, ·¹Áö½ºÆ®¸® ¼öÁ¤ ¹× Á¦°Å, È­¸é ĸó µî ´Ù¾çÇÑ µ¿ÀÛ ¼öÇà


[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÃÖ±Ù ºÏ¾Æ¸Þ¸®Ä«ÀÇ Á¦Á¶¾÷À» ´ë»óÀ¸·Î ¡®¾Èµ¥ ·Î´õ(Ande Loader)¡¯ ¾Ç¼ºÄڵ尡 À¯Æ÷µÇ´Â Ä·ÆäÀÎÀÌ ¹ß°ßµÆ´Ù. ÇØ´ç Ä·ÆäÀο¡¼­ »ç¿ëµÈ ¾Èµ¥ ·Î´õ´Â Base64·Î ÀÎÄÚµùµÈ ÈÄ VBScript ÇüÅ·ΠÀ¯Æ÷µÆÀ¸¸ç, °ø°ÝÀÚÀÇ C&C ¼­¹ö¿¡¼­ ÃÖÁ¾ ÆäÀ̷εåÀÎ NjRATÀ» ´Ù¿î·Îµå ÈÄ ½ÇÇàÇÑ´Ù. ±× ÀÌÈÄ ½ÇÇàµÈ NjRATÀº »ç¿ëÀÚ PC¿¡¼­ C&C ¼­¹ö ¿¬°áÀ» ½ÃµµÇÏ°í ÆÄÀÏÀ» ´Ù¿î·ÎµåÇϰųª ¸í·É¿¡ µû¸¥ Ãß°¡ µ¿ÀÛÀ» ¼öÇàÇÑ´Ù.

¡ã¾Èµ¥ ·Î´õ¸¦ ÀÌ¿ëÇØ »ç¿ëÀÚ PC¿¡¼­ ÃÖÁ¾ ÆäÀÌ·Îµå ´Ù¿î·Îµå ¹× ½ÇÇà È帧µµ[ÀÚ·á=À×Ä«ÀÎÅÍ³Ý ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ]


À×Ä«ÀÎÅÍ³Ý ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍÀÇ ºÐ¼®¿¡ µû¸£¸é °ø°ÝÀÚ´Â ¾Èµ¥ ·Î´õ¸¦ ÀÌ¿ëÇØ »ç¿ëÀÚ PC¿¡¼­ ÃÖÁ¾ ÆäÀ̷ε带 ´Ù¿î·ÎµåÇÏ°í ½ÇÇàÇÑ´Ù. ±× È帧À» »ìÆ캸¸é ¸ÕÀú VBS ÆÄÀÏ ³»ºÎÀÇ PE µ¥ÀÌÅ͸¦ Baset64·Î µðÄÚµùÇØ ¾Èµ¥ ·Î´õ¸¦ È®º¸ÇÑ ÈÄ º°µµÀÇ µå·Ó °úÁ¤ ¾øÀÌ ½ÇÇàÇÑ´Ù. µÎ ¹ø°·Î ¾Èµ¥ ·Î´õ´Â Ãß°¡ ÆäÀ̷ε带 ½ÇÇàÇÏ´Â ·Î´õ·Î °ø°ÝÀÚ°¡ ¿î¿µÇÏ´Â C&C ¼­¹ö¿¡¼­ ¹ÙÀ̳ʸ® ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÑ´Ù. ±× ÀÌÈÄ ¾Èµ¥ ·Î´õ¿¡¼­ ´Ù¿î·ÎµåÇÑ ÆÄÀÏÀ» Base64·Î µðÄÚµùÇϸç, µðÄÚµùÇÑ µ¥ÀÌÅÍ´Â NjRAT ¾Ç¼ºÄÚµå´Ù. ¸¶Áö¸·À¸·Î Á¤»ó ÇÁ·Î±×·¥ÀÎ .NET ÇÁ·¹ÀÓ¿öÅ©ÀÇ ±¸¼º¿ä¼Ò Áß 1°³¸¦ ¼±Á¤ÇØ ½ÇÇàÇÏ°í, À̹ÌÁö ½ºÀ§ÄªÀ» ÀÌ¿ëÇØ PE À̹ÌÁö¸¦ ÃÖÁ¾ ÆäÀ̷εå·Î ±³Ã¼ÇÑ ÈÄ ½ÇÇàÇÑ´Ù.

VBS ÆÄÀÏÀº ³»ºÎ¿¡ Base64·Î ÀÎÄÚµùµÈ PE µ¥ÀÌÅ͸¦ Æ÷ÇÔÇÏ°í ÀÖÀ¸¸ç, ÇØ´ç µ¥ÀÌÅ͸¦ µðÄÚµùÇÏ°í ½ÇÇàÇÏ´Â ¿ªÇÒÀ» ÇÑ´Ù. ½ºÅ©¸³Æ®´Â ÆÄ¿ö½©À» ÀÌ¿ëÇØ µðÄÚµùÇÑ ´ÙÀ½, ÆĶó¹ÌÅÍ Àü´Þ°ú ÇÔ²² ¡®VAI¡¯ ¸Þ¼­µå¸¦ Á÷Á¢ È£ÃâÇØ PE¸¦ ½ÇÇàÇÑ´Ù.

¡ã³­µ¶È­ ÇØÁ¦ ¹× ÆäÀÌ·Îµå ´Ù¿î·Îµå ÄÚµå[ÀÚ·á=À×Ä«ÀÎÅÍ³Ý ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ]


VBS¿¡¼­ µðÄÚµùµÈ PE´Â .NET DLL Çü½ÄÀÇ ·Î´õ ¾Ç¼ºÄÚµåÀÎ ¾Èµ¥ ·Î´õ·Î À̹ÌÁö ½ºÀ§Äª ±â¹ýÀ» ÀÌ¿ëÇØ ÃÖÁ¾ ÆäÀ̷ε带 ½ÇÇàÇÏ°í, VBS ÆÄÀÏÀ» ÀÚµ¿ ½ÇÇàÇϵµ·Ï µî·ÏÇÑ´Ù. ¾Èµ¥ ·Î´õÀÇ VAI ÇÔ¼ö°¡ ½ÇÇàµÇ¸é ¸ÕÀú °ø°ÝÀÚÀÇ C&C ¼­¹ö¿¡ Á¢¼ÓÇØ Base64·Î ÀÎÄÚµùµÈ ÃÖÁ¾ ÆäÀ̷ε带 ´Ù¿î·ÎµåÇÑ´Ù. À̶§ C&C ¼­¹öÀÇ ÁÖ¼Ò´Â ³­µ¶È­µÅ ÀÌÀü ´Ü°è¿¡¼­ VAI ÇÔ¼ö¸¦ È£ÃâÇÒ ¶§ ÆĶó¹ÌÅÍ·Î Àü´ÞµÈ´Ù. ¾Èµ¥ ·Î´õ´Â ÇØ´ç ÆĶó¹ÌÅÍÀÇ ³­µ¶È­¸¦ ÇØÁ¦ÇÑ ÈÄ ¼­¹ö¿¡¼­ ÆäÀ̷ε带 ´Ù¿î·Îµå ¹× µðÄÚµùÇÏ°í À̹ÌÁö ½ºÀ§ÄªÀ» ÀÌ¿ëÇØ ÃÖÁ¾ ÆäÀ̷ε带 ½ÇÇàÇÑ´Ù.

ÃÖÁ¾ ÆäÀ̷εåÀÇ ´Ù¿î·Îµå¿Í µðÄÚµùÀÌ ¿Ï·áµÇ¸é, ÀÎÁ§¼Ç ´ë»ó ÇÁ·Î¼¼½ºÀÎ AppLaunch.exe, aspnet_regbrowsers.exe, cvtres.exe, ilasm.exe, jsc.exe, MSBuild.exe, RegAsm.exe, RegSvcs.exe µî .NET ÇÁ·¹ÀÓ¿öÅ© ±¸¼º¿ä¼Ò Áß¿¡¼­ À̹ÌÁö ½ºÀ§ÄªÀ» ¼öÇàÇÒ ´ë»ó ÇÁ·Î¼¼½º¸¦ ¹«ÀÛÀ§·Î ¼±ÅÃÇÑ´Ù.

±× ÀÌÈÄ ¡®CreateProcess¡¯·Î ´ë»ó ÇÁ·Î¼¼½º¸¦ »ý¼ºÇÏ°í, ¡®ZwUnmapViewOfSection¡¯À» ÀÌ¿ëÇØ Á¤»ó ÇÁ·Î¼¼½ºÀÇ ¸Þ¸ð¸® ¸ÅÇÎÀ» ÇØÁ¦ÇÑ´Ù. ¸ÅÇÎÀÌ ÇØÁ¦µÈ °ø°£¿¡´Â ¡®WriteProcessMemory¡¯·Î ±³Ã¼ÇÒ PE À̹ÌÁö¸¦ »ðÀÔÇÑ ÈÄ, ¡®SetThreadContext¡¯¸¦ ÀÌ¿ëÇØ ½º·¹µå¿¡¼­ ½ÇÇàÇÒ ÁÖ¼Ò¸¦ ±³Ã¼µÈ À̹ÌÁöÀÇ EP(Entry Point)·Î ¼³Á¤ÇÑ´Ù. ¸¶Áö¸·À¸·Î ¡®ResumeThread¡¯¸¦ È£ÃâÇØ ½º·¹µå¸¦ ½ÃÀÛÇÑ´Ù.

À̹ÌÁö ½ºÀ§ÄªÀÌ ¼º°øÇϸé ÃÖÁ¾ ÆäÀ̷ε尡 Á¤»ó ÇÁ·Î¼¼½º·Î À§ÀåÇØ ½ÇÇàµÈ´Ù. À̹ÌÁö ½ºÀ§Äª Àü¡¤ÈÄÀÇ ¸Þ¸ð¸® ´ýÇÁ¸¦ ºñ±³ÇÑ °á°ú¸¦ ºÃÀ» ¶§ À̹ÌÁö ½ºÀ§Äª ´ë»ó ÇÁ·Î¼¼½º Áß ¡®cvtres.exe¡¯·Î Å×½ºÆ®¸¦ ÁøÇàÇßÀ¸¸ç, Å×½ºÆ® ÇÁ·Î¼¼½ºÀÇ ¸Þ¸ð¸®°¡ ´Ù¸¥ µ¥ÀÌÅÍ·Î º¯°æµÈ °ÍÀ» º¼ ¼ö ÀÖ´Ù.

¡ãÀ̹ÌÁö ½ºÀ§Äª Àü°ú ÈÄÀÇ ¸Þ¸ð¸® ´ýÇÁ ºñ±³[ÀÚ·á=À×Ä«ÀÎÅÍ³Ý ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ]


ÇÑÆí, ·Î´õ´Â VBS ÆÄÀÏÀ» ¡®%AppData%¡¯ °æ·Î¿¡ º¹»çÇÏ°í ÇØ´ç ÆÄÀÏÀ» ´Ù¸¥ 2°³ÀÇ ¹æ¹ýÀ¸·Î ÀÚµ¿ ½ÇÇàÀ» µî·ÏÇÑ´Ù. ù ¹ø° ¹æ¹ýÀº Run ·¹Áö½ºÆ®¸®¿¡ º¹»çµÈ VBS ÆÄÀÏÀÇ °æ·Î¸¦ µî·ÏÇÏ´Â °ÍÀÌ´Ù. µÎ ¹ø° ¹æ¹ýÀº ½ÃÀÛÇÁ·Î±×·¥ Æú´õ¿¡ ¹Ù·Î°¡±â¸¦ »ý¼ºÇÏ´Â °ÍÀ¸·Î ½Ã½ºÅÛ ½ÃÀÛ ½Ã ÆÄ¿ö½©À» ÀÌ¿ëÇØ º¹»çµÈ VBS ÆÄÀÏÀ» ½ÇÇàÇØ Áö¼Ó¼ºÀ» ȹµæÇÑ´Ù.

C&C ¼­¹ö¿¡¼­ ´Ù¿î·ÎµåÇÑ ÃÖÁ¾ ÆäÀ̷εå´Â NjRAT ¾Ç¼ºÄÚµå·Î ¸ÕÀú °¨¿°µÈ È£½ºÆ®¿¡¼­ »ç¿ëÀÚÀÇ ÀÔ·ÂÀ» ±â·ÏÇÏ´Â Å°·Î±ë µ¿ÀÛÀ» ¼öÇàÇÑ´Ù. Å°·Î±ë µ¥ÀÌÅÍ´Â ·¹Áö½ºÆ®¸®¿¡ ¡®[kl]¡¯À̶ó´Â °ª À̸§À¸·Î ÀúÀåµÇ´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. ±×¸®°í C&C ¼­¹ö¿Í Åë½ÅÇØ ½Ã½ºÅÛ Á¤º¸¸¦ Àü¼ÛÇÏ°í ¸í·É¾î¸¦ ¼ö½ÅÇØ Ãß°¡ µ¿ÀÛÀ» ¼öÇàÇÑ´Ù. ¸í·É¾î´Â ¹®ÀÚ¿­À» ºñ±³ÇØ ±¸ºÐµÇ¸ç ¸í·É¾î¿Í ±×¿¡ µû¸¥ µ¿ÀÛÀ¸·Î´Â ¡âÆÄÀÏ ´Ù¿î·Îµå ¹× ½ÇÇà(¸í·É¾î rn, up) ¡â·¹Áö½ºÆ®¸® ¼öÁ¤ ¶Ç´Â Á¦°Å(prof, Ret) ¡âÈ­¸é ĸó(CAP) ¡âÅ°·Î±ë µ¥ÀÌÅÍ Àü¼Û(kl) ¡âÅ°·Î±ë ·¹Áö½ºÆ®¸® Á¦°Å ¹× NjRAT Á¾·á(Un) ¡âC&C ¼­¹ö ¼³Á¤(int, Ex, PLG) ¡âC&C ¼­¹ö ¿¬°á Á¾·á(ll) µîÀÌ ÀÖ´Ù. ´Ü, ºÐ¼® ½ÃÁ¡¿¡¼­ ¼­¹ö°¡ ÀÀ´äÇÏÁö ¾Ê¾Æ Ãß°¡ÀûÀÎ µ¥ÀÌÅÍ ±³È¯°ú µ¿ÀÛÀº ¹ß»ýÇÏÁö ¾Ê¾Ò´Ù.

¾Èµ¥ ·Î´õ ¾Ç¼ºÄÚµå´Â °ø°ÝÀÚ°¡ Àǵµ¿Í ¸ñÀû¿¡ ¸Â°Ô ÃÖÁ¾ ÆäÀ̷εåÀÇ º¯°æÀÌ °¡´ÉÇÏ°í, À̹ÌÁö ½ºÀ§Äª ±â¹ýÀ» ÀÌ¿ëÇØ ¾Ç¼ºÄڵ带 Á¤»ó ÇÁ·Î¼¼½º·Î À§ÀåÇÒ ¼ö ÀÖ¾î ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù. µû¶ó¼­ Ãâó°¡ ºÒºÐ¸íÇÑ ÆÄÀÏÀÇ ´Ù¿î·Îµå¿Í ½ÇÇàÀ» Áö¾çÇÏ°í, º¸¾È ÇÁ·Î±×·¥°ú ¿î¿µÃ¼Á¦¸¦ Ç×»ó ÃֽŠ¹öÀüÀ¸·Î À¯ÁöÇÏ´Â °ÍÀÌ ÇÊ¿äÇÏ´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)