°íµµÈµÈ ¾ÏÈ£È ±â¼ú¡¦À©µµ¿ì¿Í ¸®´ª½º ȯ°æ ¸ðµÎ À§Çù
Áö´Ï¾ð½º, ±ÝÀ¶±Ç °Å¸ÇÑ ¡®°Ç¶ó¡¯ ·£¼¶¿þ¾î ºÐ¼® º¸°í¼ ¹ß°£
Á¤»ó º¹±¸ ¾î·Æµµ·Ï ¼³°èµÈ ¡®°Ç¶ó¡¯ ¾ÏÈ£È Ç®¾î³½ ±ÝÀ¶º¸¾È¿øÀÇ ¼º°ú ÀçÁ¶¸í
[º¸¾È´º½º ¿©ÀÌ·¹ ±âÀÚ] ÃÖ±Ù ±ÝÀ¶±ÇÀ» °øÆ÷¿¡ ¸ô¾Æ³ÖÀº SGI¼¿ïº¸Áõ ÇØÅ· »çÅÂÀÇ °ø°Ý ÁÖü ¡®°Ç¶ó¡¯(Gunra) ·£¼¶¿þ¾î¿¡ ´ëÇØ ÀÚ¼¼È÷ ºÐ¼®ÇÑ º¸°í¼°¡ ³ª¿Í °ü½ÉÀ» ¸ðÀ¸°í ÀÖ´Ù.

¡ã°Ç¶ó ·£¼¶³ëÆ® [ÀÚ·á: Áö´Ï¾ð½º]
Áö´Ï¾ð½º°¡ ¹ßÇ¥ÇÑ À̹ø º¸°í¼¿¡¼´Â °Ç¶ó ·£¼¶¿þ¾îÀÇ Æ¯Â¡°ú µ¿ÀÛ ¿ø¸®, È¿°úÀûÀΠŽÁö ¹× ´ëÀÀ ¹æ¾ÈÀ» Æ÷°ýÀûÀ¸·Î Á¦½ÃÇß´Ù.
º¸°í¼¿¡ µû¸£¸é °Ç¶ó´Â 2024³â 4¿ù óÀ½ È®ÀÎµÈ ½ÅÁ¾ À§ÇùÀ¸·Î, ±âÁ¸ ÄÜÆ¼ ·£¼¶¿þ¾îÀÇ Äڵ带 ÀçȰ¿ëÇÑ º¯Á¾ÀÌ´Ù. °Ç¶ó´Â ChaCha20 ´ëĪŰ ¾Ë°í¸®ÁòÀ¸·Î µ¥ÀÌÅ͸¦ ¾ÏÈ£ÈÇÏ°í ´ëĪŰ´Â ´Ù½Ã RSA-2048 °ø°³Å°·Î ¾ÏÈ£ÈÇÏ´Â ¡®ÇÏÀ̺긮µå ¾ÏÈ£È ¹æ½Ä¡¯À» Àû¿ëÇØ ÇÇÇØÀÚ°¡ Á¤»ó º¹±¸¸¦ ÇÏ±â ¸Å¿ì ¾î·Æµµ·Ï ¼³°èµÆ´Ù.
ƯÈ÷ À©µµ¿ì ȯ°æ¿¡¼ °Ç¶ó´Â ½ÇÇà Áß ÀÚ±â Áߺ¹ ¹æÁö¸¦ À§ÇØ ³¼ö¸¦ ÀÌ¿ëÇØ ¹ÂÅØ½º¸¦ »ý¼ºÇϸç ÁÖ¿ä ½Ã½ºÅÛ Æú´õ³ª Àӽà Æú´õ, ½ÇÇà ÆÄÀÏ µîÀº ¾ÏÈ£È ´ë»ó¿¡¼ Á¦¿ÜÇÑ´Ù. ÆÄÀϰú Æú´õ¸¦ Ž»öÇÏ¸ç º´·Ä 󸮷Π¾Ïȣȸ¦ ÁøÇàÇϰí, ¾ÏÈ£ÈÇÑ ÆÄÀÏÀÇ È®ÀåÀÚ´Â ¡®.CRYPT¡¯·Î º¯°æÇÑ´Ù.
½Ã½ºÅÛ º¹¿ø ±â´ÉÀ» ¹«·ÂÈÇÏ°í »ç¿ëÀÚ º¹±¸ °¡´É¼ºÀ» Â÷´ÜÇϱâ À§ÇØ VSS(º¼·ý ¼¨µµ¿ì º¹»çº») ¸ñ·ÏÀ» Á¶È¸Çϰí À̸¦ »èÁ¦ÇÏ´Â °úÁ¤µµ ¼öÇàÇÑ´Ù. ±¸Ã¼ÀûÀ¸·Î WQL(WMI Äõ¸® ¾ð¾î)À» »ç¿ëÇØ ½Ã½ºÅÛ ³» Á¸ÀçÇÏ´Â ¸ðµç º¼·ý ¼¨µµ¿ì º¹»çº»À» È®ÀÎÇϴµ¥, ¡°SELECT * FROM Win32_ShadowCopy¡±¶ó´Â ¸í·É¾î·Î Win32_ShadowCopy WMI Ŭ·¡½º¿¡ µî·ÏµÈ ¸ðµç º¹»çº» Á¤º¸¸¦ °¡Á®¿Â´Ù. ÀÌ °á°ú¸¦ ¹ÙÅÁÀ¸·Î »èÁ¦ ´ë»óÀÌ µÇ´Â °¢ ¼¨µµ¿ì º¹»çº»¿¡ ´ëÇØ ÀûÀýÇÑ »èÁ¦ ¸í·É¾î¸¦ »ý¼ºÇÏ°í ½ÇÇàÇØ º¹±¸ ±â´ÉÀ» ¹«·ÂÈÇÑ´Ù.
¶Ç ½Ã½ºÅÛ ³» ¸ðµç µð·ºÅ͸®¸¦ ¼øÈ¸ÇÏ¸é¼ ¡®R3adm3.txt¡¯¶ó´Â À̸§ÀÇ ·£¼¶³ëÆ®¸¦ »ý¼ºÇÑ´Ù. ÀÌ ÆÄÀÏ¿¡´Â ÇÇÇØÀÚ°¡ °ø°ÝÀÚ¿¡°Ô ¿¬¶ôÇÒ ¼ö ÀÖµµ·Ï qTox ID ¶Ç´Â À̸ÞÀÏ ÁÖ¼Ò°¡ Æ÷ÇԵȴÙ. ÇØ´ç ¿¬¶ôó¸¦ ÅëÇØ Áö½Ã¿¡ µû¶ó¾ß¸¸ ¾ÏÈ£ÈµÈ ÆÄÀÏÀ» º¹È£È ÇÒ ¼ö ÀÖ´Ù´Â Çù¹Ú ¹®±¸µµ ÀûÇô ÀÖ´Ù.
°Ç¶ó´Â ¸®´ª½º ¹öÀüµµ À§ÇùÇÒ ¼ö ÀÖ´Ù. ÆÄÀÏ ½Ã½ºÅÛ ³»ÀÇ ¾ÏÈ£È ´ë»óÀ» Ž»öÇϱâ À§ÇØ readdir() ÇÔ¼ö¸¦ Ȱ¿ëÇϰí ÇÏÀ§ µð·ºÅ͸®±îÁö ¸ðµÎ Ž»öÇØ ƯÁ¤ È®ÀåÀÚ ÆÄÀÏÀ» ´ë»óÀ¸·Î ºñµ¿±â ¹æ½Ä ¾Ïȣȸ¦ ÁøÇàÇÑ´Ù. ¾ÏÈ£È ±â¹ýÀº À©µµ¿ì ¹öÀü°ú ¸¶Âù°¡Áö·Î ChaCha20°ú RSA °ø°³Å°¸¦ °áÇÕÇÑ ÇÏÀ̺긮µå ±¸Á¶¸¦ »ç¿ëÇÑ´Ù. ¾ÏÈ£ÈµÈ ÆÄÀÏ¿¡´Â ¡®.ENCRT¡¯ È®ÀåÀÚ¸¦ ºÙÀδÙ.
Áö´Ï¾ð½º´Â ¡°Áö´Ï¾ÈEDRÀº °Ç¶ó ·£¼¶¿þ¾î ½ÇÇà ½Ã Áï°¢ÀûÀΠŽÁö¿Í ÇÁ·Î¼¼½º Â÷´Ü, °Ý¸® Á¶Ä¡¸¦ ¼öÇàÇϸç, VSS »èÁ¦ ½Ãµµ ¹× ´ë·®ÀÇ ÆÄÀÏ È®ÀåÀÚ º¯°æ, ·£¼¶³ëÆ® ¹Ýº¹ »ý¼º °°Àº ÀÌ»ó ÇൿÀ» ¸ð´ÏÅ͸µÇØ °ø°ÝÀ» Á¶±â¿¡ ½Äº°ÇÑ´Ù¡±¸ç, ¡°¾ÈƼ·£¼¶¿þ¾î ¸ðµâÀ» Ȱ¼ºÈÇÏ¸é ½Ç½Ã°£À¸·Î ¾ÏÈ£È ½Ãµµ¸¦ Â÷´ÜÇÏ°í ¼Õ»óµÈ ÆÄÀÏ º¹±¸µµ Áö¿øÇÑ´Ù¡±°í ¹àÇû´Ù.
ÇÑÆí, ÀÌ·¯ÇÑ Æ¯Â¡°ú µ¿ÀÛ ¿ø¸®¸¦ Áö´Ñ ¡®°Ç¶ó¡¯ ·£¼¶¿þ¾î°¡ ¾ÏȣȽÃŲ µ¥ÀÌÅ͸¦ Ç®¾î³» ¸ö°ª Áö±Þ ¾øÀÌ µ¥ÀÌÅÍ º¹±¸¿¡ ¼º°øÇÑ ±ÝÀ¶º¸¾È¿ø º¸¾ÈÀηµéÀÇ ¼º°úµµ »õ»ï ÁÖ¸ñ ¹Þ°í ÀÖ´Ù.
±ÝÀ¶º¸¾È¿øÀº °ø°ÝÀÚ°¡ ÀÌ¿ëÇÑ ¾Ç¼ºÄÚµåÀÇ °áÇÔ¿¡¼ ½Ç¸¶¸®¸¦ ¾ò¾î À̹ø ÇØÅ·À¸·Î Àá°Ü¹ö¸° SGI¼¿ïº¸Áõ µ¥ÀÌÅ͸¦ º¹È£ÈÇÒ Å°¸¦ ÃßÃâÇØ³½ °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù.
[¿©ÀÌ·¹ ±âÀÚ(gore@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>