Home > Àüü±â»ç

½ÅÁ¾ ¾Ç¼ºÄÚµå Conficker ¹ÙÀÌ·¯½º ÁýÁߎ±¸

ÀÔ·Â : 2009-04-21 14:10
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

À©µµ¿ì º¸¾È Ãë¾àÁ¡À» ÅëÇÑ ¹ÙÀÌ·¯½º ÁýÁߎ±¸

 

2009³âÇü ½ÅÁ¾ ¹ÙÀÌ·¯½º ź»ý ¹è°æ ¹× ´ëÀÀ ¹æ¹ý Á¦½Ã

º¯Á¾ ¹ÙÀÌ·¯½º ¹ß»ý ´ëÀÀÀ§ÇØ ¹é½ÅÀÇ ÃֽŠ¾÷µ¥ÀÌÆ®´Â Çʼö

 

¹ÙÀÌ·¯½º´Â ¾ðÁ¦³ª ±×·¸µíÀÌ Ãë¾àÁ¡À» ÅëÇØ »ç¿ëÀÚ PC¿¡ ½±°Ô ħÅõ ÇÑ´Ù. Áö³­ 2008³â 11¿ù »õ·Ó°Ô µîÀåÇÏ¿© MS08-067 Ãë¾àÁ¡À» ÅëÇØ Àü ¼¼°èÀûÀ¸·Î Å« À̽´¸¦ ¸ô°í ¿Â ½ÅÁ¾ ¾Ç¼ºÄÚµåÀÎ Conficker ¹ÙÀÌ·¯½º ¿ª½Ã MS À©µµ¿ì º¸¾È Ãë¾àÁ¡À» ÅëÇØ ½ÃÀ۵Ǿú´Ù. MS À©µµ¿ìÀÇ Ãë¾àÁ¡ÀÌ °ø°³µÇ¸é¼­ºÎÅÍ ´Ù¾çÇÑ ¹ÙÀÌ·¯½º°¡ »ý¼ºµÇ°í ÀÖÀ¸¸ç, ÀÌ¿Í °ü·ÃÇÑ ¹ÙÀÌ·¯½º°¡ Àü ¼¼°èÀûÀ¸·Î È®»ê ÁßÀÌ´Ù. ÀÌ ¹ÙÀÌ·¯½º´Â Áö±Ýµµ ¹«¼öÈ÷ ¸¹Àº º¯Á¾À» ÀÏÀ¸Å°°í ÀÖ¾î »ç¿ëÀÚµé·ÎºÎÅÍ °¢º°ÇÑ ÁÖÀǸ¦ ¿ä±¸ÇÏ°í ÀÖ´Ù.

ConfickerÀÇ ³×À̹ÖÀº Á¢¼ÓÇß´ø »çÀÌÆ®¿¡¼­ À¯·¡µÇ¾ú´Ù.

Conficker´Â MS08-067 Ãë¾àÁ¡À» ÀÌ¿ëÇÑ´Ù´Â Á¡¿¡¼­ Gimmiv¿Í À¯»çÇÏÁö¸¸ °øÀ¯Æú´õ Ãë¾àÁ¡°ú À̵¿µð½ºÅ©¸¦ ÀÌ¿ëÇؼ­ °ø°ÝÇÏ´Â °ÍÀÌ ´Ù¸£´Ù.


Ãë¾àÁ¡ À¯Çü¿¡ µû¸¥ °ø°Ý ¹æ¹ý

1. MS08-067À» ÀÌ¿ëÇÑ °ø°Ý

°¨¿°µÈ ½Ã½ºÅÛ¿¡¼­ ÀÛ¾÷ ½ºÄÉÁÙ·¯¿¡ µî·ÏµÈ ÀÛ¾÷ÀÌ ¼öÇàµÉ °æ¿ì MS08-067 Ãë¾àÁ¡ °ø°ÝºÎÅÍ ½ÃÀÛÇÏ¿© °øÀ¯Æú´õ Ãë¾àÁ¡ °ø°Ý±îÁö ´Ù¸¥ ½Ã½ºÅÛµéÀ» °ø°ÝÇÏ°Ô µÈ´Ù.

MS08-067 Ãë¾àÁ¡À» ÀÌ¿ëÇÑ °ø°ÝÀº ARP ÆÐŶÀ» ¿ì¼±ÀûÀ¸·Î ¼Û½ÅÇϸç ÀÀ´äÀÌ ¿Â ½Ã½ºÅÛ¿¡ ´ëÇÏ¿© ½ÃµµÇÑ´Ù. ÇØ´ç °ø°ÝÀº Åë½Å±Ô¾àÀÎ SMB(Server Message Block)ÀÇ ÆÐÄ¡Á¤º¸¸¦ ÁÖ°í ¹Þ´Â ºÎºÐÀ» ÀÌ¿ëÇÑ´Ù. 445 Æ÷Æ®¸¦ ÀÌ¿ëÇϸç Packet type¿¡ Request(0)¸¦ ÀÔ·ÂÇÏ°í Operation¿¡ NetPathCanonicalize¸¦ ÀÔ·ÂÇÏ¿© °ø°ÝÇÑ´Ù. ±×¸² 1°ú °°ÀÌ ³×Æ®¿öÅ© ÆÐŶÀ¸·Î È®ÀÎ °¡´ÉÇÏ´Ù.

2. °øÀ¯Æú´õ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ °ø°Ý

°øÀ¯Æú´õ Ãë¾àÁ¡¿¡ ´ëÇÑ °ø°ÝÀº °øÀ¯Æú´õÀÇ ¾ÏÈ£¿¡ ´ëÇÏ¿© »çÀü °ø°Ý(Dictionary Attack) ¹æ¹ýÀ» ÀÌ¿ëÇÏ¿© ½ÃµµÇÑ´Ù.

MS08-067 Ãë¾àÁ¡ °ø°ÝÀÌ ½ÇÆÐÇßÀ» °æ¿ì ÀÏÁ¤ÇÑ °£°ÝÀÇ ½Ã°£À» µÐ ´ÙÀ½ °¡Áö°í ÀÖ´Â ¾ÏÈ£ ¸®½ºÆ®¸¦ ÀÌ¿ëÇÏ¿© °ø°ÝÀ» ½ÃµµÇÑ´Ù. Áö¼ÓÀûÀ¸·Î ·Î±×ÀÎÀ» ½ÃµµÇÏ¸ç ·Î±×Àο¡ ¼º°øÇÏ¿´À» °æ¿ì ADMIN$¸¦ ¿äûÇÏ¿© Windows Æú´õ¿¡ Á¢±ÙÀ» ½Ãµµ ÇÑ´Ù.

°øÀ¯Æú´õ Ãë¾àÁ¡À» ÅëÇÏ¿© °¨¿°ÀÌ µÇ¾úÀ» °æ¿ì Windows ¼³Ä¡ Æú´õÀÇ System32 Æú´õ¿¡ ·£´ýÇÑ À̸§ÀÇ ÆÄÀÏÀÌ »ý¼ºµÈ´Ù. ±×¸®°í Windows ¼³Ä¡ Æú´õ ÇÏÀ§ÀÇ TASKS Æú´õ¿¡ System32 Æú´õ¿¡ »ý¼ºÇÑ ÆÄÀÏÀ» ±¸µ¿Çϱâ À§ÇÑ ÀÛ¾÷ ½ºÄÉÁÙ·¯¸¦ »ý¼ºÇÑ´Ù.

2. À̵¿½Ä µð½ºÅ©¸¦ ÀÌ¿ëÇÑ °ø°Ý

À̵¿½Ä µð½ºÅ©¸¦ ÀÌ¿ëÇÑ °ø°ÝÀº USB¿Í °°Àº À̵¿½Ä µð½ºÅ© ÀåÄ¡¿¡ Autorun.inf ÆÄÀÏ°ú Conficker ÆÄÀÏÀ» »ý¼ºÇÑ´Ù. ÀÌ °ø°ÝÀº ³×Æ®¿öÅ© °ø°Ý¿¡¼­ ¹þ¾î³­ ½Ã½ºÅÛÀ» °¨¿° ´ë»óÀÇ ¸ñÇ¥·Î ÇÑ´Ù.

°¨¿°µÈ ½Ã½ºÅÛ¿¡ À̵¿½Ä µð½ºÅ©¸¦ ¿¬°áÇÒ °æ¿ì À̵¿½Ä µð½ºÅ©¿¡ ´ÙÀ½°ú °°Àº Çü½ÄÀÇ ÆÄÀÏÀ» »ý¼ºÇÑ´Ù.

À̸¦ ÅëÇÏ¿© ´Ù¸¥ ½Ã½ºÅÛ¿¡¼­ °¨¿°µÈ À̵¿½Ä µð½ºÅ©¸¦ ¿¬°áÇÒ °æ¿ì ÀÚµ¿À¸·Î °¨¿°ÀÌ µÇ°Ô²û ÇÑ´Ù.

Conficker´Â °¨¿° ½Ã½ºÅÛ¿¡¼­ ´Ù¾çÇÑ °æ·Î¿Í Windows°¡ ¼³Ä¡µÈ Æú´õÀÇ System32 Æú´õ¿¡ ·£´ý(Random)ÇÑ DLL ÆÄÀϵéÀ» »ý¼ºÇÏ¸ç ·¹Áö½ºÆ®¸®¸¦ ¼öÁ¤ÇÏ¿© ¼­ºñ½º¿¡ µî·ÏÇÑ´Ù.

´ÙÀ½Àº °¨¿°µÈ ½Ã½ºÅÛÀÇ DLL ÆÄÀϵéÀÇ »ý¼º °æ·ÎÀÌ´Ù.

´ÙÀ½Àº °¨¿°µÈ ½Ã½ºÅÛÀÇ ·¹Áö½ºÆ®¸®¿¡ µî·ÏµÈ ³»¿ëÀÌ´Ù. ´ÙÀ½ ·¹Áö½ºÆ®¸® Ç׸ñÀ» »ý¼ºÇÏ¿© ¼­ºñ½º·Î µî·ÏÇÑ´Ù.

´ÙÀ½ ·¹Áö½ºÆ®¸® Ç׸ñÀ» »ý¼ºÇÏ¿© Windows°¡ ½ÃÀÛÇÒ ¶§¸¶´Ù ÀÚ½ÅÀ» ½ÇÇàÇÑ´Ù.

´ÙÀ½ ·¹Áö½ºÆ®¸® °ªÀ» ¼öÁ¤ÇÏ¿© Ž»ö±â¿¡¼­ ÀÚ½ÅÀ» º¸ÀÌÁö ¾Ê°Ô ÇÑ´Ù.

Windows Vista TCP/IP ÀÚµ¿ Æ©´× ±â´ÉÀ» ½ÇÇà ÁßÁöÇÔÀ¸·Î½á ³×Æ®¿öÅ© ¾×¼¼½º ¼Óµµ¸¦ ³ôÀÌ´Â ¸í·ÉÀ» ½ÇÇàÇÏ¿© ´õ¿í ºü¸£°Ô È®»êµÈ´Ù.

»ç¿ëÀÚ°¡ »ý¼ºÇÑ ½Ã½ºÅÛ º¹¿ø ÁöÁ¡À» »èÁ¦ÇÏ°í ´ÙÀ½ÀÇ Windows ¼­ºñ½º¸¦ ÁßÁö½ÃŲ´Ù.

tcpip.sys ÆÄÀÏÀ» ¼öÁ¤ÇÏ¿© TCP/IP ÇÁ·ÎÅäÄÝÀÇ half-open connections ±â´ÉÀ» Á¦ÇÑÇÑ´Ù.

´ÙÀ½°ú °°Àº API ¸¦ ÈÄÅ·ÇÏ¿© ƯÁ¤ ¹®ÀÚ¿­ÀÌ µé¾î°£ À¥»çÀÌÆ®¿¡ Á¢±ÙÇÏÁö ¸øÇÏ°Ô ÇÑ´Ù.

»çÀÌÆ® Á¢±Ù°ú °ü·ÃµÈ ¹®Á¦Á¡

°¨¿° ½Ã½ºÅÛµéÀº ÇØ´ç ¹®ÀÚ¿­ÀÌ µé¾î°£ º¸¾È °ü·Ã »çÀÌÆ®ÀÇ Á¢±ÙÀÌ ºÒ°¡´ÉÇϹǷΠº¸¾È»ó ´õ¿í Ãë¾àÇÏ°Ô µÈ´Ù. µû¶ó¼­ Ç¥ 3°ú °°Àº ¹®Á¦µéÀÌ ¹ß»ýÇÑ´Ù.

°¨¿° ½Ã½ºÅÛÀº ¾Ç¼ºÄÚµåÀÎ dll ÆÄÀÏÀÌ ¼­ºñ½º¿¡ µî·ÏµÇ°í Svchost.exe ÇÁ·Î¼¼½º¿¡ ÀÇÇØ ¼­ºñ½º·Î ·ÎµåµÇ¹Ç·Î ¾Ç¼ºÄÚµå ¹× Áõ»óÀ» Á¦°ÅÇϱâ À§Çؼ­´Â ÇØ´ç ¼­ºñ½ºÀÇ ÁßÁö°¡ ÇÊ¿äÇÏ´Ù. ¼­¹ö °°ÀÌ Á¦°øÁßÀÎ ¼­ºñ½º¸¦ ÁßÁöÇÒ ¼ö ¾ø´Â °æ¿ì ÇØ´ç ¾Ç¼ºÄÚµå Á¦°Å ½Ã ½É°¢ÇÑ ¹®Á¦°¡ ¹ß»ýÇÑ´Ù.

·çƮŶ ±â´ÉÀÌ Æ÷ÇԵǾî ÀÖ¾î ÀÏ¹Ý ÇÁ·Î¼¼½º °ü¸® Åø·Î ½Äº°ÇÒ ¼ö ¾øÀ¸¸ç ³×Æ®¿öÅ© °ü¸® Åø·Îµµ Á¤»ó Svchost.exe ÇÁ·Î¼¼½º°¡ TCP 445 Æ÷Æ®¸¦ ½ºÄµÇϹǷΠÀÏ¹Ý »ç¿ëÀÚ°¡ ½Äº°Çϱ⠾î·Á¿î ºÎºÐÀÌ ÀÖ´Ù.

ÀϹÝÀûÀÎ ¾ÏÈ£ ±¸¼ºÀº °ø°Ý¿¡ Ãë¾àÇØ

ÀϹÝÀÎÀÌ ÈçÈ÷ »ç¿ëÇÏ´Â ÀϹÝÀûÀÎ ¾ÏÈ£ ±¸¼º ¹× Á¶ÇÕÀº ÇØÄ¿µé¿¡°Ô ½±°Ô ³ëÃâµÇ¸ç °ø°Ý´ë»óÀÌ µÉ È®·ü ¶ÇÇÑ ³ôÀº ÆíÀÌ´Ù.

°¡´ÉÇÑ ÇÑ ¾ÈÁ¤ÀûÀÎ Æнº¿öµå »ý¼º(8ÀÚ ÀÌ»óÀÇ ¼ýÀÚ¿Í ¿µ¹® Á¶ÇÕ)À» ÅëÇØ PC¸¦ Áö¼ÓÀûÀ¸·Î °ü¸®ÇÏ´Â °ÍÀÌ Áß¿äÇÏ´Ù.

ÀÌ¿Í ÇÔ²² ÁÖ±âÀûÀ¸·Î ¾ÏÈ£¸¦ º¯°æÇؼ­ »ç¿ëÇÏ°í À̸¦ ¹®¼­³ª ±Û·Î¼­ ³²°ÜµÎÁö ¾Êµµ·Ï ÇÑ´Ù. ¶Ç µ¿ÀÏÇÑ ¾ÆÀ̵ð¿Í Æнº¿öµå¸¦ ¿©·¯ »çÀÌÆ®¿¡ µ¿ÀÏÇÏ°Ô »ç¿ëÇÏÁö ¾Ê¾Æ¾ß ÇÑ´Ù. ÀÌ·± °æ¿ì ÇϳªÀÇ »çÀÌÆ®¸¸ ÇØÅ·µÇ¾îµµ ÀÌ¿Í µ¿½Ã¿¡ ¿©·¯ »çÀÌÆ®ÀÇ º¸¾ÈÀÌ Ãë¾àÇØ Áú ¼ö Àֱ⠶§¹®ÀÌ´Ù.

Àü¿ë¹é½Å ¼³Ä¡ ¹×, ÃֽŠ¹é½Å ¾÷µ¥ÀÌÆ®°¡ ÇʼöÀû

»ç¿ëÀÚÀÇ À¯Çü¿¡ µû¶ó ¸ÞÀÏÈ®ÀÎÀÌ ¾î·Á¿î °æ¿ì¿¡´Â ¹é½Å ¾÷ü »çÀÌÆ®¿¡ ÁÖ±âÀûÀ¸·Î Á¢¼ÓÇÏ¿© ¹ÙÀÌ·¯½º À̽´¿¡ ´ëÇÑ °øÁö»çÇ× ¹× Æ˾÷ âÀ» È®ÀÎÇØ¾ß ÇÑ´Ù. Conficker¿Í °°ÀÌ Ä¡¸íÀûÀÎ ¹ÙÀÌ·¯½ºÀÇ °æ¿ì ȨÆäÀÌÁö¸¦ ÅëÇØ Àü¿ë¹é½ÅÀ» Á¦°øÇÏ°í Àֱ⠶§¹®ÀÌ´Ù. Àü¿ë¹é½ÅÀº ´©±¸³ª ¼³Ä¡ÇÏ´Â °ÍÀÌ °¡´ÉÇÏ´Ù.

´Ü, Àü¿ë¹é½ÅÀº °³º° ¹ÙÀÌ·¯½º¿¡ ±¹ÇÑ µÈ Ä¡·á ¹æ¹ýÀ̱⠶§¹®¿¡ º¯Á¾ ¹ÙÀÌ·¯½º ¹ß»ý¿¡ µû¸¥ Áö¼ÓÀûÀÎ PC º¸¾ÈÀ» À¯ÁöÇϱâ À§Çؼ­´Â ¹é½Å ¼³Ä¡¿Í ÇÔ²² ÃֽŠ¾÷µ¥ÀÌÆ®ÇÒ °ÍÀ» ±ÇÀåÇÑ´Ù.

ÀÌ¿Í °ü·ÃÇØ ÀÌ¿ëÇÒ ¼ö ÀÖ´Â ÇϿ츮 Àü¿ë¹é½Å ´Ù¿î·Îµå ÁÖ¼Ò´Â ¾Æ·¡¿Í °°´Ù.

http://www.hauri.co.kr/download/customer/vaccine_view.html?uid=57&cpage=1&menu=STE=

<±Û :  ȲÀçÈÆ ÇϿ츮 º¸¾È´ëÀÀ¼¾ÅÍ ¹ÙÀÌ·¯½ºÆÀ ¼±ÀÓ¿¬±¸¿ø(jhhwang@hauri.co.kr)> 


[¿ù°£ Á¤º¸º¸È£21c Åë±Ç Á¦104È£ (info@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 1
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)