Home > Àüü±â»ç

¾Ç¼ºÄÚµå, ÀÌ·¸°Ô º¯È­ÇÏ°í ÀÖ´Ù

ÀÔ·Â : 2010-11-13 13:11
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
ÀÎÅͳÝÀ» ÅëÇØ ¾Ç¼ºÄÚµå(Malicious Code)°¡ ÀüÆĵDZ⠽ÃÀÛÇÑ °ÍÀº 2000³â Áß¹Ý P2P·ÎºÎÅÍ Ã³À½ ¹ß°ßµÆÀ¸¸ç 2001³â ÇϹݱâºÎÅÍ ±ÞÁõÇß´Ù. ÁÖ·Î °¨¿° °æ·Î´Â ºÒ¹ýº¹Á¦ ÇÁ·Î±×·¥, ÀüÀÚ¿ìÆí ÷ºÎÆÄÀÏ ¹× ¸Þ½ÅÀú ÷ºÎ ÆÄÀÏ·Î °¨¿°µÆÀ¸³ª Á¡Â÷ ¾Ç¼º IRCº¿, À¥ ÆäÀÌÁö °Ë»öÀ» ÅëÇؼ­ ÀüÆĵƴÙ. ÃÖ±Ù ¾Ç¼ºÄÚµå´Â ÀÎÅÍ³Ý ¼Óµµ°¡ »¡¶óÁö°í Application Program ´Ù¾çÈ­¿¡ µû¶ó ÀüÆÄ À¯Çüµµ ´Ù¾çÇÏ°Ô º¯È­, ÁøÈ­µÇ°í ÀÖ´Ù.


2003³â 1.25 ÀÎÅÍ³Ý ´ë¶õ ÀÌÈÄ 2009³â 7.7 DDOS°ø°Ý±îÁö ¼ö¸¹Àº ¾Ç¼ºÄڵ带 ÀÌ¿ëÇÑ °ø°ÝµéÀÌ ¹ß»ýÇßÀ¸¸ç ´ë·®ÀÇ TrafficÀ» À¯¹ß½ÃÅ°´Â °ø°Ýµéµµ ¸¹ÀÌ ³ªÅ¸³µ´Ù. ÀÌ·± °ø°ÝµéÀÌ °¡´ÉÇÏ°Ô µÈ °ÍÀº Á»ºñ(Zombie)PCÀÇ È°¿ëÀ¸·Î °¡´ÉÇßÀ¸¸ç À̵éÀÇ Æ¯Â¡Àº ƯÁ¤ »çÀÌÆ®¸¦ °ø°ÝÇØ À¥ Á¢¼Ó Áö¿¬ ¹× ¼­ºñ½º Àå¾Ö¸¦ ¹ß»ý½ÃÄ×´Ù´Â °ÍÀÌ´Ù.

 

ÀÌ·± Á»ºñPC¸¦ ±¸ÃàÇÏ·Á¸é ¾Ç¼ºÄڵ带 ¸¸µé¾î ÀÎÅͳÝÀ¸·Î ÀüÆÄÇØ¾ß Çϴµ¥ Ãʱ⿡´Â OS Ãë¾àÁ¡, SQL Injection°ø°Ý, À¥ °Ô½ÃÆÇÀ» ÅëÇÑ ¾÷·Îµå, IRC º¿³Ý µîÀ» ÀüÆÄ¿¡ »ç¿ëÇßÀ¸¸ç ÃÖ±Ù¿¡´Â ¹æ¹ýÀÌ ÁøÈ­µÅ Static DNS ¶Ç´Â DDNS µµ¸ÞÀÎÀ» ÀÌ¿ë, C&C ¼­¹ö·Î Á¢¼ÓÇØ ÆÄÀÏ ´Ù¿î·Îµå ÇÏ´Â ¹æ¹ý°ú À¥DISK, P2P »çÀÌÆ®¿¡ »ç¶÷µéÀÇ Èï¹Ì¸¦ À¯¹ß½ÃÅ°´Â µ¿¿µ»óÆÄÀÏ ¹× »ó¿ë ÇÁ·Î±×·¥ ¼Ó¿¡ ¾Ç¼ºÆÄÀÏÀ» ¼û±â´Â Self-extract±â´ÉÀ» ÀÌ¿ëÇÑ ÆÄÀÏÀ» ¾÷·ÎµåÇØ ÀÚ¿¬½º·¯¿î ´Ù¿î·Îµå¸¦ ÅëÇÑ »çȸ°øÇÐÀû ÇØÅ· ¹æ¹ýÀ» ¸¹ÀÌ »ç¿ëÇÏ°í ÀÖ´Ù. Áö±ÝºÎÅÍ ÀÌ·± ¹æ¹ý¿¡ ´ëÇؼ­ ¼³¸íÇÏ°íÀÚ ÇÑ´Ù.

ù°, Static DNS IP¸¦ ¾Ç¼ºÄÚµå °¨¿°ÆÄÀÏ¿¡ ³Ö¾î ½ÇÁ¦ DNS¼­¹öÀÇ Äõ¸®¸¦ ¿ìȸÇÏ´Â ¹æ¹ý°ú ÇØ¿Ü DDNS µµ¸ÞÀÎ IP¸¦ ³Ö¾î ±¹³»¿¡¼­ Â÷´ÜÀ» ¿ìȸ ÇÒ ¼ö ÀÖ´Â ±â¹ý¿¡ ´ëÇؼ­ ¼³¸íÇÏ°íÀÚ ÇÑ´Ù.

±×¸² 1Àº ħÇØ °¨¿°PCÀÇ Åë½Å ÆÐŶ Áß DNS ÇÁ·ÎÅäÄݸ¸ ÇÊÅÍÇØ Ä¸Ã³ÇÑ ³»¿ëÀÌ´Ù. at77421.is-lost.org µµ¸ÞÀÎÀÌ ÇØ¿Ü DNS ¼­¹öIP·Î ÁúÀÇ ÇÏ´Â °ÍÀ» º¼ ¼ö ÀÖ´Ù.

 

°¨¿°µÈ PC´Â ÁÖ±âÀûÀ¸·Î DNS Äõ¸®¸¦ ¹ß»ý½ÃÄÑ ³»ºÎIP(192.168.0.1)¸¦ °¡Á®¿À´Ù°¡ °ø°ÝÀÚ°¡ DDNS µµ¸ÞÀÎ IP¸¦ ¼³Á¤ÇÏ´Â ¼ø°£ °ø°Ý ¸í·ÉÀ» ´Ù¿î ¹ÞÀ» ½ÇÁ¦IP¸¦ °¡Á®¿À°Ô µÈ´Ù. ±×¸² 2¿¡¼­ ½ÇÁ¦ ´Ù¿î¹ÞÀ» ¼÷ÁÖ¼­¹ö IPÁÖ¼Ò¸¦ º¼ ¼ö ÀÖ´Ù. ±×¸² 3°ú 4´Â ´Ù¿î¹ÞÀ» ¼÷ÁÖIP¿¡¼­ ¾Ç¼º ÆÄÀÏÀ» ´Ù¿î ¹Þ´Â È­¸éÀÌ´Ù. ÀÌ·¸°Ô DDNS µµ¸ÞÀÎÀ» »ç¿ëÇØ ¼ö½Ã·Î ¼÷ÁÖIP¸¦ º¯°æ, ±¹³»¿¡¼­ Â÷´ÜÀ» ¾î·Æ°Ô ¸¸µé°í ÀÖ´Ù.

 

µÑ°·Î ±¹³» À¥DISK, P2PÀÇ µ¿¿µ»ó ÆÄÀÏ ¼Ó¿¡ ¾Ç¼ºÄڵ尡 ¼û°ÜÁø ³»¿ëÀ» ¼Ò°³ÇÏ°íÀÚ ÇÑ´Ù. ±×¸² 5 ÆÄÀÏÀ» ´Ù¿î¹Þ¾Æ SFX¿É¼ÇÀ¸·Î ´õºí Ŭ¸¯ÇØ ¾ÐÃàÆÄÀÏÀ» Ç®¸é ¾Æ·¡ ±×¸² 6°ú °°ÀÌ aaa.exe ¿Í ½ÇÁ¦ µ¿¿µ»ó ÆÄÀÏ ÃÑ 2°³ ÆÄÀÏÀÌ Á¸ÀçÇÏ´Â °ÍÀ» º¼ ¼ö ÀÖ´Ù.

 

±×¸² 7À» ÅëÇØ ¾Ë ¼ö ÀÖµíÀÌ aaa.exe ÆÄÀÏÀ» ½ÇÇà½ÃÅ°¸é DLL ÆÄÀÏÀ» »ý¼ºÇÏ¸ç ¼÷ÁÖ¼­¹öIP·ÎºÎÅÍ ¾Ç¼ºÄÚµå ÆÄÀÏÀ» ´Ù¿î¹Þ°í(inet[0-9|a-z]{1}.dll) ÀÌ ÆÄÀÏÀ» svchost.exe¿¡ Injection ½ÃŲ ÈÄ ¼­ºñ½º(NLogRemoteEvent)·Î µ¿ÀÛÇÑ´Ù. 

 

¶ÇÇÑ ±×¸² 8°ú °°ÀÌ ÀÌ ¼­ºñ½º´Â 2Â÷ ¾Ç¼ºÄÚµå ÆÄÀÏ(wbem[0-9|a-z]{1}.dll)À» »ý¼º½ÃÄÑ NLog Remote Event ¼­ºñ½º¸¦ »èÁ¦ÇÏ°í Wbem Log Event¶ó´Â ¼­ºñ½º¸¦ µî·ÏÇØ ¼­ºñ½º¸¦ ½ÃÀÛÇÑ´Ù.    

 

±×·¸°Ô ù° ¿¹Á¦Ã³·³ DDNS µµ¸ÞÀÎÀ» È°¿ëÇØ Á»ºñPC·Î ¸¸µé°Ô µÇ°í Á»ºñPC¸¦ ºÐ¼®ÇÏ´Ù º¸¸é exe ½ÇÇà ÆÄÀÏÀº Á¸ÀçÇÏÁö ¾Ê°í ÇÁ·Î¼¼½º¿¡µµ º¸ÀÌÁö ¾ÊÀ¸¸ç svchost.exe¿¡ DLL InjectionµÅ Á¤»óÀû ½ÇÇà ÆÄÀϸ¸ º¸ÀÌ°Ô µÇ¹Ç·Î ºÐ¼®Çϱ⠾î·Á¿î °æ¿ì°¡ ¸¹´Ù.

 

°á·ÐÀûÀ¸·Î ¾Ç¼ºÄڵ带 ¿¹¹æÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀº ¾ËÁö ¸øÇÑ »ç¶÷¿¡°Ô ¿Â ¸ÞÀÏ ³»¿ë Áß¿¡ ÀÖ´Â À¥»çÀÌÆ® ¸µÅ©, ÷ºÎÆÄÀÏÀ» ÇԺηΠŬ¸¯ÇÏÁö ¸»°í ÷ºÎÆÄÀÏÀº ¹é½Å °Ë»ç ÀÌÈÄ ¿­¶÷ÇÏ°í µ¿¿µ»ó ÆÄÀÏÀÎ °æ¿ì °¡´ÉÇÑ exe È®ÀåÀÚ¸¦ °¡Áø ÆÄÀÏ ´Ù¿îÀ» ÀÚÁ¦ÇÏ¸ç ¿øµµ¿ìOS º¸¾ÈÆÐÄ¡ ¹× ÀÎÅÍ³Ý ÀͽºÇ÷η¯ º¸¾ÈÆÐÄ¡, MS Office º¸¾ÈÆÐÄ¡ µîÀ» ¾÷µ¥ÀÌÆ® ÇÏ°í ¹é½ÅÁ¦Ç°Àº ÃֽŠ¹öÀüÀ» À¯ÁöÇÏ¸ç ½Ç½Ã°£ °¨½Ã ±â´ÉÀ» È°¼ºÈ­ÇÏ´Â °ÍÀÌ ÃÖ¼±ÀÇ ¹æ¹ýÀ̶ó°í ÇÒ ¼ö ÀÖ´Ù. º¸¾È¿¡ ÀÖ¾î °¡Àå Áß¿äÇÑ °ÍÀº °³°³ÀÎ ½º½º·Î º¸¾È¿¡ ´ëÇÑ °ü½ÉÀ» °¡Áö°í ºÒ¹ý¼ÒÇÁÆ®¿þ¾î »ç¿ëÀ» ÀÚÁ¦ÇÏ´Â °ÍÀÌ´Ù.

<±Û : ±è´ö¼ö skÀÎÆ÷¼½ Áö½Ä°üÁ¦»ç¾÷ºÎ SK-CERT3ÆÀ ÆÀÀå(dskim@skinfosec.co.kr)>


[¿ù°£ Á¤º¸º¸È£21c Åë±Ç Á¦123È£(info@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 5
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)