C&C ¸í·ÉÀ¸·Î ¾Ç¼ºÇàÀ§, C&C¼¹ö Åë½Å µ¥ÀÌÅÍ º¹È£È, Ç÷¯±×ÀÎ ¼³Ä¡ µî ¼öÇà
[º¸¾È´º½º ±è°æ¾Ö] ¿ìÅ©¶óÀ̳ª¿¡¼ ¹ß»ýÇÑ ´ë±Ô¸ð Á¤Àü»çÅÂÀÇ ¿øÀÎÀÌ ¾Ç¼ºÄÚµå·Î ¹àÇôÁö¸é¼ »çȸ±â¹Ý½Ã¼³ Á¦¾î¸ÁÀÇ º¸¾È¹®Á¦°¡ Å« À̽´·Î ¶°¿Ã¶ú´Ù. ÇØ´ç ¾Ç¼ºÄÚµå´Â À̸ÞÀÏ Ã·ºÎÆÄÀÏÀ» ÅëÇØ À¯ÀÔµÆÀ¸¸ç, ¾Ç¿ëµÈ ¾Ç¼ºÄÚµå´Â ºí·¢¿¡³ÊÁö3(Black Energy 3)·Î µå·¯³µ´Ù.
2007³â óÀ½ °³¹ßµÈ ºí·¢¿¡³ÊÁö´Â °ú°Å ¹Ì±¹À» ºñ·ÔÇÑ Àü·Â¾÷ü °ø°Ý¿¡ ¾Ç¿ëµÆ´Âµ¥ Á¡Â÷ ÁøÈÇÏ°í ÀÖ´Ù. 2010³â ºí·¢¿¡³ÊÁö2°¡ µîÀåÇßÀ¸¸ç, 2011³â UAC ¿ìȸ±â´ÉÀÌ Ãß°¡µÆ´Ù. 2013³â¿¡´Â 64ºñÆ® µå¶óÀ̹ö°¡ Áö¿øµÆÀ¸¸ç, 2014³â¿¡´Â °¡»óȯ°æ ½ÇÇà¹æÁö, ¾ÈƼ µð¹ö±ë ±â´É, º¸¾È±â´É ÇÁ·Î±×·¥ Á¾·á, ´Ù¾çÇÑ Ç÷¯±×ÀÎ Áö¿ø µî ÀÚ°¡º¸È£ ±â´ÉÀÌ ´ë°Å Ãß°¡µÈ ºí·¢¿¡³ÊÁö3ÀÌ µîÀåÇß´Ù.
°ø°ÝÀÚ´Â À̸ÞÀÏ¿¡ ÷ºÎµÈ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®»çÀÇ ¿¢¼¿, ¿öµå, ÆÄ¿öÆ÷ÀÎÆ® ¹®¼¸¦ ÅëÇØ ¾Ç¼ºÄÚµå °¨¿°À» ½ÃµµÇÑ´Ù. ÃÖ±Ù¿¡´Â ¾ÇÀÇÀûÀÎ ÇàÀ§¸¦ ÇÏ´Â ¸ÅÅ©·Î°¡ Æ÷ÇÔµÈ ¿öµå¹®¼¸¦ ÀÌ¿ëÇÏ´Â »ç·Ê°¡ Áõ°¡ÇÏ°í ÀÖ´Ù. ¶ÇÇÑ, ºí·¢¿¡³ÊÁö¿Í À¯»çÇÑ °ø°Ý¹æ½ÄÀ» ÀÌ¿ëÇÏ´Â Dridex ¾Ç¼ºÄڵ尡 ±¹³» Àü·«¾÷üµéÀ» ´ë»óÀ¸·Î °ø°ÝÇÑ »ç·Êµµ ¹ß°ßµÇ°í ÀÖ´Ù.
NSHC RedAlertÆÀ °û¼ºÇö ¿¬±¸¿øÀº ¡°ºí·¢¿¡³ÊÁöÀÇ °¡Àå Å« À§ÇùÀº Ç÷¯±×ÀÎ(Plugin) ¼³Ä¡¸¦ ÀÌ¿ëÇÑ 2Â÷ °ø°Ý¡±À̶ó¸ç ¡°ÃÖ±Ù ±¹³» Àü·Â½Ã¼³¿¡µµ ºí·¢¿¡³ÊÁöó·³ ¸ÅÅ©·Î¸¦ ÀÌ¿ëÇÑ Dridex/DyreÀÇ °ø°ÝÀÌ Å½ÁöµÇ°í ÀÖ´Ù¡±°í ¸»Çß´Ù. ÀÌ¾î ±×´Â ¡°APT °ø°Ý¿¡ ´ëÇÑ °æ°¢½ÉÀ» °íÃë½ÃÄÑ¾ß ÇÑ´Ù¡±°í µ¡ºÙ¿´´Ù.
ºí·¢¿¡³ÊÁö´Â ¡âC&C ¸í·ÉÀ» ÅëÇØ Ãß°¡ ¾Ç¼º ÇàÀ§ ½ÇÇà ¡âC&C¼¹ö Åë½Å µ¥ÀÌÅÍ º¹È£È ¡âÇ÷¯±×ÀÎ ¼³Ä¡ ¡âRPC ¼¹ö »ý¼º ¡âIE ·¹Áö½ºÆ®¸®(REGISTRY) º¯°æ µîÀÇ Æ¯Â¡À» Áö³æ´Ù.
ÇØ´ç ¾Ç¼ºÄڵ带 ºÐ¼®ÇÑ NSHC RedAlert ÃøÀº ¡°ºí·¢¿¡³ÊÁö¿¡ °¨¿°µÈ ½Ã½ºÅÛÀº C&C ¼¹ö¿¡ ¿¬°áÀ» ¿äûÇϸç, ¿¬°áÀÌ µÇ¸é ¾Ç¼ºÄÚµå °ü·Ã ÆÄÀÏ Àüü »èÁ¦, Ç÷¯±×ÀÎ ¼³Ä¡, Ç÷¯±×ÀÎ »èÁ¦ ÇÁ·Î¼¼½º µîÀ» »ý¼ºÇÏ°Ô µÈ´Ù¡±°í ¼³¸íÇß´Ù.
Ç÷¯±×ÀÎÀº C&C ¼¹ö ¸í·ÉÀ» ÅëÇØ °ø°ÝÀÚ°¡ ÀÚÀ¯ÀÚÀç·Î ¼³Ä¡¡¤»èÁ¦ÇÒ ¼ö ÀÖÀ¸¸ç, Ç÷¯±×ÀÎ ±â´É¿¡ µû¶ó ´Ù¾çÇÑ °ø°ÝÀÌ °¡´ÉÇÏ´Ù. Ç÷¯±×ÀÎ ¼³Ä¡ ¸í·É¿¡ µû¶ó »ý¼ºµÇ´Â ÆÄÀÏÀº CSIDL_PROFILE\NTUSER.LOGÀ̸ç, À©µµ¿ì ½Ã½ºÅÛ Æú´õ¿Í ½Ã°£À» ÀÏÄ¡½ÃÄÑ Àº´ÐÀ» ½ÃµµÇÏ´Â °ÍÀ¸·Î ºÐ¼®µÆ´Ù.
ƯÈ÷, ºí·¢¿¡³ÊÁö Ç÷¯±×ÀÎ Áß¿¡´Â ųµð½ºÅ©(KILL DISK)¸¦ ÅëÇØ ¡âMBR Æı« ¡âÆÄÀϺ¯Á¶ ¡âÇÁ·Î¼¼½º¸¦ °Á¦Á¾·á ½ÃÅ°°í, SSH ¹éµµ¾î(Back Door)¸¦ ½ÇÇà½ÃŲ´Ù.
MBR Æı«ÀÇ °æ¿ì ½Ã½ºÅÛ¿¡ ¿¬°áµÇ¾î ÀÖ´Â ¹°¸® µð½ºÅ© 10°³¸¦ ´ë»óÀ¸·Î MBR Æı«°¡ ÁøÇàµÈ´Ù.
ÆÄÀϺ¯Á¶ÀÇ °æ¿ì ½Ã½ºÅÛ¿¡ »ý¼ºµÅ ÀÖ´Â °íÁ¤ µå¶óÀ̺ê¿Í ¿ø°Ý µå¶óÀÌºê ¾È¿¡¼ EXE, SYS, DRV, DOC, DOCX, XLS, XLSX, MDB, PPT, PPTX, XML, JPG, JPEG, INI, INF, TTF È®ÀåÀÚ¸¦ °¡Áø ÆÄÀϵ鿡 ´ëÇØ °ø°ÝÀÌ ÀÌ·ç¾îÁø´Ù. ÇØ´ç ÆÄÀϵéÀº ÆÄÀÏ »èÁ¦ ÈÄ 0¹ÙÀÌÆ®(Byte)ÀÇ °°Àº ÆÄÀÏÀ» »ý¼ºÇÏ°í, NULL ¿À¹ö¶óÀÌÆ®(Overwrite), ÆÄÀÏ»èÁ¦ ¹æ¹ýÀ» ÀÌ¿ëÇØ ½Ã½ºÅÛ¿¡¼ »èÁ¦µÈ´Ù.
ÇÁ·Î¼¼½º °Á¦ Á¾·áÀÇ °æ¿ì Åø ÇïÇÁ(Tool Help) °è¿ API¸¦ ÀÌ¿ëÇØ ÇöÀç ½ÇÇà ÁßÀÎ ÇÁ·Î¼¼½º ¸®½ºÆ®¸¦ ȹµæÇÏ°í, ¸ðµç ÇÁ·Î¼¼½º¸¦ °Á¦ Á¾·á½ÃŲ´Ù. Á¾·áµÈ ÇÁ·Î¼¼½º¿¡ ´ëÇÑ ÆÄÀϵ鵵 ÆÄÀÏ º¯Á¶ ¹æ½ÄÀ» ÀÌ¿ëÇØ ½Ã½ºÅÛ¿¡¼ »èÁ¦µÈ´Ù. ÃÖÁ¾ÀûÀ¸·Î ½Ã½ºÅÛÀ» °Á¦ ÀçºÎÆýÃÄÑ »ç¿ëºÒ°¡´ÉÇÑ »óÅ·Π¸¸µç´Ù´Â °Í.
SSH ¹éµµ¾î¿¡ ´ëÇØ NSHC °û¼ºÇö ¿¬±¸¿øÀº ¡°ÇÇÇØ ½Ã½ºÅÛ¿¡ SSH ¼¹ö°¡ ¼³Ä¡µÇ¾î °ø°ÝÀÚ°¡ ¿ø°Ý¿¡¼ ÇÇÇØ ½Ã½ºÅÛ¿¡ Á¢¼ÓÀÌ °¡´ÉÇÏ´Ù¡±°í ¼³¸íÇß´Ù. ´ÙÀ½À¸·Î PRC ¼¹ö°¡ »ý¼ºµÇ¸é 135/TCP Æ÷Æ®°¡ È°¼ºÈµÅ ¿ÜºÎ·ÎºÎÅÍ Á¢¼ÓÀÌ Çã¿ëµÇ´Â ¹æ½ÄÀÌ´Ù.
ƯÈ÷, ºí·¢¿¡³ÊÁö´Â ·¹Áö½ºÆ®¸®¸¦ ÀÌ¿ëÇØ ÀÎÅÍ³Ý ÀͽºÇ÷η¯(Explorer)ÀÇ È¯°æ¼³Á¤À» ¼öÁ¤ÇÏ´Â °ÍÀ¸·Î µå·¯³µ´Ù. ·¹Áö½ºÆ®¸® ¼öÁ¤À» ÅëÇØ ±âº» ºê¶ó¿ìÀú ¼³Á¤ ¾Ë¸² Ç¥½Ã ÇØÁ¦, »ìÆ캸±â ÅÇ ÇØÁ¦, º¸È£ ¸ðµå »ç¿ë ÇØÁ¦, IE ¾Ë¸²Ç¥½ÃÁÙ »ç¿ë ¾ÈÇÔ, Æ˾÷ Â÷´Ü »ç¿ë ¾ÈÇÔ, ½º¸¶Æ®½ºÅ©¸°(Smart Screen) ÇÊ´õ »ç¿ëÇØÁ¦, Àӽà ÆÄÀÏ »èÁ¦, ¿©·¯ ÅÇÀ» ´ÝÀ» ¶§ ¸Þ½ÃÁö Ç¥½Ã »ç¿ë ¾ÈÇÔ, ¸¶Áö¸· °Ë»ö ¼¼¼Ç ´Ù½Ã ¿±â ÇØÁ¦ µî IEÀÇ º¸¾È¼öÁØÀ» ³·Ãß´Â ÇàÀ§¸¦ ÇÒ ¼ö ÀÖ´Ù.
ÀÌ¿¡ µû¶ó NSHC RedAlert ÃøÀº ¡°À©µµ¿ì Ž»ö±âÀÇ Æú´õ ¿É¼Ç¿¡¼ ¡®º¸È£µÈ ¿î¿µÃ¼Á¦ ÆÄÀÏ ¼û±â±â(±ÇÀå)¡¯ üũ¹Ú½ºÀÇ Ã¼Å©¸¦ ÇØÁ¦ÇÏ°í ¡®¼û±è ÆÄÀÏ ¹× Ç¥½Ã¡¯ÀÇ ¶óµð¿À ¹öÆ°À» Ŭ¸¯ÇØ Àû¿ëÇØ¾ß ÇÑ´Ù¡±¸ç ¡°CSIDL_STARTUP\{[Adaptor Name]}.lnk¿Í CSIDL_LOCAL_APPDATA\FONTCACHE.DAT ÆÄÀÏ, CSIDL_PROFILE\NTUSER.LOG ÆÄÀÏÀ» »èÁ¦ÇÒ °Í¡±À» ´çºÎÇß´Ù.
¸¸¾à ÀǵµÄ¡ ¾ÊÀº PRC ¼¹ö°¡ È°¼ºÈµÈ »óŶó¸é °ü·Ã ÇÁ·Î¼¼½º¸¦ Á¾·áÇØ¾ß ÇÑ´Ù°í µ¡ºÙ¿´´Ù.
¶ÇÇÑ, IEÀÇ ÀÎÅÍ³Ý ¿É¼Ç¿¡¼ º¹¿ø ±â´ÉÀ» ÀÌ¿ëÇØ ÇÊ¿äÇÑ °æ¿ì IE °ü·Ã ·¹Áö½ºÆ®¸®¸¦ º¹¿øÇÒ ÇÊ¿ä°¡ ÀÖ´Ù´Â ¼³¸íÀÌ´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>