ÃÖ±Ù ¸Ö¿þ¾î Á¦ÀÛÀÚµé »çÀÌ¿¡¼ DNS ÅëÇÑ C&C Åë½Å À¯Çà
[º¸¾È´º½º ¹®°¡¿ë] º¸¾È ´ã´çÀÚÀÇ ÁÖ¿ä °ü½É»ç°¡ ¾Æ´Ï±â ¶§¹®¿¡ º¸¾ÈÀÇ ±¸¸ÛÀÌ µÇ´Â °ÍÀÌ ¸¹Àºµ¥, ±× Áß Çϳª°¡ DNS Æ®·¡ÇÈÀÌ´Ù. ƯÈ÷ ¾È¿¡¼ ¹Ù±ùÀ¸·Î °¡´Â DNS Æ®·¡ÇÈÀÌ ¹®Á¦°¡ µÇ´Â °æ¿ì°¡ ¸¹´Ù. ÃÖ±Ù ÆȷξËÅä ³×Æ®¿÷½º(Palo Alto Networks)¿¡¼ DNS Æ®·¡ÇÈÀ» ¾Ç¿ëÇÑ »õ·Î¿î °ø°Ý¹æ½Ä ¹× ¸Ö¿þ¾î¸¦ ¹ß°ßÇØ º¸°í¼¸¦ ¹ß°£Çß´Ù.
ÇØ´ç ¸Ö¿þ¾îÀÇ À̸§Àº Çǽº·Î´õ(pisloader)·Î ¸í·É ü°è¿Í ¸í¸í ±ÔÄ¢, ¸ÞŸµ¥ÀÌÅÍ¿¡¼ HTTPBrowser ¸Ö¿þ¾î Æйи®¿Í ³î¶ó¿ï Á¤µµÀÇ À¯»ç¼ºÀ» º¸¿©ÁØ´Ù. ±×·¡¼ ÆȷξËÅä´Â HTTPBrowser¸¦ ¹«Â÷º°ÀûÀ¸·Î »ç¿ëÇß´ø »çÀ̹ö ¹üÁË ´ÜüÀÎ À¡ºñ(Wekby)°¡ Çǽº·Î´õÀÇ ¹èÈÄ¿¡ ÀÖ´Â °ÍÀ¸·Î º¸°í ÀÖ´Ù.
Çǽº·Î´õÀÇ °¡Àå Å« Ư¡Àº C&C¿ÍÀÇ Åë½Å ÇÁ·ÎÅäÄݷμ DNS¸¦ »ç¿ëÇÑ´Ù´Â Á¡ÀÌ´Ù. ¿©±â¿¡ ³µ¶È ±â¼ú±îÁö µ¡ÀÔ°í ÀÖ¾î º¸¾È ´ã´çÀÚµéÀÌ À̸¦ ŽÁöÇϰųª ºÐ¼®Çϱ⵵ ¸Å¿ì ±î´Ù·Ó°Ô µÇ¾î ÀÖ´Ù. ¡°³µ¶È¸¸ Á¦°ÅµÇ¸é ¸Ö¿þ¾î ÀÚü´Â »ç½Ç °£´ÜÇÏ°Ô ±¸¼ºµÇ¾î ÀÖ½À´Ï´Ù. Çǽº·Î´õ´Â ¸ÕÀú ¾ËÆĺª°ú ¼ýÀÚ·Î ±¸¼ºµÈ 10¹ÙÀÌƮ¥¸® Çì´õ¸¦ ¹«ÀÛÀ§·Î »ý¼ºÇÕ´Ï´Ù. ³ª¸ÓÁö µ¥ÀÌÅÍ´Â base32·Î ÀÎÄÚµù µÇ°í, ³ªÁß¿¡ ÅؽºÆ® ±â·Ï¿¡ ´ëÇÑ DNS ¿äûÀ» ¸¸µé ¶§ »ç¿ëµÇ´Â ¼ºêµµ¸ÞÀÎÀ¸·Î º¸³»Áý´Ï´Ù. DNS Æ®·¡ÇÈÀ» º¸¾È ´ã´çÀÚ°¡ Àß Á¡°ËÇÏÁö ¾Ê±â ¶§¹®¿¡ ÀÌ·± °ø°ÝÀÌ ¼º¸³µÇ´Â °Ì´Ï´Ù.¡±
½Ã½ºÄÚ¿¡¼ ¿ÃÇØ ¹ß°£ÇÑ º¸°í¼¿¡ ÀÇÇϸé DNS Æ®·¡ÇÈÀ» °üÂû, °ü¸®ÇÏ´Â ±â¾÷Àº 31%¿¡ Áö³ªÁö ¾ÊÀº °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ³ª¸ÓÁö 69%´Â ÀÌ¿¡ ¸Å¿ì ¼ÒȦÇÑ °Çµ¥, ÀÌ Ä¿´Ù¶õ ±¸¸ÛÀ» °ø°ÝÀÚµéÀÌ ±×³É Áö³ªÄ¥ ¸® ¾ø´Ù. ½Ã½ºÄÚ¿¡ µû¸£¸é ÃÖ±Ù µîÀåÇÏ´Â ¸Ö¿þ¾îÀÇ 92%°¡ C&C¿ÍÀÇ Åë½ÅÀ» À§ÇØ DNS¸¦ È°¿ëÇÑ´Ù°í ÇÑ´Ù.
±×·¯³ª ÀÌ°ÍÀÌ ¸Ö¿þ¾î ¹× »çÀ̹ö ¹üÁËÀÇ Ç¥ÁØ¿¡±îÁö À̸£·¶´Ù°í ¸»Çϱâ´Â Èûµé´Ù. ¡°´Ù¸¸ ¹«¼·°Ô Àڶ󳪰í ÀÖ´Â À¯ÇàÀ̱ä ÇÏ´Ù¡±°í ÆȷξËÅä´Â ¼³¸íÇÑ´Ù. DNS¸¦ È°¿ëÇÑ ¸Ö¿þ¾îµé Áß ÃÖ±Ù¿¡ ¹ß°ßµÈ °ÍÀº PlugX, C3PRO-RACCOONÀÌ ÀÖ´Ù. º¸¾È Àü¹®¾÷üÀÎ ÆÄÀ̾î¾ÆÀÌ(FireEye)µµ ÃÖ±Ù DNS¸¦ ÅëÇØ ÀºÇà Á¤º¸¸¦ »©µ¹¸®´Â ¸Ö¿þ¾î¸¦ Áßµ¿ Áö¿ª¿¡¼ ¹ß°ßÇØ º¸°íÇÑ ¹Ù ÀÖ´Ù.
¹üÁËÀÚµéÀÇ ÀÌ·± DNS ¾Ç¿ëÀ» ¸·À¸·Á¸é, ³Ê¹«³ª ´ç¿¬ÇÏÁö¸¸, º¸¾È ´ã´çÀÚµéÀÌ ¹Ù±ùÀ¸·Î È帣´Â DNS Æ®·¡ÇÈ¿¡ Á» ´õ ½Å°æÀ» ½á¾ß ÇÑ´Ù°í º¸¾È Àü¹®°¡µéÀº °Á¶ÇÑ´Ù. ¡°Æ¯È÷ Æ÷Æ® 53ÀÇ Æ®·¡ÇÈÀ» À¯½ÉÈ÷ ÁöÄѺÁ¾ß ÇÕ´Ï´Ù.¡±
¡°DNS´Â ÀÎÅÍ³Ý Àü¹Ý¿¡ ±ò·Á ÀÖ´Â ±â¹Ý±¸Á¶ÀÔ´Ï´Ù. ±×·±µ¥µµ º¸¾ÈÀÇ °ü½É ¹Û¿¡ ÀÖ´Â °æ¿ì°¡ ¸¹ÁÒ.¡± º¸¾È ¾÷üÀΠŬ¶ó¿ìµå¸¶Å©(Cloudmark)ÀÇ ¼ö¼® Ã¥ÀÓÀÚÀÎ ¾ÈÁ©¶ó ³ì½º(Angela Knox)ÀÇ ¼³¸íÀÌ´Ù. ¡°¸¶Ä¡ °ø±âó·³, »çÀ̹ö °ø°£¿¡ ³Ê¹« Æí¸¸ÇØ Àֱ⠶§¹®ÀÔ´Ï´Ù. °ø°ÝÀÚµéÀÌ DNS¿¡ ÁÖ¸ñÇϱ⠽ÃÀÛÇß´Ù´Â °ÍÀº ÇöÀç »çÀ̹ö °ø°£¿¡ °ø±â·Îµµ Àü¿°µÇ´Â º´±ÕÀÌ ÃâÇöÇß´Ù´Â °Í°ú °°½À´Ï´Ù.¡±
Çǽº·Î´õ¿¡ ´ëÇÑ ÆȷξËÅäÀÇ º¸°í¼ ¿ø¹®Àº ¿©±â¼ ¿¶÷ÀÌ °¡´ÉÇÏ´Ù. ±â¼úÀûÀÎ ¼¼ºÎ »çÇ×µµ ¼³¸íµÇ¾î ÀÖ´Ù(¿µ¹®).
Copyrighted 2015. UBM-Tech. 117153:0515BC
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>
- ±¹³» ÃÖ´ë ±Ô¸ðÀÇ °³ÀÎÁ¤º¸º¸È£ ÄÁÆÛ·±½º PIS FAIR 2016 - 6¿ù 9ÀÏ(¸ñ)~10ÀÏ(±Ý) °³ÃÖ- °ø°ø¡¤±ÝÀ¶¡¤¹Î°£ CPO, °³ÀÎÁ¤º¸Ã³¸®ÀÚ, º¸¾È´ã´çÀÚ µî 4,000¿©¸í Âü¼®
- °ø¹«¿ø»ó½ÃÇнÀ, CPPG, CISSP, CISA, ISMSµî °ü·Ã ±³À°À̼ö(ÃÖ´ë 16½Ã°£) ÀÎÁ¤
- CPO, °³ÀÎÁ¤º¸Ã³¸®ÀÚ, º¸¾È´ã´çÀÚ µî »çÀü ¹«·á Âü°üµî·Ï(www.pisfair.org/2016/)