¡¡
Á¶±Ý ´õ ½Ã½ºÅÛÀÇ ¼º´É°ú Á¦¹Ýȯ°æÀÌ ¸¶·ÃµÈ´Ù¸é, ³»¿ÜºÎÀÇ Åë½Å¿¡ ´ëÇÑ Ç® ÆÐŶÀ» üũÇØ¾ß ÇÏÁö ¾ÊÀ»±î »ý°¢ÇÕ´Ï´Ù. Ç® ÆÐŶÀ» ÀúÀåÇÑ ÈÄ¿¡ 1Â÷ÀûÀ¸·Î ÀÚµ¿ÈµÈ ºÐ¼® ½Ã½ºÅÛ¿¡¼ °ËÁõÇÏ°í, 2Â÷ÀûÀ¸·Î ƯÀÌÇÑ ÆÄÀÏÀº ºÐ¼®ÀηÂÀÌ ¼öÇàÇϰųª, C&C ¹× ƯÁ¤ ¼¹ö¿Í Åë½Å ½Ã Àü¼ÛµÇ´Â ÆÐŶÀ» Ç® ÆÐŶ ³»¿¡¼ ¼±º°ÇØ ÇØ´ç ÆÐŶ¿¡ ´ëÇÑ ºÐ¼®ÀÌ ÇÊ¿äÇÏ°Ú½À´Ï´Ù.
[¿©µ¿±Õ À̱۷ç½ÃÅ¥¸®Æ¼ º¸¾È°üÁ¦ ÆÀÀå(ydk0034@naver.com)]
¡¡
´ëºÎºÐÀÇ ¼Ö·ç¼ÇÀÌ ¾Ë·ÁÁø IP ȤÀº, URI ±â¹ÝÀ¸·Î C&C ¼¹ö¿¡ ´ëÇØ Åë½ÅÇÏ´Â °ÍÀ» Â÷´Ü(1.1.1.2 IP°¡ C&C ¼¹öÀÏ ¶§ 1.1.1.2·Î Á¢¼Ó Â÷´Ü)ÇÕ´Ï´Ù. FireEyeNX ¼Ö·ç¼ÇÀº ±âº»ÀûÀ¸·Î ¾Ë·ÁÁø C&C ¼¹ö¿ÍÀÇ Åë½Å»Ó¸¸ ¾Æ´Ï¶ó, °í°´»ç ³»ºÎ·Î À¯ÀÔ µÈ ÆÄÀÏÀ» °¡»ó¸Ó½Å¿¡¼ ½ÇÁ¦·Î ½ÇÇàÇغ» ÈÄ ¾Ç¼ºÄÚµå·Î ÆǺ° µÈ ÆÄÀÏÀÌ ¿ÜºÎ·Î Åë½ÅÀ» ½ÃµµÇÏ´Â IP±îÁö È®ÀÎÇØ ¡®¾Ë·ÁÁöÁö ¾ÊÀº¡¯ C&C ¼¹ö·ÎÀÇ Åë½Åµµ ŽÁö/Â÷´ÜÇÕ´Ï´Ù.
[ÀåÈ£¼® Åõ¾¾¿¡½ºÁö(hsjang@tocsg.co.kr)]
¡¡
ºñ±Ô¾à, ¿À·ù¹ß»ý À¯µµ, ºñÀ¯È¿ Åë½ÅÀ» ¹Ýº¹ ¿äûÇÒ ½Ã¿¡ Åë½Å ¿äû ±â¹ý°ú ¹Ýº¹ÀÇ È½¼ö µîÀ» º¸¾ÈÁ¤Ã¥À¸·Î Â÷´ÜÇÒ ¼ö ÀÖ½À´Ï´Ù. ´Ù¸¸, Åë½Å±Ô¾àÀ» ¾î±â°í ºñ±Ô¾à Åë½ÅÀ» ÅëÇØ »ó´ë ½Ã½ºÅÛÀÇ Åë½Å¹öÆÛ¿¡ ¿À¹öÇ÷θ¦ ¸¸µå´Â µîÀÇ ¹æ¹ýÀ¸·Î »ó´ë ½Ã½ºÅÛÀ» Àå¾ÇÇÏ´Â ±â¹ýÀº °í³À§µµ ±â¹ýÀÌ°í ÈçÈ÷ ¾²´Â ±â¹ýÀÌ ¾Æ´Õ´Ï´Ù.
ÃÖ±Ù APT °ø°ÝÀÇ °ø°Ý ¼ö¹ýÀº ÁÖ·Î ¾Ç¼º¹®¼¸¦ ÀÌ¿ëÇÑ °ø°ÝÀ» ¸¹ÀÌ ÇÏ´Â Ãß¼¼Àε¥, ÀÌ´Â °í±Þ Æ÷¸ËÀÇ ¹®¼(Rich Document)¿¡ ±â¹¦ÇÑ ¹æ¹ýÀ¸·Î ¾Ç¼ºÄڵ带 »ðÀÔÇÏ´Â ¹æ¹ýÀ¸·Î, Åë½ÅÀ» ÅëÇØ Àü´ÞµÈ ½ÇÇàÄڵ带 Æ÷ÇÔÇÑ ¹®¼(Rich Document)¸¦ ¿¾úÀ» ¶§ ¸Þ¸ð¸® ¹öÆÛ¿À¹öÇÃ·Î¿ì µîÀÇ ½Ã½ºÅÛ ¿À·ù¸¦ ³»¾î ±ÇÇÑÀ» ÃëµæÇϰųª ½ÇÇàÆÄÀÏÀ» ½É¾îµÎ°í PC¸¦ Á¦¾î ÇÏ´Â ¹æ½ÄÀÔ´Ï´Ù.
[¼ÒÇÁƮķÇÁ]
¡¡
APT °ø°ÝÀº Á¤±³ÇÑ ¾Ç¼ºÄÚµå¿Í °ø°Ý±â¼úÀ» È°¿ëÇØ ±â¾÷¿¡ ħÅõÇÏ°í ´«Ä¡ äÁö ¸øÇÏ°Ô ±â¹ÐÁ¤º¸¸¦ À¯Ãâ½Ãŵ´Ï´Ù. ÀÌ·¯ÇÑ APT °ø°ÝÀº ÃÖ´ëÇÑ »¡¸® °ø°ÝÀ» ŽÁöÇÏ°í ´ëÀÀÇÏ¿© ÇÇÇظ¦ È®»ê½ÃÅ°Áö ¾Ê´Â °ÍÀÌ Áß¿äÇϹǷΠ½ÃÁß¿¡ ³ª¿Â APT ¼Ö·ç¼ÇÀ» µµÀÔÇϽô °ÍÀ» ÃßõÇÕ´Ï´Ù. [Çѱ¹»ê¾÷±â¼úº¸È£Çùȸ Áß¼Ò±â¾÷±â¼úÁöÅ´¼¾ÅÍ]
¡¡
C&C ¼¹ö¿ÍÀÇ Åë½Å Â÷´ÜÀº µÎ °¡Áö ¾Ë°í¸®ÁòÀ¸·Î ÁøÇàµÉ ¼ö ÀÖ½À´Ï´Ù. Çϳª´Â ¾Ë·ÁÁø C&C ¼¹ö¿ÍÀÇ Åë½Å Â÷´ÜÀ¸·Î, º¸Åë °¢ º¸¾Èȸ»ç¸¶´Ù ÀÚüÀû ȤÀº Çù·ÂÇØ Global Threat Intelligence Á¤º¸¸¦ È°¿ëÇؼ Â÷´ÜÇÏ°Ô µË´Ï´Ù. µÎ ¹ø°´Â ¾Ë·ÁÁöÁö ¾ÊÀº C&C ¼¹ö¿ÍÀÇ Åë½Å Â÷´ÜÀº C&C ¼¹ö·Î ÁÖ°í¹Þ´Â ¸Þ½ÃÁö ³» ÆäÀÌ·Îµå ºÐ¼®À» ÅëÇØ C&C¶ó´Â È®ÁõÀÌ ¹ß°ßµÇ¸é Â÷´ÜÇÏ°Ô µË´Ï´Ù.
À̶§ C&C ¼¹ö¿ÍÀÇ Åë½ÅÀÌ TCP Åë½ÅÀÌ ¾Æ´Ï¶ó SSL Åë½ÅÀ̶ó¸é, SSL InspectionÀ̶ó´Â ±â¼úÀ» È°¿ëÇؼ ³»ºÎ Åë½ÅÀ» ¿¾î¼ È®ÀÎÇϰųª, °ü¸®µÇÁö ¾Ê´Â SSL Åë½ÅÀº Á¤Ã¥ÀûÀ¸·Î ¹Ì¿¬¿¡ Â÷´ÜÇÏ´Â ¹æ½ÄÀ» »ç¿ëÇϱ⵵ ÇÕ´Ï´Ù. ÀÌ¿Í °°Àº ¹æ¹ýÀ¸·Î C&C ¼¹ö Åë½Å°ú ½ÇÁ¦ À¯È¿ÇÑ Åë½ÅÀ» ±¸º°Çؼ Â÷´ÜÇÕ´Ï´Ù¸¸, Â÷´Ü º¸´Ù ´õ Áß¿äÇÑ °ÍÀº °¨¿°µÈ ¿£µåÆ÷ÀÎÆ®¸¦ ÃÖ´ëÇÑ »¡¸® ŽÁöÇؼ ÀûÀýÇÑ Á¶Ä¡¸¦ ÇÏ´Â °ÍÀÌ°ÚÁÒ.
[¹ÚÇü±Ù IBM ½ÇÀå]
¡¡
¼ö¸¹Àº Á»ºñ PC¸¦ °Å´À¸®´Â º¿³ÝÀÇ ´ë·® Æ®·¡ÇÈ°ú´Â ´Þ¸® APT C&C Æ®·¡ÇÈÀº ¼Ò·® Æ®·¡ÇÈÀ» ÀÌ¿ëÇÏ°í, Áö¼ÓÀûÀÎ ÁÖ¼Ò º¯°æ°ú ÇÁ¶ô½Ã ¼¹ö È°¿ë µîÀ¸·Î ±âº»ÀûÀ¸·Î ŽÁö°¡ ¸Å¿ì ¾î·Á¿öÁö°í ÀÖ½À´Ï´Ù. ±Û·Î¹ú º¸¾È ±â¾÷ µî¿¡¼ C&C Åë½Å ä³ÎÀ» ŽÁöÇÏ´Â ¹æ¹ýÀ¸·Î´Â Àü ¼¼°èÀûÀ¸·Î C&C »çÀÌÆ®¿¡ ´ëÇÑ DB È®º¸¿Í ±×µé °£ÀÇ »ó°ü°ü°è¸¦ ºÐ¼®ÇØ ³×Æ®¿öÅ© Åë½ÅÀÌ ¹ß»ýÇÏ´Â Áö¸¦ È®ÀÎÇÏ´Â ¹æ¹ý°ú C&C Åë½Å ä³Î Æ®·¡ÇÈÀÇ Æ¯¼ºÁ¤º¸¸¦ ÇнÀÇØ Å½ÁöÇÏ´Â ¹æ¹ý µîÀÌ °³¹ßµÇ¾î Àû¿ëµÇ°í ÀÖ½À´Ï´Ù.
¿¹¸¦ µé¾î, Á»ºñ PC°¡ °ø°Ý ½ÇÇà Á÷ÀüÀÇ Connection Á¤º¸µé Áß Netflow ºÐ¼®À» ÅëÇؼ Session³»ÀÇ TCP Flag ¹× Port °ªÀÇ ºÐÆ÷(Deviation)¸¦ ÆľÇÇØ, C&C¿Í Á»ºñ Åë½Å°ú ÀÏ¹Ý Åë½ÅÀ» ±¸º°ÇØ ³¾ ¼ö ÀÖ½À´Ï´Ù. Áï, ÀÏ¹Ý Åë½ÅÀº SYN-NOP-RST-FIN µîÀÇ ¼øÂ÷ÀûÀÎ Åë½Å ÆÐÅÏÀ» º¸¿©ÁÖÁö¸¸, C&C¿Í Á»ºñÀÇ Åë½ÅÀº ¿¬¼ÓµÈ ªÀº SYN-NOP-FINÀÇ Åë½Å Ư¼ºÀ» º¸¿©ÁÖ¸ç, ƯÁ¤ Unknown Port¸¦ ÁÖ·Î »ç¿ëÇÕ´Ï´Ù.
[±èÀÍ±Õ Çѱ¹ÀüÀÚÅë½Å¿¬±¸¿ø(ikkim21@etri.re.kr)]
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>