¸ÅÅ©·Î ±â´É ±ÝÁöÇÏ°í DNS °Ë»ç öÀúÈ÷ ÇÏ¸é ¸·À» ¼ö ÀÖ¾î
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ½Ã½ºÄÚ Å»·Î½º(Cisco Talos) ÆÀÀÇ º¸¾È Àü¹®°¡µéÀÌ »çÀ̹ö °ø°ÝÀÚµéÀÇ »õ·Î¿î °ø°Ý ¹æ¹ýÀ» ¹ß°ßÇß´Ù. À̸¦ óÀ½ ¹ß°ßÇÑ Àü¹®°¡µé¿¡ µû¸£¸é, ¿ø°Ý Á¢±Ù Æ®·ÎÀ̸ñ¸¶(RAT)·Î °¨¿°½ÃŲ ½Ã½ºÅÛ°ú Åë½ÅÇÏ¿© ¾Ç¼º ¸í·ÉÀ» Àü´ÞÇÏ´Â ¹æ¹ýÀÇ ÀÏÁ¾À̱ä ÇÏÁö¸¸, ¸Å¿ì ŽÁö°¡ ¾î·Á¿ì¸ç µ¶Æ¯ÇÑ ¹æ½ÄÀ̶ó°í ÇÑ´Ù.
ÀÌ ¹æ½Ä¿¡¼ È°¿ëµÇ´Â °Ç µµ¸ÞÀÎ À̸§ ½Ã½ºÅÛ(DNS)ÀÌ´Ù. °ø°ÝÀÚµéÀº DNS¸¦ È°¿ëÇÏ¿© °¨¿°µÈ È£½ºÆ®¿Í ¾Ç¼º ¼¹ö »çÀÌÀÇ ¾ç¹æÇâ C&C Åë½ÅÀ» °³¼³ÇϵÇ, ¹ß°¢ÀÌ °ÅÀÇ ºÒ°¡´ÉÇϵµ·Ï ¸¸µå´Â °ÍÀÌ´Ù. ÀÌ´Â ¹Ù±ùÀ¸·Î ÇâÇÏ´Â DNS¸¦ öÀúÈ÷ ÅëÁ¦ÇÏ´Â Á¶Á÷ÀÇ °æ¿ìµµ ¸¶Âù°¡Áö´Ù.
Å»·Î½ºÀÇ º¸¾È Àü¹®°¡µéÀº »õ·Î¿î ¸Ö¿þ¾î »ùÇÃÀ» ºÐ¼®ÇÏ´Â ¿ÍÁß¿¡ ¿ì¿¬Âú°Ô ÀÌ °ø°Ý ¹æ½ÄÀ» ¹ß°ßÇß´Ù°í ÇÑ´Ù. ÇØ´ç ¸Ö¿þ´Â ¸Ö¿þ¾î ºÐ¼®À» À§ÇØ ¸¶·ÃµÈ °ø°ø »÷µå¹Ú½º¿¡ ¾÷·Îµå µÈ °ÍÀ¸·Î, ¾Ç¼º ¿öµå ¹®¼°¡ Æ÷ÇÔµÈ ÇÇ½Ì À̸ÞÀÏÀ» ÅëÇØ »ìÆ÷µÇ°í ÀÖ´ø °ÍÀ̾ú´Ù.
ÀÌ ¾Ç¼º ¿öµå ¹®¼´Â °Ñº¸±â¿¡ ¸Æ¾ÆÇÇ°¡ º¸¾ÈÀ» °ÈÇÑ À̸ÞÀÏ ¼ºñ½º¿Í °ü·ÃµÈ °Íó·³ º¸À̵µ·Ï ¼³°è°¡ µÇ¾î ÀÖ´Ù. Áï, ¸Æ¾ÆÇÇÀÇ º¸¾È ±â´ÉÀ» ÃÖ´ëÇÑ È°¿ëÇÏ·Á¸é ¸ÅÅ©·Î ±â´ÉÀ» ¸ÕÀú È°¼ºÈ½ÃÄÑ¾ß ÇÑ´Ù°í »ç¿ëÀÚµéÀ» ¼³µæÇÏ°í ÀÖ´Â °ÍÀÌ´Ù. ¾È³»´ë·Î ¸ÅÅ©·Î¸¦ È°¼ºÈ½Ãų °æ¿ì ÆÄ¿ö½©À» È°¿ëÇÑ ´Ù´Ü°è °¨¿°ÀÌ º»°ÝÀûÀ¸·Î ¹ßµ¿µÈ´Ù.
¶ÇÇÑ ÇöÀç À¯ÇàÇÏ´Â ¸Ö¿þ¾îµéó·³ ¸Þ¸ð¸® ³»¿¡¼ ½ÇÇàµÇ¸ç, Çϵåµå¶óÀ̺꿡 ÆÄÀÏÀ» µû·Î ¸¸µéÁö ¾Ê´Â´Ù. ÇÏÁö¸¸ º¸ÅëÀÇ ¸Ö¿þ¾îµé°ú ´Þ¸® DNS TXT ±â·Ï Äõ¸® ¹× ÀÀ´äÀ» È°¿ëÇØ Åë½Å ä³ÎÀ» ¸¸µé°í, ¸Ö¿þ¾î¸¦ ¿ø°Ý¿¡¼ ÅëÁ¦ÇÑ´Ù.
¡°DNS TXT ±â·ÏµéÀ̶õ, DNS°¡ ÅؽºÆ®·Î µÈ Á¤º¸¸¦ Àü¼ÛÇÒ ¶§ º¸Åë »ç¿ëÇÏ´Â ±â·ÏµéÀ» ¸»ÇÕ´Ï´Ù.¡± Å»·Î½ºÀÇ Àü¹®°¡ ¿¡µå¹®µå ºê·ç¸¶±ä(Edmund Brumaghin)ÀÇ ¼³¸íÀÌ´Ù. ¡°DNS TXT´Â DKIM(À̸ÞÀÏ ÀÎÁõ ±â¼ú), SPF(¸ÞÀÏ ¼¹ö µî·ÏÁ¦), DMARC(À̸ÞÀÏ ÀÎÁõ ¹æ½ÄÀÇ ÀÏÁ¾)¿Í °°Àº À̸ÞÀÏ ÀÎÁõ ±â´É µî¿¡ Àû±Ø È°¿ëµÇ°í ÀÖ½À´Ï´Ù.¡±
ÀÌ·± DNS TXT¸¦ C&C Åë½Å¿¡ È°¿ëÇϸé ÀϹÝÀûÀ¸·Î ±â¾÷ÀÇ ³×Æ®¿öÅ©¸¦ º¸È£Çϱâ À§ÇØ ¼³Ä¡ÇÑ º¸¾È ÀåÄ¡µéÀ» ´ëºÎºÐ ¿ìȸÇÒ ¼ö ÀÖ°Ô µÈ´Ù°í ¿¡µå¹®µå´Â ¼³¸íÇÑ´Ù. ¶ÇÇÑ ÀÌ ¸Ö¿þ¾î¿¡ °¨¿°µÇ¸é ¹Ù±ùÀ¸·Î ³ª°¡´Â DNS¸¦ ¸·¾Æ³õÀº »óÅ¿¡¼µµ C&C¿ÍÀÇ Åë½ÅÀÌ °¡´ÉÇÏ°Ô µÈ´Ù. ¿ÜºÎ·Î ³ª°¡´Â DNS¸¦ ¸·¾Æ³õ´Â´Ù Çصµ ´ëºÎºÐ ¡®Çã°¡°¡ µÈ¡¯ DNS ¼¹öµéÀº Çã¿ëÇÏ°í Àֱ⠶§¹®ÀÌ´Ù.
¡°´ëºÎºÐ Á¶Á÷µéÀº À¥ À¥ Æ®·¡ÇÈ, À̸ÞÀÏ µîÀÇ ÄÜÅÙÃ÷¸¦ °Ë»çÇÕ´Ï´Ù. ÇÏÁö¸¸ ±×·± ÄÜÅÙÃ÷ÀÇ DNS ¿äûÀº Àß °Ë»çÇÏÁö ¾ÊÁÒ. ÀÌ ºÎºÐÀ» ³ë¸° °ø°Ý ¹æ¹ýÀÔ´Ï´Ù.¡± ¿¡µå¹®µåÀÇ ¼³¸íÀÌ´Ù. ÇÏÁö¸¸ ¿öµå ¹®¼ÀÇ ¾Ç¼º ¸ÅÅ©·Î ±â´ÉÀ» È°¿ëÇØ °¨¿° ÇÁ·Î¼¼½º°¡ ½ÃÀ۵Ǵ °ÍÀ̱⠶§¹®¿¡ Á¶Á÷ Â÷¿ø¿¡¼ ¸ÅÅ©·Î »ç¿ëÀ» ±ÝÁö½ÃÅ°¸é ÀÌ °ø°ÝÀ» »ó´çÈ÷ ¹«·ÂȽÃų ¼ö ÀÖ´Ù°í ±×´Â µ¡ºÙ¿´´Ù.
¡°¶Ç, C&C Æ®·¡ÇÈ°ú °ü·ÃÀÌ ÀÖ´Â DNS ¿äû°ú DNS ÀÀ´äÀº º¸ÅëÀÇ DNS Åë½Å°ú ´Ù¸¨´Ï´Ù. ±×·¯¹Ç·Î DNS °Ë»ç¸¦ Á» ´õ ¾ö°ÝÇÏ°Ô Çϸé ÀÌ·± °ø°ÝÀ» ½±°Ô ŽÁöÇÒ ¼öµµ ÀÖ°Ô µË´Ï´Ù.¡±
¿¡µå¹®µå´Â ¡°°ø°ÝÀÚµéÀÌ ºóÆ´À» Á¤¸» ±â°¡ ¸·È÷°Ô ã¾Æ³½´Ù´Â »ç½Ç¿¡ ¼Ò¸§ÀÌ ³¢ÃÆ´Ù¡±¸ç ¡°º¸¾ÈÀÇ ¸ðµç Ãø¸éÀÌ ¿Ïº®ÇÏÁö ¾ÊÀº ÀÌ»ó ÀÌ·± ºóÆ´ Â±â À¯ÇüÀÇ °ø°ÝÀº ¶Ç ´Ù½Ã µîÀåÇØ ¿ì¸®¸¦ ³î¶ó°Ô ÇÒ °Í¡±À̶ó°í ¸»Çß´Ù.
À̹ø¿¡ ¹ß°ßµÈ °ÍÀº ÇÑ ¸¶µð·Î ¡°TXT ±â·ÏÀ» ÅëÇØ DNS¸¦ ³ó¶ôÇÏ´Â ¹ýÀ» »çÀ̹ö ¹üÁËÀÚµéÀÌ ¿Ïº®È÷ ¾Ç¿ëÇÏ°í ÀÖ´Â ¿µ¸®ÇÑ °ø°Ý¹ý¡±ÀÌ´Ù. ÀÌ´Â Áï ¡°À¥, À̸ÞÀÏ µîÀÇ Æ®·¡ÇÈ¿¡ ´ëÇؼ´Â öÀúÇÑ º¸¾È °Ë»ç¸¦ ½ÇÇàÇÏÁö¸¸ DNS´Â °Ç¼º°Ç¼º ¸ð´ÏÅ͸µÇÏ´Â º¸Åë ±â¾÷ ³» ºÐÀ§±â¸¦ ÆľÇÇß´Ù´Â ¶æ¡±ÀÌ µÈ´Ù.
½Ã½ºÄÚ Å»·Î½º´Â À̹ø °ø°ÝÀÇ ±â¼ú ¼¼ºÎ »çÇ×°ú À§Çù, ¡ÈĵéÀ» Á¤¸®ÇØ ¹ßÇ¥Çϱ⵵ ÇßÀ¸¸ç, ÀÌ´Â ¿©±â¿¡¼ ¿¶÷ÀÌ °¡´ÉÇÏ´Ù(¿µ¹®).
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>
- ¾Æ½Ã¾Æ ÃÖ´ë ±Ô¸ðÀÇ Á¾ÇÕ º¸¾È Àü½Ãȸ SECON 2017 - 3¿ù 15ÀÏ(¼ö)~17ÀÏ(±Ý) °³ÃÖ
- IFSEC°ú BlackHat ÁÖ°ü»çÀÎ UBMÀÌ Á÷Á¢ ÅõÀÚÇÑ Çѱ¹ À¯ÀÏ Àü½Ãȸ
- ÇØ¿Ü º¸¾È ºÐ¾ß ¹ÙÀ̾îµé°ú 1:1 Àü¹® »ó´ã
- °¡»óÇö½Ç, ½ÉÆó¼Ò»ý¼ú, µå·Ð ÇØÅ·, 1ÀÎ °¡±¸ ¾ÈÀü üÇè µî ´Ù¾çÇÑ ÄÚ³Ê ¸¶·Ã