À©µµ¿ì¿Í ¸®´ª½º ½Ã½ºÅÛ ³ë¸®°í, ¿©·¯ ´Ü°è °ÅÃÄ Ã¤±¼ ÄÚµå »ðÀÔ
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷(Apache Struts) Ãë¾àÁ¡À» ´Ù´Ü°è·Î °ø·«ÇÏ´Â °í±Þ Ä·ÆäÀÎÀÌ º¸¾È ¾÷ü F5 ³×Æ®¿÷½º(F5 Networks)¿¡ ÀÇÇØ ¹ß°ßµÆ´Ù. F5¿¡ ÀÇÇϸé ÀÌ Ä·ÆäÀÎÀº NSAÀÇ ÀͽºÇ÷ÎÀÕ µµ±¸¶ó°í ¾Ë·ÁÁø ÀÌÅͳκí·ç(EternalBlue)¿Í ÀÌÅͳνóÊÁö(EternalSynergy)¸¦ »ç¿ëÇØ À©µµ¿ì ½Ã½ºÅÛ°ú ¸®´ª½º ½Ã½ºÅÛÀ» °ø°ÝÇÑ´Ù°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
¶ÇÇÑ À©µµ¿ì ½Ã½ºÅÛÀ» ħÇØÇÒ ¶§´Â ÆÄ¿ö¼Ð ¿¡ÀÌÀüÆ®¸¦, ¸®´ª½º¿Í OS X ½Ã½ºÅÛÀ» ħÇØÇÒ ¶© ÆÄÀ̼± ¿¡ÀÌÀüÆ®¸¦ °¢°¢ È°¿ëÇϸç, ½ºÅ©¸³Æ®´Â ¿¥ÆÄÀ̾îÇÁ·ÎÁ§Æ®(EmpireProject)¶ó´Â ÀͽºÇ÷ÎÀÕ ÈÄ ÇÁ·¹ÀÓ¿öÅ©(post-exploitation framework)¸¦ ±â¹ÝÀ¸·Î ÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. F5´Â ÀÌ °ø°Ý¼º Ä·ÆäÀÎÀÇ À̸§À» ´Ù¿î·Îµå µÇ´Â ¾Ç¼º ÆÄÀÏÀÇ À̸§¿¡¼ ÈùÆ®¸¦ ¾ò¾î Áú·µ(Zealot)À̶ó°í ºÎ¸¥´Ù. Áú·µÀº ¡®±¤½ÅÀÚ¡¯, ¡®¿¼ººÐÀÚ¡¯ÀÇ ¶æÀ» °¡Áö°í ÀÖ´Ù.
Áú·µ Ä·ÆäÀο¡ Ưº°È÷ Ãë¾àÇÑ °Ç CVE-2017-5638¿Í CVE-2017-9822¸¦ °¡Áö°í ÀÖ´Â ¼¹öµéÀÌ´Ù. ÀüÀÚ´Â ¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷ ÀÚÄ«¸£Å¸ ¸ÖƼÆÄÆ® Æļ °ø°Ý(Apache Struts Jakarta Multipart Parser attack)¿¡, ÈÄÀÚ´Â ´å³Ý´ºÅ©(DotNetNuke, DNN)¶ó´Â ÄÜÅÙÃ÷ °ü¸® ½Ã½ºÅÛ¿¡¼ ¹ß°ßµÈ ¿À·ù´Ù. ÀÌ ¼¹öµéÀ» ³ë¸®´Â °¡Àå ÁÖ¿äÇÑ ¸ñÀûÀº ¸ð³×·Î(Monero)¶ó´Â ¾ÏÈ£ÈÆó¸¦ Ã¤±¼ÇÏ´Â °ÍÀÌ´Ù. ¾ÏÈ£ÈÆó ±¤Ç³À» »ý°¢ÇßÀ» ¶§ Áú·µÀ̶ó´Â À̸§ÀÌ ÀÇ¹Ì ÀÖ°Ô ´Ù°¡¿Â´Ù.
F5´Â ÀÚ»ç ºí·Î±×¸¦ ÅëÇØ ¡°Áú·µ Ä·ÆäÀÎÀº À©µµ¿ì¿Í ¸®´ª½º ½Ã½ºÅÛ µÑ ´Ù °ø°ÝÀûÀ¸·Î ³ë¸°´Ù¡±¸ç ¡°DNN°ú ½ºÆ®·¯Ã÷ ÀͽºÇ÷ÎÀÕÀ» ÇÔ²² »ç¿ëÇÏ´Â °Í¸¸ ºÁµµ ±×µéÀÌ ¾ó¸¶³ª ¿¼ºÀûÀÌ°í Àû±ØÀûÀÎÁö ¾Ë ¼ö ÀÖ´Ù¡±°í ¼³¸íÇÑ´Ù. ÇÏÁö¸¸ ÀÌ°ÍÀÌ ÀüºÎ´Â ¾Æ´Ï´Ù. ¡°ÆäÀ̷ε尡 Áö³ªÄ¥ Á¤µµ·Î ³µ¶È µÇ¾îÀÖ¾î¼ ¸é¹ÐÈ÷ ºÐ¼®À» Çß´õ´Ï °í³À̵µÀÇ ´Ù´Ü°è °ø°ÝÀÇ ÈçÀû°ú ³×Æ®¿öÅ© ³» ȾÀû ¿òÁ÷ÀÓÀ» °¡´ÉÄÉ ÇØÁÖ´Â ±â´ÉÀ» ¹ß°ßÇÒ ¼ö ÀÖ¾ú½À´Ï´Ù. ¶ÇÇÑ ÀÌÅͳκí·ç¿Í ÀÌÅͳνóÊÁö ÀͽºÇ÷ÎÀÕ°úÀÇ ¿¬°ü¼ºµµ ÀÌ ÆäÀ̷ε带 ÅëÇØ ÆľÇÇÑ °ÍÀÌ°í¿ä.¡±
F5¿¡ ÀÇÇÏ¸é °ø°ÝÀº µÎ °¡Áö HTTP ¿äûÀ¸·ÎºÎÅÍ ½ÃÀÛÇÑ´Ù. ÀÌÁß ÇÑ °¡Áö°¡ ¹Ù·Î ±× À¯¸íÇÑ ¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷ ÀͽºÇ÷ÎÀÕÀ¸·Î, ÄÜÅÙÃ÷ À¯Çü(Content-Type) Çì´õ¸¦ ÅëÇØ °ø°ÝÀÌ µé¾î°£´Ù. ¶ÇÇÑ ÀÚ¹ÙÄڵ带 ½ÇÇàÇØ Ä§ÇØµÈ ½Ã½ºÅÛÀÌ ¾î¶² ¿î¿µÃ¼Á¦¸¦ °¡Áö°í ÀÖ´ÂÁöµµ ÆľÇÇÑ´Ù.
±×·¡¼ ¸®´ª½º¶ó¸é ¹è°æ¿¡ ¼Ð ¸í·É¾î¸¦ ½ÇÇà½ÃÄÑ ¹è½Ã ½ºÅ©¸³Æ®¸¦ ´Ù¿î·Îµå ¹Þ°í ½ÇÇà½ÃŲ´Ù. ÀÌ ¹è½Ã ½ºÅ©¸³Æ®ÀÇ ±â´ÉÀº, ½Ã½ºÅÛÀÌ ÀÌ¹Ì Ä§ÇصǾú´ÂÁö ÆľÇÇÏ°í ¹Ä(mule)À̶ó´Â À̸§ÀÇ ¾ÏÈ£ÈÆó ä±¼ ¾ÛÀ» ´Ù¿î·Îµå ¹Þ´Â °ÍÀÌ´Ù. ¶ÇÇÑ ¹æȺ® ¼Ö·ç¼Ç Á¸Àç ¿©ºÎ¸¦ ÆľÇÇØ C&C ¼¹ö·ÎºÎÅÍ Ãß°¡ Äڵ带 °¡Á®¿À±âµµ ÇÑ´Ù. ÀÌ ¶§ Åë½ÅÀº ¾ÏÈ£È Ã³¸® µÇ¾îÀֱ⠶§¹®¿¡ Á¾·¡ÀÇ ³×Æ®¿öÅ© °¨½Ã ±â±âµé·Î´Â ŽÁö°¡ ¾î·Æ´Ù.
À©µµ¿ì¶ó¸é? ¡°½ºÆ®·¯Ã÷ ÆäÀ̷ε尡 ÆÄ¿ö¼Ð ÀÎÅÍÇÁ¸®Å͸¦ °¨Ãã ¸ðµå ȤÀº ºñ¹Ð ¸ðµå¿¡¼ ½ÇÇà½Ãŵ´Ï´Ù. ÀÌ ÆÄ¿ö¼Ð ÀÎÅÍÇÁ¸®ÅÍ´Â º£À̽º64(base64)·Î ¾ÏÈ£ÈµÈ ½ºÅ©¸³Æ®¸¦ ½ÇÇà½ÃÅ°°í¿ä. ÀÌ ½ºÅ©¸³Æ®´Â ¶Ç ´Ù¸¥ µµ¸ÞÀο¡ ÀÖ´Â ÆÄÀÏ°ú °ü·ÃÀÌ ÀÖ½À´Ï´Ù. ³µ¶È 󸮴 ¿©±â¼ ³¡³ªÁö ¾Ê½À´Ï´Ù. ÆÄÀÏÀÌ scv.ps1À¸·Î ÀúÀåµÇ´Âµ¥, ÀÌ ¾È¿¡´Â ´Ù½Ã ÇÑ ¹ø ä±¼ ¾ÛÀ» ´Ù¿î·Îµå ¹Þ¾Æ ½ÇÇà½ÃÅ°´Â ÆÄ¿ö¼Ð ½ºÅ©¸³Æ®°¡ ´ã°ÜÁ® ÀÖ´Ù. ä±¼ ¾ÛÀº DLL ÆÄÀÏ·Î ´Ù¿î·Îµå µÇ¸ç ÆÄ¿ö¼Ð ÇÁ·Î¼¼½º ³»·Î ÁÖÀԵȴÙ.
½ÉÁö¾î ¾Ç¼º ÄÚµå ³»¿¡´Â ÆÄÀ̼± ÀνºÅç·¯µµ Æ÷ÇԵǾî ÀÖ¾î ÆÄÀ̼± 2.7ÀÌ ¾ø´Â ½Ã½ºÅÛ¿¡¼µµ °ø°ÝÀÌ °¡´ÉÇϵµ·Ï Çسõ¾Ò´Ù. ¾ó¸¶³ª À̸§ ±×´ë·Î ¡®¿¼ºÀûÀÎÁö¡¯ ¾Ë ¼ö ÀÖ´Â ºÎºÐÀÌ´Ù. ¼³Ä¡ ÈÄ °ø°ÝÀÇ ÇÙ½ÉÀÌ µÇ´Â ÆÄÀ̼± ¸ðµâÀ» ´Ù¿î·Îµå ¹Þ°í ³»ºÎ ³×Æ®¿öÅ© ¸ÁÀ» ÅëÇØ ´Ù¸¥ ½Ã½ºÅÛÀ¸·Î ÆÛÁ®°£´Ù.
ÀÌ °úÁ¤¿¡¼ ÆÄÀÏ µÎ °³°¡ Ãß°¡·Î ´Ù¿î·Îµå µÇ´Âµ¥, Çϳª´Â zealot.zipÀÌ°í ´Ù¸¥ Çϳª´Â raven64.exeÀÌ´Ù. ÀüÀÚ´Â ¿©·¯ ÆÄÀ̼± ½ºÅ©¸³Æ®¿Í ¶óÀ̺귯¸®¸¦ Æ÷ÇÔÇÏ°í ÀÖ´Â ¾ÐÃà ÆÄÀÏÀ̸ç ÈÄÀÚ´Â Æ÷Æ® 445¿Í °ü·ÃµÈ ³»ºÎ ³×Æ®¿öÅ©¸¦ ½ºÄµÇÑ´Ù. ÀüÀÚ´Â ÀÌÅͳκí·ç¿Í ÀÌÅͳνóÊÁö ÀͽºÇ÷ÎÀÕÀ» ½ÇÇà½ÃÅ°µµ·Ï ¼³°èµÇ¾î ÀÖÀ¸¸ç, ÈÄÀÚ´Â ¼¼ °³ÀÇ À©µµ¿ì 7 ¹× 8¿ë ¼ÐÄڵ带 ÁÖÀÔÇÏ¿© ÀÌÅͳκí·ç¿Í ÀÌÅͳνóÊÁö¸¦ ÀͽºÇ÷ÎÀÕ ÇÑ´Ù. ½ÇÇà ÈÄ¿¡´Â scv.ps1 ¿¡ÀÌÀüÆ®°¡ ´Ù¿î·Îµå µÈ´Ù. ÀÌ ÆÄÀÏ¿¡´Â ¹ÄÀÌ µé¾îÀÖ´Ù.
F5´Â ¡°¹ÄÀº ¸ð³×·Î ä±¼ µµ±¸¡±¶ó¸ç, ¡°ÃÖ±Ù ¹üÁËÀÚµé »çÀÌ¿¡¼ ¸ð³×·ÎÀÇ ÀαⰡ Ä¡¼Ú°í ÀÖ´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°¸ð³×·Î´Â ÀÍ¸í¼º º¸ÀåÀÌ Àß µÇ¾î ÀÖ¾î ¹üÁËÀÚµéÀÌ ¼±È£ÇÕ´Ï´Ù.¡± ÇÑÆí À̹ø °ø°Ý¿¡ ´ëÇؼ ¹ÄÀº ¡°¾ÆÁ÷ °ø°ÝÀÚ°¡ ¾î´À Á¤µµÀÇ ¼öÀÍÀ» °Åµ×´ÂÁö ÆÄ¾Ç Áß¿¡ ÀÖ´Ù¡±°í ¼³¸íÇß´Ù.
ÇÑÆí Áú·µ °ø°ÝÀÚµéÀº ¿¥ÆÄÀ̾îÇÁ·ÎÁ§Æ®¶ó´Â ÀͽºÇ÷ÎÀÕ ÀÌÈÄ »ç¿ëµÇ´Â ¿¡ÀÌÀüÆ®(ȤÀº ÇÁ·¹ÀÓ¿öÅ©)µµ È°¿ëÇÑ °ÍÀ¸·Î ¹àÇôÁ³´Ù. ¿¥ÆÄÀ̾îÇÁ·ÎÁ§Æ®´Â ÆÄ¿ö¼Ð°ú ÆÄÀ̼± ¸ðµÎ Áö¿øÇÏ´Â °ø°³µÈ ¿¡ÀÌÀüÆ®·Î, ±êÇãºê¿¡¼µµ ¿¶÷ÇÒ ¼ö ÀÖ´Ù(https://github.com/EmpireProject/Empire).
ÇÑÆí À̹ø Ä·ÆäÀΰú ¿¬·çµÈ ¶Ç ´Ù¸¥ HTTP ¿äûµµ F5´Â ¹ß°ßÇÒ ¼ö ÀÖ¾ú´Ù. ÀÌ´Â ´å³Ý´ºÅ©¶ó´Â ASP.NET ±â¹Ý ÄÜÅÙÃ÷ °ü¸® ½Ã½ºÅÛ°ú ¿¬°ü¼ºÀÌ ÀÖ´Â °ÍÀ̾ú´Ù. ¡°Ãë¾àÇÑ DNNPersonalization ÄíÅ°¸¦ ÅëÇØ Á÷¿ÈµÈ °´Ã¼¸¦ Àü¼ÛÇϸé ÇØ´ç ½Ã½ºÅÛ¿¡¼ ÀÓÀÇÀÇ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ°Ô µÇ´Âµ¥, ÀÌ ¶§ °°Àº °°Àº ÆÄ¿ö¼Ð ½ºÅ©¸³Æ®¸¦ ¾Æ¸¶Ä¡ ½ºÆ®·¯Ã÷ ÀͽºÇ÷ÎÀÕÀ» ÅëÇØ ½ÇÇà½Ãŵ´Ï´Ù.¡±
F5´Â ¡°Áú·µ °ø°ÝÀÚµéÀº ÈçÈ÷ ºÁ¿Ô´ø º¿ ´ë¿©Çü °ø°ÝÀÚµé°ú´Â Â÷¿øÀÌ ´Ù¸¥, ³ôÀº ¼öÁØ¿¡ ÀÖ´Â Àü¹®°¡µé¡±À̶ó°í °á·ÐÀ» ³»·È´Ù. F5ÀÇ ºí·Î±×´Â ÀÌ ÁÖ¼Ò(https://f5.com/labs/articles/threat-intelligence/cyber-security/zealot-new-apache-struts-campaign-uses-eternalblue-and-eternalsynergy-to-mine-monero-on-internal-networks)¸¦ ÅëÇØ ¿¶÷ÀÌ °¡´ÉÇÏ´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>