º¸¾È´º½º â°£ 17ÁÖ³âÀ» ÃàÇÏÇÕ´Ï´Ù!!

Home > Àüü±â»ç

¿­¼ºÀûÀÎ °ø°ÝÀÚµé, Áú·µ ·¯½¬·Î ¸ð³×·Î ä±¼

ÀÔ·Â : 2017-12-19 14:15
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷ Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕÇØ...NSA ÇØÅ· Åøµéµµ È°¿ë
À©µµ¿ì¿Í ¸®´ª½º ½Ã½ºÅÛ ³ë¸®°í, ¿©·¯ ´Ü°è °ÅÃÄ Ã¤±¼ ÄÚµå »ðÀÔ


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷(Apache Struts) Ãë¾àÁ¡À» ´Ù´Ü°è·Î °ø·«ÇÏ´Â °í±Þ Ä·ÆäÀÎÀÌ º¸¾È ¾÷ü F5 ³×Æ®¿÷½º(F5 Networks)¿¡ ÀÇÇØ ¹ß°ßµÆ´Ù. F5¿¡ ÀÇÇϸé ÀÌ Ä·ÆäÀÎÀº NSAÀÇ ÀͽºÇ÷ÎÀÕ µµ±¸¶ó°í ¾Ë·ÁÁø ÀÌÅͳκí·ç(EternalBlue)¿Í ÀÌÅͳνóÊÁö(EternalSynergy)¸¦ »ç¿ëÇØ À©µµ¿ì ½Ã½ºÅÛ°ú ¸®´ª½º ½Ã½ºÅÛÀ» °ø°ÝÇÑ´Ù°í ÇÑ´Ù.

[À̹ÌÁö = iclickart]


¶ÇÇÑ À©µµ¿ì ½Ã½ºÅÛÀ» ħÇØÇÒ ¶§´Â ÆÄ¿ö¼Ð ¿¡ÀÌÀüÆ®¸¦, ¸®´ª½º¿Í OS X ½Ã½ºÅÛÀ» ħÇØÇÒ ¶© ÆÄÀ̼± ¿¡ÀÌÀüÆ®¸¦ °¢°¢ È°¿ëÇϸç, ½ºÅ©¸³Æ®´Â ¿¥ÆÄÀ̾îÇÁ·ÎÁ§Æ®(EmpireProject)¶ó´Â ÀͽºÇ÷ÎÀÕ ÈÄ ÇÁ·¹ÀÓ¿öÅ©(post-exploitation framework)¸¦ ±â¹ÝÀ¸·Î ÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. F5´Â ÀÌ °ø°Ý¼º Ä·ÆäÀÎÀÇ À̸§À» ´Ù¿î·Îµå µÇ´Â ¾Ç¼º ÆÄÀÏÀÇ À̸§¿¡¼­ ÈùÆ®¸¦ ¾ò¾î Áú·µ(Zealot)À̶ó°í ºÎ¸¥´Ù. Áú·µÀº ¡®±¤½ÅÀÚ¡¯, ¡®¿­¼ººÐÀÚ¡¯ÀÇ ¶æÀ» °¡Áö°í ÀÖ´Ù.

Áú·µ Ä·ÆäÀο¡ Ưº°È÷ Ãë¾àÇÑ °Ç CVE-2017-5638¿Í CVE-2017-9822¸¦ °¡Áö°í ÀÖ´Â ¼­¹öµéÀÌ´Ù. ÀüÀÚ´Â ¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷ ÀÚÄ«¸£Å¸ ¸ÖƼÆÄÆ® Æļ­ °ø°Ý(Apache Struts Jakarta Multipart Parser attack)¿¡, ÈÄÀÚ´Â ´å³Ý´ºÅ©(DotNetNuke, DNN)¶ó´Â ÄÜÅÙÃ÷ °ü¸® ½Ã½ºÅÛ¿¡¼­ ¹ß°ßµÈ ¿À·ù´Ù. ÀÌ ¼­¹öµéÀ» ³ë¸®´Â °¡Àå ÁÖ¿äÇÑ ¸ñÀûÀº ¸ð³×·Î(Monero)¶ó´Â ¾ÏȣȭÆó¸¦ Ã¤±¼ÇÏ´Â °ÍÀÌ´Ù. ¾ÏȣȭÆó ±¤Ç³À» »ý°¢ÇßÀ» ¶§ Áú·µÀ̶ó´Â À̸§ÀÌ ÀÇ¹Ì ÀÖ°Ô ´Ù°¡¿Â´Ù.

F5´Â ÀÚ»ç ºí·Î±×¸¦ ÅëÇØ ¡°Áú·µ Ä·ÆäÀÎÀº À©µµ¿ì¿Í ¸®´ª½º ½Ã½ºÅÛ µÑ ´Ù °ø°ÝÀûÀ¸·Î ³ë¸°´Ù¡±¸ç ¡°DNN°ú ½ºÆ®·¯Ã÷ ÀͽºÇ÷ÎÀÕÀ» ÇÔ²² »ç¿ëÇÏ´Â °Í¸¸ ºÁµµ ±×µéÀÌ ¾ó¸¶³ª ¿­¼ºÀûÀÌ°í Àû±ØÀûÀÎÁö ¾Ë ¼ö ÀÖ´Ù¡±°í ¼³¸íÇÑ´Ù. ÇÏÁö¸¸ ÀÌ°ÍÀÌ ÀüºÎ´Â ¾Æ´Ï´Ù. ¡°ÆäÀ̷ε尡 Áö³ªÄ¥ Á¤µµ·Î ³­µ¶È­ µÇ¾îÀ־ ¸é¹ÐÈ÷ ºÐ¼®À» Çß´õ´Ï °í³­À̵µÀÇ ´Ù´Ü°è °ø°ÝÀÇ ÈçÀû°ú ³×Æ®¿öÅ© ³» ȾÀû ¿òÁ÷ÀÓÀ» °¡´ÉÄÉ ÇØÁÖ´Â ±â´ÉÀ» ¹ß°ßÇÒ ¼ö ÀÖ¾ú½À´Ï´Ù. ¶ÇÇÑ ÀÌÅͳκí·ç¿Í ÀÌÅͳνóÊÁö ÀͽºÇ÷ÎÀÕ°úÀÇ ¿¬°ü¼ºµµ ÀÌ ÆäÀ̷ε带 ÅëÇØ ÆľÇÇÑ °ÍÀÌ°í¿ä.¡±

F5¿¡ ÀÇÇÏ¸é °ø°ÝÀº µÎ °¡Áö HTTP ¿äûÀ¸·ÎºÎÅÍ ½ÃÀÛÇÑ´Ù. ÀÌÁß ÇÑ °¡Áö°¡ ¹Ù·Î ±× À¯¸íÇÑ ¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷ ÀͽºÇ÷ÎÀÕÀ¸·Î, ÄÜÅÙÃ÷ À¯Çü(Content-Type) Çì´õ¸¦ ÅëÇØ °ø°ÝÀÌ µé¾î°£´Ù. ¶ÇÇÑ ÀÚ¹ÙÄڵ带 ½ÇÇàÇØ Ä§ÇØµÈ ½Ã½ºÅÛÀÌ ¾î¶² ¿î¿µÃ¼Á¦¸¦ °¡Áö°í ÀÖ´ÂÁöµµ ÆľÇÇÑ´Ù.

±×·¡¼­ ¸®´ª½º¶ó¸é ¹è°æ¿¡ ¼Ð ¸í·É¾î¸¦ ½ÇÇà½ÃÄÑ ¹è½Ã ½ºÅ©¸³Æ®¸¦ ´Ù¿î·Îµå ¹Þ°í ½ÇÇà½ÃŲ´Ù. ÀÌ ¹è½Ã ½ºÅ©¸³Æ®ÀÇ ±â´ÉÀº, ½Ã½ºÅÛÀÌ ÀÌ¹Ì Ä§ÇصǾú´ÂÁö ÆľÇÇÏ°í ¹Ä(mule)À̶ó´Â À̸§ÀÇ ¾ÏȣȭÆó ä±¼ ¾ÛÀ» ´Ù¿î·Îµå ¹Þ´Â °ÍÀÌ´Ù. ¶ÇÇÑ ¹æÈ­º® ¼Ö·ç¼Ç Á¸Àç ¿©ºÎ¸¦ ÆľÇÇØ C&C ¼­¹ö·ÎºÎÅÍ Ãß°¡ Äڵ带 °¡Á®¿À±âµµ ÇÑ´Ù. ÀÌ ¶§ Åë½ÅÀº ¾Ïȣȭ ó¸® µÇ¾îÀֱ⠶§¹®¿¡ Á¾·¡ÀÇ ³×Æ®¿öÅ© °¨½Ã ±â±âµé·Î´Â ŽÁö°¡ ¾î·Æ´Ù.

À©µµ¿ì¶ó¸é? ¡°½ºÆ®·¯Ã÷ ÆäÀ̷ε尡 ÆÄ¿ö¼Ð ÀÎÅÍÇÁ¸®Å͸¦ °¨Ãã ¸ðµå ȤÀº ºñ¹Ð ¸ðµå¿¡¼­ ½ÇÇà½Ãŵ´Ï´Ù. ÀÌ ÆÄ¿ö¼Ð ÀÎÅÍÇÁ¸®ÅÍ´Â º£À̽º64(base64)·Î ¾ÏȣȭµÈ ½ºÅ©¸³Æ®¸¦ ½ÇÇà½ÃÅ°°í¿ä. ÀÌ ½ºÅ©¸³Æ®´Â ¶Ç ´Ù¸¥ µµ¸ÞÀο¡ ÀÖ´Â ÆÄÀÏ°ú °ü·ÃÀÌ ÀÖ½À´Ï´Ù. ³­µ¶È­ 󸮴 ¿©±â¼­ ³¡³ªÁö ¾Ê½À´Ï´Ù. ÆÄÀÏÀÌ scv.ps1À¸·Î ÀúÀåµÇ´Âµ¥, ÀÌ ¾È¿¡´Â ´Ù½Ã ÇÑ ¹ø ä±¼ ¾ÛÀ» ´Ù¿î·Îµå ¹Þ¾Æ ½ÇÇà½ÃÅ°´Â ÆÄ¿ö¼Ð ½ºÅ©¸³Æ®°¡ ´ã°ÜÁ® ÀÖ´Ù. ä±¼ ¾ÛÀº DLL ÆÄÀÏ·Î ´Ù¿î·Îµå µÇ¸ç ÆÄ¿ö¼Ð ÇÁ·Î¼¼½º ³»·Î ÁÖÀԵȴÙ.

½ÉÁö¾î ¾Ç¼º ÄÚµå ³»¿¡´Â ÆÄÀ̼± ÀνºÅç·¯µµ Æ÷ÇԵǾî ÀÖ¾î ÆÄÀ̼± 2.7ÀÌ ¾ø´Â ½Ã½ºÅÛ¿¡¼­µµ °ø°ÝÀÌ °¡´ÉÇϵµ·Ï Çسõ¾Ò´Ù. ¾ó¸¶³ª À̸§ ±×´ë·Î ¡®¿­¼ºÀûÀÎÁö¡¯ ¾Ë ¼ö ÀÖ´Â ºÎºÐÀÌ´Ù. ¼³Ä¡ ÈÄ °ø°ÝÀÇ ÇÙ½ÉÀÌ µÇ´Â ÆÄÀ̼± ¸ðµâÀ» ´Ù¿î·Îµå ¹Þ°í ³»ºÎ ³×Æ®¿öÅ© ¸ÁÀ» ÅëÇØ ´Ù¸¥ ½Ã½ºÅÛÀ¸·Î ÆÛÁ®°£´Ù.

ÀÌ °úÁ¤¿¡¼­ ÆÄÀÏ µÎ °³°¡ Ãß°¡·Î ´Ù¿î·Îµå µÇ´Âµ¥, Çϳª´Â zealot.zipÀÌ°í ´Ù¸¥ Çϳª´Â raven64.exeÀÌ´Ù. ÀüÀÚ´Â ¿©·¯ ÆÄÀ̼± ½ºÅ©¸³Æ®¿Í ¶óÀ̺귯¸®¸¦ Æ÷ÇÔÇÏ°í ÀÖ´Â ¾ÐÃà ÆÄÀÏÀ̸ç ÈÄÀÚ´Â Æ÷Æ® 445¿Í °ü·ÃµÈ ³»ºÎ ³×Æ®¿öÅ©¸¦ ½ºÄµÇÑ´Ù. ÀüÀÚ´Â ÀÌÅͳκí·ç¿Í ÀÌÅͳνóÊÁö ÀͽºÇ÷ÎÀÕÀ» ½ÇÇà½ÃÅ°µµ·Ï ¼³°èµÇ¾î ÀÖÀ¸¸ç, ÈÄÀÚ´Â ¼¼ °³ÀÇ À©µµ¿ì 7 ¹× 8¿ë ¼ÐÄڵ带 ÁÖÀÔÇÏ¿© ÀÌÅͳκí·ç¿Í ÀÌÅͳνóÊÁö¸¦ ÀͽºÇ÷ÎÀÕ ÇÑ´Ù. ½ÇÇà ÈÄ¿¡´Â scv.ps1 ¿¡ÀÌÀüÆ®°¡ ´Ù¿î·Îµå µÈ´Ù. ÀÌ ÆÄÀÏ¿¡´Â ¹ÄÀÌ µé¾îÀÖ´Ù.

F5´Â ¡°¹ÄÀº ¸ð³×·Î ä±¼ µµ±¸¡±¶ó¸ç, ¡°ÃÖ±Ù ¹üÁËÀÚµé »çÀÌ¿¡¼­ ¸ð³×·ÎÀÇ ÀαⰡ Ä¡¼Ú°í ÀÖ´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°¸ð³×·Î´Â ÀÍ¸í¼º º¸ÀåÀÌ Àß µÇ¾î ÀÖ¾î ¹üÁËÀÚµéÀÌ ¼±È£ÇÕ´Ï´Ù.¡± ÇÑÆí À̹ø °ø°Ý¿¡ ´ëÇؼ­ ¹ÄÀº ¡°¾ÆÁ÷ °ø°ÝÀÚ°¡ ¾î´À Á¤µµÀÇ ¼öÀÍÀ» °Åµ×´ÂÁö ÆÄ¾Ç Áß¿¡ ÀÖ´Ù¡±°í ¼³¸íÇß´Ù.

ÇÑÆí Áú·µ °ø°ÝÀÚµéÀº ¿¥ÆÄÀ̾îÇÁ·ÎÁ§Æ®¶ó´Â ÀͽºÇ÷ÎÀÕ ÀÌÈÄ »ç¿ëµÇ´Â ¿¡ÀÌÀüÆ®(ȤÀº ÇÁ·¹ÀÓ¿öÅ©)µµ È°¿ëÇÑ °ÍÀ¸·Î ¹àÇôÁ³´Ù. ¿¥ÆÄÀ̾îÇÁ·ÎÁ§Æ®´Â ÆÄ¿ö¼Ð°ú ÆÄÀ̼± ¸ðµÎ Áö¿øÇÏ´Â °ø°³µÈ ¿¡ÀÌÀüÆ®·Î, ±êÇãºê¿¡¼­µµ ¿­¶÷ÇÒ ¼ö ÀÖ´Ù(https://github.com/EmpireProject/Empire).

ÇÑÆí À̹ø Ä·ÆäÀΰú ¿¬·çµÈ ¶Ç ´Ù¸¥ HTTP ¿äûµµ F5´Â ¹ß°ßÇÒ ¼ö ÀÖ¾ú´Ù. ÀÌ´Â ´å³Ý´ºÅ©¶ó´Â ASP.NET ±â¹Ý ÄÜÅÙÃ÷ °ü¸® ½Ã½ºÅÛ°ú ¿¬°ü¼ºÀÌ ÀÖ´Â °ÍÀ̾ú´Ù. ¡°Ãë¾àÇÑ DNNPersonalization ÄíÅ°¸¦ ÅëÇØ Á÷¿­È­µÈ °´Ã¼¸¦ Àü¼ÛÇϸé ÇØ´ç ½Ã½ºÅÛ¿¡¼­ ÀÓÀÇÀÇ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ°Ô µÇ´Âµ¥, ÀÌ ¶§ °°Àº °°Àº ÆÄ¿ö¼Ð ½ºÅ©¸³Æ®¸¦ ¾Æ¸¶Ä¡ ½ºÆ®·¯Ã÷ ÀͽºÇ÷ÎÀÕÀ» ÅëÇØ ½ÇÇà½Ãŵ´Ï´Ù.¡±

F5´Â ¡°Áú·µ °ø°ÝÀÚµéÀº ÈçÈ÷ ºÁ¿Ô´ø º¿ ´ë¿©Çü °ø°ÝÀÚµé°ú´Â Â÷¿øÀÌ ´Ù¸¥, ³ôÀº ¼öÁØ¿¡ ÀÖ´Â Àü¹®°¡µé¡±À̶ó°í °á·ÐÀ» ³»·È´Ù. F5ÀÇ ºí·Î±×´Â ÀÌ ÁÖ¼Ò(https://f5.com/labs/articles/threat-intelligence/cyber-security/zealot-new-apache-struts-campaign-uses-eternalblue-and-eternalsynergy-to-mine-monero-on-internal-networks)¸¦ ÅëÇØ ¿­¶÷ÀÌ °¡´ÉÇÏ´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 1
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ À§Áîµð¿£¿¡½º 2018 ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö
¼³¹®Á¶»ç
<º¸¾È´º½º>ÀÇ º¸¾ÈÀü¹® ±âÀÚµéÀÌ ¼±Á¤ÇÑ 2024³â ÁÖ¿ä º¸¾È Å°¿öµå °¡¿îµ¥ °¡Àå Æı޷ÂÀÌ Å¬ °ÍÀ¸·Î º¸´Â À̽´´Â?
Á¡Á¡ ´õ Áö´ÉÈ­µÇ´Â AI º¸¾È À§Çù
¼±°ÅÀÇ ÇØ ¸ÂÀº ÇÙƼºñÁò °ø°Ý
´õ¿í °­·ÂÇØÁø ·£¼¶¿þ¾î »ýÅ°è
Á¡Á¡ ´õ ´Ù¾çÇØÁö´Â ½ÅÁ¾ ÇÇ½Ì °ø°Ý
»çȸ±â¹Ý½Ã¼³ °ø°Ý°ú OT º¸¾È À§Çù
´õ¿í ½ÉÇØÁö´Â º¸¾ÈÀη ºÎÁ· ¹®Á¦
Á¦·ÎÆ®·¯½ºÆ®¿Í °ø±Þ¸Á º¸¾È
°¡¼ÓÈ­µÇ´Â Ŭ¶ó¿ìµå·ÎÀÇ Àüȯ°ú ÀÌ¿¡ µû¸¥ º¸¾ÈÀ§Çù
¸ð¹ÙÀÏ È°¿ëÇÑ º¸ÀÎÀÎÁõ È°¼ºÈ­¿Í ÀÎÁõº¸¾È À̽´
AI CCTVÀÇ ¿ªÇÒ È®´ë