Á¤º¸ ÈÉÄ¡°Å³ª ¹üÁË¿¡ °¡±î¿î ÇàÀ§ ¹ß°ßµÇÁö ¾Ê¾Æ...Çà»ç ¸ÁÄ¡°í ½ÍÀº °ø°ÝÀÚµé
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] Æòâ¿Ã¸²ÇÈÀÌ °¢Á¾ ÇØÄ¿µéÀÇ Ç¥ÀûÀÌ µÉ °ÍÀ̶ó´Â Àü¸ÁÀÌ ¸Â¾Æ ¶³¾îÁö°í ÀÖ´Ù. ¿©·¯ ÄÄÇ»ÅÍ ½Ã½ºÅÛ°ú À¥»çÀÌÆ®, ¼ºñ½º°¡ Æı«Çü ¸Ö¿þ¾îÀÇ °ø°ÝÀ¸·Î ¸¶ºñµÇ±â¿¡ À̸¥ °ÍÀÌ´Ù.
[À̹ÌÁö=iclickart]
ÇØ¿Ü º¸¾È ¸Åüµé°ú ½Ã½ºÄÚ Å»·Î½º ÆÀ¿¡ ÀÇÇϸé 2¿ù 9ÀÏ ¿¸° °³¸·½Ä ´ç½Ã »çÀ̹ö °ø°ÝÀÌ ¹ß»ýÇß´Ù. ´ç½Ã °ø°Ý ´ë»óÀº °³¸·½Ä ÁøÇà¿¡ ÀÖ¾î Áß¿äÄ¡ ¾ÊÀº ½Ã½ºÅÛ°ú ÀÎÅÍ³Ý ¼ºñ½º, TV ½Ã½ºÅÛ µîÀ̾ú´Ù. °ø°Ý¿¡ »ç¿ëµÈ °Ç Æı«Çü ¸Ö¿þ¾î¿´´Ù°í ÇÑ´Ù. Áï, µ¥ÀÌÅ͸¦ ¾îµð·Ð°¡ ¿Å±â°Å³ª ÈÉÄ¡·Á´Â ½Ãµµ´Â º¸ÀÌÁö ¾Ê¾Ò´Ù´Â °ÍÀÌ´Ù. ÀÌ ¸Ö¿þ¾î¿¡´Â ¿Ã¸²ÇÈ µð½ºÆ®·ÎÀ̾î(Olympic Destoryer)¶ó´Â À̸§ÀÌ ºÙ¾ú´Ù.
Å»·Î½º ÆÀÀº ºí·Î±×¸¦ ÅëÇØ ¡°¸Ö¿þ¾î »ùÇÃÀ» ºÐ¼®ÇÑ °á°ú °ø°ÝÀÚµéÀÌ Á¤»óÀûÀÎ ¼ÒÇÁÆ®¿þ¾î¸¦ »ç¿ëÇØ ÃÖ´ëÇÑ Àº¹ÐÈ÷ ħÅõÇÏ°íÀÚ Çß´Ù¡±°í ¹àÇû´Ù. ¿©±â¼ ¸»ÇÏ´Â Á¤»óÀûÀÎ ¼ÒÇÁÆ®¿þ¾î¶õ PsExec¶ó´Â ¿ø°Ý °ü¸® Åø°ú WMI(À©µµ¿ì °ü¸® µµ±¸)´Ù. ¸Ö¿þ¾î´Â ¾î¶² ¹æ¹ýÀ¸·Î ½Ã½ºÅÛ¿¡ ħÅõÇÑ µÚ PsExec°ú WMI¶ó´Â Á¤»ó ÅøÀ» È°¿ëÇØ ³×Æ®¿öÅ© ¾È¿¡¼ À̵¿ÇÒ ¼ö ÀÖ¾ú´Ù°í ÇÑ´Ù. ¡°ÀÌ·¯ÇÑ ½Ãµµ´Â ¹èµå·¡ºø(BadRabbit)°ú ´Ï¿¡Æ®¾ß(Nyetya) ·£¼¶¿þ¾î¿¡¼ ºÃ´ø °ÍÀÔ´Ï´Ù.¡±
±×·¸´Ù°í ¹èµå·¡ºø°ú ´Ï¿¡Æ®¾ß ·£¼¶¿þ¾î °ø°ÝÀÚµéÀÌ À̹ø Æòâ¿Ã¸²ÇÈÀ» ³ë¸®°í °ø°ÝÇß´Ù°í °á·ÐÀ» ³»¸± ¼ö´Â ¾ø´Ù. ½ÇÁ¦·Î ¿Ã¸²ÇÈÀ§¿øȸ¿Í IOC´Â ¾ÆÁ÷ µð½ºÆ®·ÎÀÌ¾î ¸Ö¿þ¾î¿¡ ´ëÇÑ ½Ã½ºÄÚ Å»·Î½º ÆÀÀÇ ºÐ¼®¿¡ ´ëÇØ °ø½Ä ¹ßÇ¥¸¦ ÇÏÁö ¾Ê°í ÀÖ´Ù. °ø°ÝÀÚ°¡ ´©±ºÁö È®½ÇÈ÷ ¹àÇôÁöÁö ¾Ê¾Ò±â ¶§¹®ÀÌ´Ù. °ø°ÝÀÚµéÀÌ ÀڽŵéÀÇ ³í¸®Àû À§Ä¡¸¦ °¨Ãß´Â °ÍÀº ÀüÇô ¾î·ÆÁö ¾ÊÀº ÀÏÀÌ´Ù.
ÇÏÁö¸¸ °ø°Ý µ¿±â´Â ¿Ã¸²ÇÈ Á¶Á÷À§³ª À̹ø¿¡ ¿Ã¸²ÇÈÀ» °³ÃÖÇÏ´Â Çѱ¹ Á¤ºÎ¸¦ ¼¼°èÀûÀÎ ¸Á½Å°Å¸®·Î »ïÀ¸·Á´Â °ÍÀ̶ó°í Å»·Î½º ÆÀÀº º¸°í ÀÖ´Ù. À¥»çÀÌÆ®¸¦ ¸¶ºñ½ÃÄÑ Æ¼ÄÏÀ» ±¸¸ÅÇÒ ¼ö ¾ø°Ô ÇÑ´Ù´ø°¡, ¿ÍÀÌÆÄÀÌ ½Ã½ºÅÛÀ» ÀÛµ¿ ºÒ°¡·Î ¸¸µé¾î °³È¸½Ä¿¡ ´ëÇÑ ÇöÀå ¼Ò½ÄÀÌ Àü´ÞµÇ´Â µ¥¿¡ ¾î·Á¿òÀ» ÁÖ´Â °ÍÀº ´Ù ÀÌ·¯ÇÑ °ø°Ý µ¿±â·Î ¼³¸íÀÌ µÈ´Ù. ¡°¸Ö¿þ¾î »ùÇà ¾È¿¡´Â ÇϵåÄÚµå µÈ Å©¸®µ§¼ÈÀÌ ÀÖ¾ú½À´Ï´Ù. ÀÌ Å©¸®µ§¼ÈÀº ½Ã½ºÅÛ¿¡ ħÅõÇÏ´Â µ¥¿¡ ÇÊ¿äÇÑ °ÍÀ̾ú°í¿ä. ¾Æ¸¶µµ °³È¸½Ä¿¡ ´ëÇÑ µð½ºÆ®·ÎÀÌ¾î °ø°ÝÀÌ ÀÖ±â ÇÑÂü ÀüºÎÅÍ ÄÄÇ»ÅÍ ³×Æ®¿öÅ©°¡ ÀÌ¹Ì Ä§ÇØµÈ °ÍÀ¸·Î º¸ÀÔ´Ï´Ù.¡±
ÀÌ ºÎºÐ¿¡¼ »ý°¢³ª´Â °ÍÀÌ ÀÖ´Ù. ¶Ç ´Ù¸¥ º¸¾È ¾÷ü Å©¶ó¿ìµå½ºÆ®¶óÀÌÅ©(CrowdStrike)°¡ Áö³ 11¿ù°ú 12¿ù ±¹Á¦ ½ºÆ÷Ã÷ °ü·Ã ±â°üµé »çÀÌ¿¡¼ Å©¸®µ§¼ÈÀ» ÈÉÄ¡´Â ´ë±Ô¸ð »çÀ̹ö °ø°ÝÀÌ ¹ú¾îÁö°í ÀÖ´Ù´Â °æ°í¸¦ º¸¾È Ä¿¹Â´ÏƼ¿¡ ¾Ë¸° ¹Ù ÀÖ´Â °Í. ´ç½Ã Å©¶ó¿ìµå½ºÆ®¶óÀÌÅ©´Â ÇØ´ç °ø°ÝÀÌ Æҽà º£¾î(Fancy Bear)ÀÇ ¼ÒÇàÀ̶ó°í ÃßÃøÇß´Ù. ÇÏÁö¸¸ È®½ÅÇÏÁö´Â ¾Ê¾Ò´Ù. Æҽà º£¾î´Â ·¯½Ã¾ÆÀÇ ÇØÅ· ±×·ìÀ̶ó°í ¾Ë·ÁÁ® ÀÖ´Ù. Å©¶ó¿ìµå½ºÆ®¶óÀÌÅ©ÀÇ ºÎȸÀåÀÎ ¾Æ´ã ¸ÞÀ̾(Adam Meyers)´Â ÇØ¿Ü ¸Åü¸¦ ÅëÇØ ¡°À̹ø ¿Ã¸²ÇÈ °³¸·½Ä °ø°ÝÀÌ ·¯½Ã¾ÆÀÇ ¼ÒÇàÀ̶ó´Â Áõ°Å´Â ¾ø´Ù¡±°í ¸»Çϱ⵵ Çß´Ù.
Å»·Î½º¿Í Å©¶ó¿ìµå½ºÆ®¶óÀÌÅ©°¡ ¿Ã¸²ÇÈ µð½ºÆ®·ÎÀ̾îÀÇ »ùÇÃÀ» ºÐ¼®ÇÑ °á°ú, Á¤º¸ Å»Ãë ±â´ÉÀ» °¡Áø ¿ä¼Ò µÎ °³°¡ Á¦ÀÏ ¸ÕÀú ÇÇÇØ ½Ã½ºÅÛ ³»¿¡ ÁÖÀԵȴٴ °ÍÀ» ¾Ë¾Æ³Â´Ù. ±â¹ÐÀ̳ª °³ÀÎÁ¤º¸¸¦ »©µ¹¸®´Â °ÍÀÌ ¾Æ´Ï¶ó ³×Æ®¿öÅ© ³»¿¡¼ ȾÀûÀ¸·Î ¿òÁ÷À̱â À§ÇØ Å©¸®µ§¼ÈÀ» ÈÉÄ¡±â À§ÇÔÀÌ´Ù. ¹ÙÀ̳ʸ® ³»¿¡ ÇϵåÄÚµù µÈ Å©¸®µ§¼Èµµ ÀÌ·¯ÇÑ ¸ñÀûÀ¸·Î È°¿ëµÆ´Ù.
¶ÇÇÑ °ø°ÝÀÚ°¡ ´©±¸ÀÎÁö´Â ¸ð¸£Áö¸¸ À̹ø Æòâ¿Ã¸²ÇÈ ³» ½Ã½ºÅÛ°ú ÀÎÇÁ¶ó¿¡ ´ëÇÑ Áö½ÄÀÌ Ç³ºÎÇÑ »ç¶÷ÀÎ °Í °°´Ù°í ÇÑ´Ù. ¹ÙÀ̳ʸ® ³»¿¡ ÇϵåÄÚµùµÈ °èÁ¤ Á¤º¸¸¸ 44°ÇÀ̾ú´Ù(»ç¿ëÀÚ À̸§, µµ¸ÞÀÎ À̸§, ¼¹ö À̸§, ºñ¹Ð¹øÈ£). ÀÌ´Â ½Ã½ºÅÛ ÀÎÇÁ¶ó¸¦ ¾Ë°í ÀÖ´Ù´Â ¶æÀ̶ó°í Àü¹®°¡µéÀº ºÐ¼®ÇÑ´Ù. Á¤º¸ Å»Ãë±â´Â ÀÎÅÍ³Ý ÀͽºÇ÷η¯, ÆÄÀ̾îÆø½º, Å©·Ò ¸ðµÎ¿Í ȣȯµÈ´Ù. ·¹Áö½ºÆ®¸®¸¦ È®ÀÎÇÏ°í sqlite ÆÄÀÏ¿¡ ´ëÇÑ Äõ¸®¸¦ Àü¼ÛÇØ ÀúÀåµÈ Æ®¸®µ§¼ÈÀ» ¾ò¾î³»´Â °ÍÀ¸·Î ºÐ¼®µÆ´Ù.
ȾÀûÀ¸·Î ¿òÁ÷ÀÌ´Â ¿Ã¸²ÇÈ µð½ºÆ®·ÎÀ̾î´Â ƯÁ¤ ½Ã½ºÅÛ¿¡ µµ´ÞÇÏ¸é °ð¹Ù·Î Æı« ÇàÀ§¸¦ ½ÃÀÛÇß´Ù. À̶§ cmd.exe¸¦ »ç¿ëÇØ ¸ðµç ¼¨µµ º¹»çº»À» ÀüºÎ »èÁ¦ÇÏ°í wbadmin.exe¸¦ Â÷´ÜÇØ ÆÄÀÏ º¹±¸ °úÁ¤À» ¾î·Æ°Ô ¸¸µé¾ú´Ù. wbadmin.exe´Â °ü¸®ÀÚ°¡ ÆÄÀÏ°ú Æúµµ, ȤÀº µå¶óÀ̺긦 °³º°ÀûÀ¸·Î º¹±¸ÇÏ´Â µ¥ È°¿ëµÇ´Â ÅøÀÌ´Ù. ±×·¸°Ô ÇÑ ÈÄ µð½ºÆ®·ÎÀ̾î´Â ´Ù½Ã ÇÑ ¹ø cmd.exe¸¦ »ç¿ëÇØ bcdeditµµ ¼Õ»ó½ÃÄ×´Ù. À©µµ¿ìÀÇ º¹±¸ ÄܼÖÀÌ Á¦´ë·Î ÀÛµ¿ÇÏÁö ¸øÇϵµ·Ï Çϱâ À§ÇÔÀÌ´Ù.
¼¨µµ º¹»çº»°ú °¢Á¾ º¹±¸ ÅøÀ» ´Ù ¸Á°¡Æ®¸° µð½ºÆ®·ÎÀ̾î´Â ´ÙÀ½À¸·Î º¸¾È À©µµ¿ì À̺¥Æ® ·Î±×¸¦ Áö¿ö³ª°£´Ù. ºÐ¼®À» Èûµé°Ô ¸¸µé±â À§Çؼ´Ù. ¡°ÀÌ·± öÀúÇÑ Æı« ÇàÀ§¸¦ º¸°Çµ¥, °ø°ÝÀÚ´Â ¾Æ¿¹ ±â°è¿Í ½Ã½ºÅÛ ÀÚü¸¦ ¿ÏÀüÈ÷ °íÀå ³»°í ½Í¾î ÇÕ´Ï´Ù. ÀÚ±âµéÀÌ ¾ò¾î°¡´Â °Ô ¾ø¾îµµ Æòâ¿Ã¸²ÇÈÀ» ¸ÁÃijõ°Ú´Ù´Â °ÍÀÌÁÒ.¡±
¿Ã¸²ÇÈ µð½ºÆ®·ÎÀ̾î´Â ChangeServiceConfigW API¸¦ »ç¿ëÇØ ½ÃÀÛ À¯ÇüÀ» 4·Î º¯°æ½ÃÅ°´Âµ¥, À̴ ƯÁ¤ ¼ºñ½º°¡ ½ÃÀÛµÇÁö ¸øÇÏ°Ô ¸·´Â´Ù´Â ¶æÀÌ´Ù. Áï º¹±¸¸¦ ºÒ°¡´ÉÇÏ°Ô ÇÏ°í, ºÐ¼®À» ¾î·Æ°Ô ¸¸µç ÈÄ¿¡´Â ¼ºñ½º°¡ ½ÃÀÛµÇÁö ¸øÇÏ°Ô ÇÏ´Â ´Ü°è¸¦ Â÷±ÙÂ÷±Ù ¹â¾Æ³ª°¡´Â °Ô µð½ºÆ®·ÎÀ̾îÀÇ ÀÛ¾÷ ¹æ½ÄÀÌ´Ù. ¡°±×¸®°í ¸¶Áö¸·À¸·Î´Â ħÇØµÈ ½Ã½ºÅÛÀ» ²¨¹ö¸³´Ï´Ù. ±â±â Çϳª°¡ ¿ÏÀüÈ÷ ¸ÔÅëÀÌ µÇ´Â °Ì´Ï´Ù.¡±
¿©Å±îÁö ¿Ã¸²ÇÈÀ» °Ü³ÉÇÑ »çÀ̹ö °ø°Ý¿¡ °üÇÑ °æ°íµéÀº ´ëºÎºÐ Âü°¡ÀÚ³ª ¼±¼ö, °ü¶÷°´µéÀ» °Ü³ÉÇÑ °ø°Ý¿¡ ÃÊÁ¡À» ¸ÂÃá °ÍÀ̾ú´Ù. Áï ÇÇ½Ì °ø°ÝÀ̳ª ¼Ò¼È ¿£Áö´Ï¾î¸µ °ø°Ý¿¡¼ ½ÃÀ۵Ǵ ¹üÁË ÇàÀ§°¡ °¡Àå ¸¹ÀÌ ¿¹»óµÇ´Â »çÀ̹ö °ø°Ý À¯ÇüÀ̾ú´Ù. Æı«Çü ¸Ö¿þ¾î´Â »çÀ̹öÀüÀ̳ª Á¤Ä¡ÀûÀÎ °ø°Ý ¼ö´ÜÀ¸·Î ¸¹ÀÌ È°¿ëµÇÁö, »çÀ̹ö ¹üÁË¿¡ ÀÌ¿ëµÇ´Â »ç·Ê´Â ±×¸® ¸¹Áö ¾Ê´Ù. »ó´ë ½Ã½ºÅÛÀ» Æı«ÇÏ¸é ¹üÁËÀÚµéÀÌ ¾ò¾î°¥ °Íµµ °ÅÀÇ ¾ø±â ¶§¹®ÀÌ´Ù. µð½ºÆ®·ÎÀ̾ ¹ß°ßµÇ¾ú´Ù´Â °Ç ¿Ã¸²ÇÈÀÌ »çÀ̹öÀü ºÎ´ëµéÀ» ÀÏÇÏ°Ô ÇÒ ¸¸Å Á¤Ä¡ÀûÀÎ Çà»çÀ̰ųª, Çѱ¹ Á¤ºÎ°¡ Ÿ±¹ Á¤ºÎÀÇ °ø°Ý¿¡ ³ëÃâµÇ¾î ÀÖ´Ù´Â ¶æÀÌ µÈ´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>