ÃÖÁ¾ ÆäÀ̷εå´Â »ó¾÷¿ë Åø...°¨½Ã À§ÇÑ ¸ðµâ °®Ãß°í ÀÖ¾î
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] º¸¾È ¾÷ü Æ÷Ƽ³Ý(Fortinet)ÀÌ ·¯½Ã¾ÆÀÇ ÀüÀÚ ±â±â À¯Áöº¸¼ö ¼ºñ½º ¼¾Å͵éÀ» ³ë¸®´Â »çÀ̹ö °ø°Ý¿¡ ´ëÇØ ¹ßÇ¥Çß´Ù. Æ÷Ƽ³Ý¿¡ ÀÇÇϸé ÀÌ °ø°ÝÀº ´Ù´Ü°è·Î ÀÌ·ïÁö¸ç, ·¯½Ã¾Æ Ãâ½ÅÀÌ ¾Æ´Ñ °ø°ÝÀÚÀÇ ¼ÒÇàÀ¸·Î º¸Àδٰí ÇÑ´Ù.
[À̹ÌÁö = iclickart]
°ø°ÝÀÚ´Â ÀüÇüÀûÀÎ ½ºÇǾîÇÇ½Ì ±â¹ýÀ¸·Î ù °ø°ÝÀ» ½ÃÀÛÇÑ´Ù. ¿©±â¿¡´Â ¾Ç¼º ¿ÀÇǽº ¹®¼µéÀÌ µ¿¿øµÇ´Âµ¥, ÀüºÎ CVE-2017-11882 Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÑ´Ù. ÀÌ´Â 17³â µÈ Ãë¾àÁ¡À¸·Î ¿ÀÇǽºÀÇ °ø½Ä ÆíÁý±â(Equation Editor)¿¡¼ ¹ß°ßµÆÀ¸¸ç, MS°¡ Áö³ 10¿ù ½Ã±ÞÇÏ°Ô ÆÐÄ¡¸¦ ¹ßÇ¥ÇÑ ¹Ù ÀÖ´Ù.
ÀÌ °ø°ÝÀÌ ½ÃÀÛµÈ °Ç 3¿ù¸» °æÀÇ ÀÏÀ̾ú´Ù. »ï¼º ±â±â¸¦ Àü¹®À¸·Î °íÄ¡´Â ÇÑ ¼ºñ½º ¾÷ü°¡ °ø°Ý ´ë»óÀ̾ú´Ù. ÀÌ È¸»ç·Î »ï¼º ÀÓ¿øÀÇ °ÍÀ¸·Î º¸ÀÌ´Â À̸ÞÀÏÀÌ ÇÑ Åë µµÂøÇß´Ù. ·¯½Ã¾Æ¾î·Î ÀÛ¼ºµÆ°í, Symptom_and_repair_code_list.xlsxÀ̶ó´Â ÆÄÀÏÀÌ Ã·ºÎµÇ¾î ÀÖ¾ú´Ù.
¸ÞÀÏ ¼Ó ·¯½Ã¾Æ¾î´Â ±â±â·Î ¹ø¿ªÇÑ µí Çß´Ù. Àû¾îµµ ·¯½Ã¾Æ¾î¸¦ ±¸»çÇÏ´Â ÀÚ°¡ ÀÛ¼ºÇÑ °ÍÀº ¾Æ´Ï¾ú´Ù. ¶ÇÇÑ À̸ÞÀÏÀÇ Çì´õ¸¦ ÅëÇØ ¸ÞÀÏ Àü¼ÛÀÚÀÇ IP ÁÖ¼Ò¿Í º¸³½ »ç¶÷ ÁÖ¼Ò¿¡ ¸í±âµÈ µµ¸ÞÀÎÀÌ ¼·Î »ó°üÀÌ ¾ø´Ù´Â °Í ¶ÇÇÑ ºÐ¼®À» ÅëÇØ ¾Ë¾Æ³Â´Ù.
°ø°ÝÀÚµéÀº ¸ÞÀϸ¶´Ù ´Ù¸¥ ÷ºÎ ÆÄÀÏÀ» »ç¿ëÇßÁö¸¸ ¸ðµÎ Á¤»óÀûÀ¸·Î º¸ÀÌ´Â .XLSX ÆÄÀϵéÀ̾ú°í, CVE-2017-11882 Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ´Â °Í ¶ÇÇÑ °°¾Ò´Ù. ¹®¼ ³»¿¡´Â ¼ÐÄڵ尡 »ðÀԵǾî ÀÖ¾ú´Âµ¥, ±× ±â´ÉÀº LoadLibraryA¿Í GetProcAddress¶ó´Â ÇÔ¼öµé¿¡ Á¢±ÙÇÏ´Â °ÍÀ̾ú´Ù. À̸¦ ÅëÇØ ÃÖÁ¾ ÆäÀ̷ε带 ½ÇÇàÇÏ´Â °ÍÀÌ´Ù. ±× ¿Ü¿¡ ´Ù¿î·Îµå µÈ ÆäÀ̷ε尡 ÀúÀåµÉ À§Ä¡¸¦ Á¤È®È÷ ÁöÁ¤ÇØÁÖ´Â ÇÔ¼ö µîµµ °°ÀÌ ÀÓÆ÷Æ®µÇ´Â Á¤È²ÀÌ ¹ß°ßµÆ´Ù.
ÆäÀ̷ε忡´Â ´ÙÃþ(multiple-layer), ´Ù¼ö ÆÐÄ¿(multi-packer) º¸È£ ÀåÄ¡°¡ ½É°ÜÁ® ÀÖ´Ù. ù ¹ø° ÃþÀ§¿¡´Â Àß ¾Ë·ÁÁø ÄÁÇ»Àú¿¢½º(ConfuserEx)¶ó´Â ÆÐÄ¿°¡ »ðÀԵǾî Àִµ¥, ÀÌ´Â °´Ã¼µéÀÇ À̸§°ú ¸Þ¼Òµå ¹× ¸®¼Ò½º À̸§À» Çò°¥¸®°Ô Çϱâ À§ÇÑ ÀåÄ¡´Ù. ±×·¯¸é¼ ´ÙÀ½ ´Ü°è¿¡ »ç¿ëµÉ ÆäÀ̷ε带 ºÒ·¯¿ÀµÇ, DES¸¦ »ç¿ëÇØ ¾ÏȣȽÃÅ°°í, À̸¦ º¹È£È Çؼ ³ª¿Â ÆÄÀÏÀ» ½ÇÇàÇÑ´Ù.
º¹È£È¸¦ °ÅÃÄ ³ª¿Â ÆÄÀÏÀº BootstrapCS¶ó°í Çϴµ¥, ÀÌ´Â µÎ ¹ø° ÃþÀ§¿¡¼ »ç¿ëµÇ´Â º¸È£ ÀåÄ¡´Ù. ³µ¶È ±â¼úÀÌ Àû¿ëµÇ¾î ÀÖÁö´Â ¾ÊÁö¸¸ ¿©·¯ °³ÀÇ ºÐ¼® ¹æÇØ ±â´ÉÀ» °¡Áö°í ÀÖ´Ù. ¿¡¹Ä·¹ÀÌ¼Ç È¯°æÀ̳ª »÷µå¹Ú½º, °¡»ó ±â±â¸¦ ŽÁöÇÏ°í ƯÁ¤ ÇÁ·Î¼¼½º¸¦ Â÷´Ü½ÃÅ°°Å³ª ½Ã½ºÅÛ À¯Æ¿¸®Æ¼¸¦ ºñÈ°¼ºÈ½ÃÅ°±âµµ ÇÑ´Ù. ÆäÀÌ·Îµå °æ·Î¸¦ ½ºÅ¸Æ®¾÷ ·¹Áö½ºÆ®¸® Å°¿¡ µî·Ï½ÃÅ°°í, ÆÄÀÏÀº ½Ã½ºÅÛ ³»¿¡ ¼û°ÜµÐ´Ù. ¶ÇÇÑ ÆäÀ̷ε带 ¿©·¯ ÇÁ·Î¼¼½º¿¡ ÁÖÀÔ½ÃŲ´Ù.
±× ´ÙÀ½¿¡ µîÀåÇÏ´Â °Ç mainfileÀ̶ó´Â À̸§À» °¡Áø ¹ÙÀ̳ʸ®·Î, 3´Ü°è ÆäÀ̷εå´Ù. ½ÇÇàÆÄÀÏÀ̸ç ÆÐÅ·ÀÇ ¼¼ ¹ø° º¸È£ ÀåÄ¡À̱⵵ ÇÏ´Ù. Å° °ªÀÌ 0x20ÀÎ °£´ÜÇÑ XOR ¾Ë°í¸®ÁòÀ» »ç¿ëÇØ ¾Ïȣȸ¦ ½ÇÇàÇÑ´Ù. º¹È£ÈµÈ ÆÄÀÏÀº ƯÁ¤ ÇÁ·Î¼¼½º¿¡ ÁÖÀÔ½ÃŲ´Ù. ÀÌ 3¹ø° ÆäÀ̷εå´Â »ó¾÷¿ë ¿ø°Ý °ü¸® ÅøÀÎ À̹̳ÍÆ® ¸ð´ÏÅÍ(Imminent Monitor)¸¦ ÂüÁ¶Çϴµ¥, ÀÌ ÅøÀº ¾Æ¹«³ª Á¤»óÀûÀÎ °Å·¡¸¦ ÅëÇØ È¹µæÀÌ °¡´ÉÇÏ´Ù.
°ø°ÝÀÇ ÃþÀº ¾ÆÁ÷µµ ´Ù ¹þ°ÜÁöÁö ¾Ê¾Ò´Ù. 3´Ü°è°¡ ³¡³ª¸é 4´Ü°è°¡ ½ÃÀ۵Ǵµ¥, ¿©±â¼ Æ÷Ƽ³Ý Àü¹®°¡µéÀº ´Ù½Ã ÇÑ ¹ø ÄÁÇ»Àú¿¢½º¸¦ ¸Â´ÚÆ®·È´Ù. Áï ¿©·¯ °¡Áö À̸§¿¡ ³µ¶È ±â´ÉÀ» µ¤¾î¾º¿ì´Â º¸È£ ÀåÄ¡°¡ ³ª¿Â °ÍÀÌ´Ù.
±×·¸°Ô Çؼ ¸¶Áö¸·¿¡ °Ü¿ì µîÀåÇÑ ½ÇÁ¦ °ø°Ý ÆäÀ̷εå´Â Ç㹫ÇÏ°Ôµµ »ó¾÷¿ë ÅøÀÎ À̹̳ÍÆ® ¸ð´ÏÅÍ¿´´Ù. ´Ù¼¸ °³ÀÇ ¸ðµâÀÌ Æ÷ÇÔµÈ ¹öÀüÀ¸·Î, »ç¿ëÀÚÀÇ À¥Ä·À» È°¿ëÇØ Á¤º¸¸¦ ¼öÁýÇÏ°í ±â±â¸¦ ÅëÁ¦ÇÏ´Â ±â´ÉÀ» °¡Áø °ÍµéÀÌ Æ÷ÇԵǾî ÀÖ´Ù.
ÀÌ °ø°Ý¿¡ È°¿ëµÈ C&C ¼¹öµéÀ» ÃßÀûÇغ¸´Ï °°Àº ³¯ µî·ÏµÈ µµ¸ÞÀÎ 50°³°¡ ³ª¿Ô´Ù. ÀϺδ ´Ù¸¥ ¸Ö¿þ¾î¸¦ ÆÛÆ®¸®´Â µ¥ È°¿ëµÇ°íµµ ÀÖ¾ú´Ù. ¶ÇÇÑ ¿À·¡µÈ XLSX »ùÇÃÀ» ÃëµæÇÏ´Â °Íµµ ¼º°øÇß´Ù. ÀÌ »ùÇÃÀÇ °æ¿ì ´Ù¸¥ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕÇÏ´Â °ÍÀ̾ú´Ù.
¡°ÀÌ·± ½ÄÀÇ °ø°Ý ¹æ½ÄÀÌ ¿äÁò ²Ï³ª À¯ÇàÀ» Ÿ°í ÀÖ½À´Ï´Ù. ¿©·¯ ´Ü°è¿¡ °ÉÃÄ ÃÖÁ¾ ÆäÀ̷ε带 ½Ã½ºÅÛ¿¡ ¼³Ä¡ÇÏ´Â °Í ¸»ÀÌÁÒ. º¸¾ÈÀÇ ÃþÀ§°¡ µÎÅÍ¿öÁö´Ï °ø°Ýµµ ÀÌ·± ½ÄÀ¸·Î ÁøÇàµË´Ï´Ù. »ç¿ëÀÚµéÀÇ ÀǽÉÀ» ÇÑ °ã ÇÑ °ã ¹þ°Ü ³»°Å³ª, º¸¾È ¼Ö·ç¼ÇµéÀ» ´Ü°èº°·Î ¼ÓÀÌ´Â °ÍÀÌÁÒ. ÀÌ·± ´ÙÃþÀ§ °ø°Ý¿¡ ´ëÇÑ ¹æ¾î¹ýÀÌ ³íÀǵǾî¾ß ÇÒ ¶§ÀÔ´Ï´Ù.¡±
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>