Home > Àüü±â»ç

»õ·Ó°Ô ³ªÅ¸³­ Æз¯»çÀÌÆ® HTTP, ¡°°ø°ÝÀÚµéÀº ´Ã Çõ½ÅÇÑ´Ù¡±

ÀÔ·Â : 2018-07-27 10:27
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
¾Ï½ÃÀå¿¡¼­ ÆǸŵǰí ÀÖ´Â »õ·Î¿î ¸Ö¿þ¾î, ¸ðµâÈ­ µÇ¾î ´Ù±â´É ¹ßÈÖ
»÷µå¹Ú½º ¹× ºÐ¼® ȸÇÇ ±â´É ¸Å¿ì ÁؼöÇØ...°ø°ÝÀÚµéÀÇ Çõ½Å¼ºÀÌ °¡Àå Å« À§Çù


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] Æз¯»çÀÌÆ® HTTP(Parasite HTTP)¶ó´Â ¿ø°Ý Á¢±Ù Æ®·ÎÀ̸ñ¸¶(RAT)°¡ »õ·Ó°Ô ¹ß°ßµÆ´Ù. ±âÁ¸ RATÀÇ ±â´É¸¸ÀÌ ¾Æ´Ï¶ó »÷µå¹Ú½º ŽÁö ¹× ¿ìȸ, ¾ÈƼ µð¹ö±ë, ¾ÈƼ ¿¡¹Ä·¹ÀÌ¼Ç µî ¸¹Àº ±â´ÉÀ» °¡Áö°í ÀÖ´Ù°í º¸¾È ¾÷ü ÇÁ·çÇÁÆ÷ÀÎÆ®(Proofpoint)°¡ ¹ßÇ¥Çß´Ù.

[À̹ÌÁö = iclickart]


ÇöÀç ÀÌ ¸Ö¿þ¾î´Â ´ÙÅ©À¥ÀÇ ¾Ï½ÃÀåÀ» ÅëÇØ È°¹ßÇÏ°Ô ±¤°íµÇ°í ÀÖ´Ù°í ÇÑ´Ù. ¶ÇÇÑ ÀÌ¹Ì ½ÇÁ¦ °ø°Ý¿¡ »ç¿ëµÇ±âµµ Çß´Ù. Æз¯»çÀÌÆ® HTTP´Â ¸ðµâ ±¸Á¶·Î Á¦À۵Ǿú±â ¶§¹®¿¡ ±â´ÉµéÀÌ ÀÚÀ¯·Ó°Ô µ¡ºÙ°í ºÐ¸®µÉ ¼ö ÀÖ´Ù. ÀÏ´Ü ¸ñÇ¥·Î »ïÀº ½Ã½ºÅÛ¿¡ ÇÑ ¹ø ħÅõÇϸé, ´Ù¾çÇÑ °ø°ÝÀ» ½Ç½ÃÇÒ ¼ö ÀÖ°Ô µÈ´Ù´Â ¶æÀÌ´Ù.

ÃÖ±Ù Æз¯»çÀÌÆ® HTTP¸¦ ±¸¸ÅÇÑ °ø°ÝÀÚµéÀº ¼Ò±Ô¸ðÀÇ À̸ÞÀÏ °ø°ÝÀ» ½Ç½ÃÇÑ °ÍÀ¸·Î º¸ÀδÙ. ÁÖ·Î Á¤º¸ ±â¼ú ºÐ¾ß¿Í ÀÇ·á, µµ¼Ò¸Å »ê¾÷À» ³ë·È´Ù. À̸ÞÀÏ¿¡´Â MS ¿öµå ¹®¼­°¡ ÷ºÎµÇ¾î ÀÖ¾ú°í, ÀÌ ¿öµå ¹®¼­¿¡´Â ¾Ç¼º ¸ÅÅ©·Î°¡ ´ã°ÜÀÖ¾î ¿ø°Ý »çÀÌÆ®·ÎºÎÅÍ Æз¯»çÀÌÆ® HTTP¸¦ ´Ù¿î·Îµå ¹Þ´Â´Ù.

Æз¯»çÀÌÆ® HTTP´Â C·Î ÀÛ¼ºµÇ¾î ÀÖ°í, ¿ë·®µµ ¸Å¿ì ÀÛÀº 49kbÀ̸ç, Ç÷¯±×ÀÎ Áö¿ø ±â´Éµµ °¡Áö°í ÀÖ´Ù. ÆǸÅÀڵ鿡 ÀÇÇϸé À̰ͻӸ¸ ¾Æ´Ï¶ó µ¿Àû API È£Ãâ°úµµ ȣȯµÇ¸ç, ¾ÏȣȭµÈ ¹®ÀÚ¿­°ú PHP·Î ÀÛ¼ºµÈ C&C ÆгÎÀ» °¡Áö°í ÀÖ´Ù. ¹æÈ­º®À» ¿ìȸÇÒ ¼öµµ ÀÖ°í ¾ÏȣȭµÈ Åë½Å ±â´Éµµ °¡Áö°í ÀÖ´Ù.

ÆǸÅÀÚ°¡ ÁýÁßÀûÀ¸·Î ±¤°íÇÏ´Â °Ç Ç÷¯±×ÀΠȣȯ¼º, Áï ¸ðµâ ±¸Á¶´Ù. ÆǸÅÀÚ´Â ÀÌ¹Ì ¿©·¯ °¡Áö ¸ðµâÀ» ÁغñÇÏ°í Àִµ¥, »ç¿ëÀÚ °ü¸®, ºê¶ó¿ìÀú ºñ¹Ð¹øÈ£ º¹±¸, FTP ºñ¹Ð¹øÈ£ º¹±¸, IM ºñ¹Ð¹øÈ£ º¹±¸, À̸ÞÀÏ ºñ¹Ð¹øÈ£ º¹±¸, À©µµ¿ì ¶óÀ̼±½º Å° º¹±¸, È÷µç VNC(Hidden VNC), ¸®¹ö½º ¼Ó½º5 ÇÁ·Ï½Ã(Reverse Socks5 proxy) µîÀÌ ÀÖ´Ù.

ÇÁ·çÇÁÆ÷ÀÎÆ®´Â ¡°Æз¯»çÀÌÆ® HTTP´Â ²Ï³ª ¼öÁØ ³ôÀº ³­µ¶È­ ±â¼ú·Î º¸È£µÇ¾î ÀÖÀ¸¸ç, »÷µå¹Ú½º µî ¿¬±¸¿Í ºÐ¼®À» À§ÇÑ È¯°æÀ» ÇÇÇØ°¡´Â ±â¼úµµ ¿©·µ Æ÷ÇÔÇÏ°í ÀÖ´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°¹®ÀÚ¿­ ³­µ¶È­ ±â¼ú¸¸ °¡Áö°í ÀÖ´Â °Ô ¾Æ´Ï¶ó ¡®½½¸³ ¸ðµå¡¯µµ À־, ½ÇÇà ½Ã°£À» ½º½º·Î ¿¬±âÇÑ ÈÄ »÷µå¹Ú½º³ª ¿¡¹Ä·¹À̼ÇÀ» È®ÀÎÇϱ⵵ ÇÕ´Ï´Ù.¡±

±×·± °úÁ¤¿¡¼­ »÷µå¹Ú½º°¡ ŽÁöµÉ °æ¿ì Æз¯»çÀÌÆ® HTTP´Â ºüÁ®³ª°¡°Å³ª ¿À·ù¸¦ ¹ß»ý½ÃÅ°´Â °Í»Ó¸¸ ¾Æ´Ï¶ó ºÐ¼®°ú ¿À·ù ¿øÀÎ ÆľÇÀ» ´õ ¾î·Æ°Ô ¸¸µç´Ù°í ÇÑ´Ù. »÷µå¹Ú½º ŽÁö ±â´ÉÀº °ø°ø ¸®Æ÷ÁöÅ丮¸¦ ÅëÇØ °ø°³µÈ ÄÚµå·Î ±¸ÃàµÆ´Ù.

À©µµ¿ì 7 ȤÀº ±× ÀÌÈÄ ¹öÀü¿¡¼­ Æз¯»çÀÌÆ® HTTP´Â ·¹Áö½ºÆ®¸® °ªÀ» »ý¼ºÇϱâ À§ÇØ ÁÖ¿ä APIµéÀ» ºÐÇØÇÑ´Ù. ¶ÇÇÑ ÇÁ·Î¼¼½º ÁÖÀÔ ±â¼úÀ» È°¿ëÇϱ⵵ Çϴµ¥, ¿©Å¸ ´Ù¸¥ ¸Ö¿þ¾îµé¿¡¼­´Â ¹ß°ßÇϱâ Èûµç ±â¼úÀ̶ó°í ÇÁ·çÇÁÆ÷ÀÎÆ®´Â ¼³¸íÇÑ´Ù. ¡°¶ÇÇÑ Æз¯»çÀÌÆ® HTTP´Â ¿©·¯ DLL¿¡ ÀÖ´Â ÈÅ(hook)µéÀ» Á¦°ÅÇÕ´Ï´Ù. ±×¸®°í ù ¹ø° 5¹ÙÀÌÆ®¸¦ ¿ø»ó º¹±¸½Ãŵ´Ï´Ù. »÷µå¹Ú½º°¡ 6¹ÙÀÌÆ®ÀÇ °£Á¢ Á¡ÇÁ(indirect jump)¸¦ »ç¿ëÇÑ´Ù¸é ¿À·ù°¡ ¹ß»ýÇϵµ·Ï ÇÑ °ÍÀÔ´Ï´Ù.¡±

À§Çù ÇàÀ§ÀÚµéÀÌ °è¼ÓÇؼ­ º¯È­¸¦ ²ÒÇÏ°í, ½º½º·Î¸¦ Çõ½ÅÇÏ´Â °ÍÀÌ º¸¾È ¾÷°èÀÇ °¡Àå Å« À§ÇùÀ̶ó°í ÇÁ·çÇÁÆ÷ÀÎÆ®´Â °á·ÐÀ» ³»¸®°í ÀÖ´Ù. ¡°¾î¶»°Ô Çؼ­µç °ø°Ý ¼º°ø·üÀ» ³ôÀÌ°í ħÅõ·üÀ» ¿Ã¸®·Á´Â ±×µéÀÇ ²ÙÁØÇÑ Çõ½ÅÀº Çö´ë »çȸÀÇ Å« À§ÇùÀÔ´Ï´Ù. ¸Ö¿þ¾î ºÐ¼®ÀÌ °¡´ÉÇÑ Àü¹®°¡µéÀ̶ó¸é Æз¯»çÀÌÆ® HTTP »ùÇÃÀ» ÇÑ ¹ø µé¿©´Ùº¸½Ã±æ ¹Ù¶ø´Ï´Ù. Å« ÀÚ±ØÀÌ µÉ °Ì´Ï´Ù.¡±

¶ÇÇÑ ÇÁ·çÇÁÆ÷ÀÎÆ®´Â ¡°¸Ö¿þ¾î¿Í ¹æ¾î ¼Ö·ç¼Ç »çÀÌÀÇ ±ººñ °æÀïÀÌ Ä¡¿­ÇØÁ® °¡°í ÀÖ°í, ÀÌ ½Î¿ò °¡¿îµ¥ ÀϺΠ¸Ö¿þ¾îµéÀÌ »óÇ°È­ µÇ¾î ´©±¸µç µ·¸¸ ³»¸é »ç¿ëÇÒ ¼ö ÀÖ°Ô µÇ´Â °Íµµ Å« ¹®Á¦¡±¶ó°í ÁöÀûÇÑ´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)