»÷µå¹Ú½º ¹× ºÐ¼® ȸÇÇ ±â´É ¸Å¿ì ÁؼöÇØ...°ø°ÝÀÚµéÀÇ Çõ½Å¼ºÀÌ °¡Àå Å« À§Çù
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] Æз¯»çÀÌÆ® HTTP(Parasite HTTP)¶ó´Â ¿ø°Ý Á¢±Ù Æ®·ÎÀ̸ñ¸¶(RAT)°¡ »õ·Ó°Ô ¹ß°ßµÆ´Ù. ±âÁ¸ RATÀÇ ±â´É¸¸ÀÌ ¾Æ´Ï¶ó »÷µå¹Ú½º ŽÁö ¹× ¿ìȸ, ¾ÈƼ µð¹ö±ë, ¾ÈƼ ¿¡¹Ä·¹ÀÌ¼Ç µî ¸¹Àº ±â´ÉÀ» °¡Áö°í ÀÖ´Ù°í º¸¾È ¾÷ü ÇÁ·çÇÁÆ÷ÀÎÆ®(Proofpoint)°¡ ¹ßÇ¥Çß´Ù.
[À̹ÌÁö = iclickart]
ÇöÀç ÀÌ ¸Ö¿þ¾î´Â ´ÙÅ©À¥ÀÇ ¾Ï½ÃÀåÀ» ÅëÇØ È°¹ßÇÏ°Ô ±¤°íµÇ°í ÀÖ´Ù°í ÇÑ´Ù. ¶ÇÇÑ ÀÌ¹Ì ½ÇÁ¦ °ø°Ý¿¡ »ç¿ëµÇ±âµµ Çß´Ù. Æз¯»çÀÌÆ® HTTP´Â ¸ðµâ ±¸Á¶·Î Á¦À۵Ǿú±â ¶§¹®¿¡ ±â´ÉµéÀÌ ÀÚÀ¯·Ó°Ô µ¡ºÙ°í ºÐ¸®µÉ ¼ö ÀÖ´Ù. ÀÏ´Ü ¸ñÇ¥·Î »ïÀº ½Ã½ºÅÛ¿¡ ÇÑ ¹ø ħÅõÇϸé, ´Ù¾çÇÑ °ø°ÝÀ» ½Ç½ÃÇÒ ¼ö ÀÖ°Ô µÈ´Ù´Â ¶æÀÌ´Ù.
ÃÖ±Ù Æз¯»çÀÌÆ® HTTP¸¦ ±¸¸ÅÇÑ °ø°ÝÀÚµéÀº ¼Ò±Ô¸ðÀÇ À̸ÞÀÏ °ø°ÝÀ» ½Ç½ÃÇÑ °ÍÀ¸·Î º¸ÀδÙ. ÁÖ·Î Á¤º¸ ±â¼ú ºÐ¾ß¿Í ÀÇ·á, µµ¼Ò¸Å »ê¾÷À» ³ë·È´Ù. À̸ÞÀÏ¿¡´Â MS ¿öµå ¹®¼°¡ ÷ºÎµÇ¾î ÀÖ¾ú°í, ÀÌ ¿öµå ¹®¼¿¡´Â ¾Ç¼º ¸ÅÅ©·Î°¡ ´ã°ÜÀÖ¾î ¿ø°Ý »çÀÌÆ®·ÎºÎÅÍ Æз¯»çÀÌÆ® HTTP¸¦ ´Ù¿î·Îµå ¹Þ´Â´Ù.
Æз¯»çÀÌÆ® HTTP´Â C·Î ÀÛ¼ºµÇ¾î ÀÖ°í, ¿ë·®µµ ¸Å¿ì ÀÛÀº 49kbÀ̸ç, Ç÷¯±×ÀÎ Áö¿ø ±â´Éµµ °¡Áö°í ÀÖ´Ù. ÆǸÅÀڵ鿡 ÀÇÇϸé À̰ͻӸ¸ ¾Æ´Ï¶ó µ¿Àû API È£Ãâ°úµµ ȣȯµÇ¸ç, ¾ÏÈ£ÈµÈ ¹®ÀÚ¿°ú PHP·Î ÀÛ¼ºµÈ C&C ÆгÎÀ» °¡Áö°í ÀÖ´Ù. ¹æȺ®À» ¿ìȸÇÒ ¼öµµ ÀÖ°í ¾ÏÈ£ÈµÈ Åë½Å ±â´Éµµ °¡Áö°í ÀÖ´Ù.
ÆǸÅÀÚ°¡ ÁýÁßÀûÀ¸·Î ±¤°íÇÏ´Â °Ç Ç÷¯±×ÀΠȣȯ¼º, Áï ¸ðµâ ±¸Á¶´Ù. ÆǸÅÀÚ´Â ÀÌ¹Ì ¿©·¯ °¡Áö ¸ðµâÀ» ÁغñÇÏ°í Àִµ¥, »ç¿ëÀÚ °ü¸®, ºê¶ó¿ìÀú ºñ¹Ð¹øÈ£ º¹±¸, FTP ºñ¹Ð¹øÈ£ º¹±¸, IM ºñ¹Ð¹øÈ£ º¹±¸, À̸ÞÀÏ ºñ¹Ð¹øÈ£ º¹±¸, À©µµ¿ì ¶óÀ̼±½º Å° º¹±¸, È÷µç VNC(Hidden VNC), ¸®¹ö½º ¼Ó½º5 ÇÁ·Ï½Ã(Reverse Socks5 proxy) µîÀÌ ÀÖ´Ù.
ÇÁ·çÇÁÆ÷ÀÎÆ®´Â ¡°Æз¯»çÀÌÆ® HTTP´Â ²Ï³ª ¼öÁØ ³ôÀº ³µ¶È ±â¼ú·Î º¸È£µÇ¾î ÀÖÀ¸¸ç, »÷µå¹Ú½º µî ¿¬±¸¿Í ºÐ¼®À» À§ÇÑ È¯°æÀ» ÇÇÇØ°¡´Â ±â¼úµµ ¿©·µ Æ÷ÇÔÇÏ°í ÀÖ´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°¹®ÀÚ¿ ³µ¶È ±â¼ú¸¸ °¡Áö°í ÀÖ´Â °Ô ¾Æ´Ï¶ó ¡®½½¸³ ¸ðµå¡¯µµ ÀÖ¾î¼, ½ÇÇà ½Ã°£À» ½º½º·Î ¿¬±âÇÑ ÈÄ »÷µå¹Ú½º³ª ¿¡¹Ä·¹À̼ÇÀ» È®ÀÎÇϱ⵵ ÇÕ´Ï´Ù.¡±
±×·± °úÁ¤¿¡¼ »÷µå¹Ú½º°¡ ŽÁöµÉ °æ¿ì Æз¯»çÀÌÆ® HTTP´Â ºüÁ®³ª°¡°Å³ª ¿À·ù¸¦ ¹ß»ý½ÃÅ°´Â °Í»Ó¸¸ ¾Æ´Ï¶ó ºÐ¼®°ú ¿À·ù ¿øÀÎ ÆľÇÀ» ´õ ¾î·Æ°Ô ¸¸µç´Ù°í ÇÑ´Ù. »÷µå¹Ú½º ŽÁö ±â´ÉÀº °ø°ø ¸®Æ÷ÁöÅ丮¸¦ ÅëÇØ °ø°³µÈ ÄÚµå·Î ±¸ÃàµÆ´Ù.
À©µµ¿ì 7 ȤÀº ±× ÀÌÈÄ ¹öÀü¿¡¼ Æз¯»çÀÌÆ® HTTP´Â ·¹Áö½ºÆ®¸® °ªÀ» »ý¼ºÇϱâ À§ÇØ ÁÖ¿ä APIµéÀ» ºÐÇØÇÑ´Ù. ¶ÇÇÑ ÇÁ·Î¼¼½º ÁÖÀÔ ±â¼úÀ» È°¿ëÇϱ⵵ Çϴµ¥, ¿©Å¸ ´Ù¸¥ ¸Ö¿þ¾îµé¿¡¼´Â ¹ß°ßÇϱâ Èûµç ±â¼úÀ̶ó°í ÇÁ·çÇÁÆ÷ÀÎÆ®´Â ¼³¸íÇÑ´Ù. ¡°¶ÇÇÑ Æз¯»çÀÌÆ® HTTP´Â ¿©·¯ DLL¿¡ ÀÖ´Â ÈÅ(hook)µéÀ» Á¦°ÅÇÕ´Ï´Ù. ±×¸®°í ù ¹ø° 5¹ÙÀÌÆ®¸¦ ¿ø»ó º¹±¸½Ãŵ´Ï´Ù. »÷µå¹Ú½º°¡ 6¹ÙÀÌÆ®ÀÇ °£Á¢ Á¡ÇÁ(indirect jump)¸¦ »ç¿ëÇÑ´Ù¸é ¿À·ù°¡ ¹ß»ýÇϵµ·Ï ÇÑ °ÍÀÔ´Ï´Ù.¡±
À§Çù ÇàÀ§ÀÚµéÀÌ °è¼ÓÇؼ º¯È¸¦ ²ÒÇÏ°í, ½º½º·Î¸¦ Çõ½ÅÇÏ´Â °ÍÀÌ º¸¾È ¾÷°èÀÇ °¡Àå Å« À§ÇùÀ̶ó°í ÇÁ·çÇÁÆ÷ÀÎÆ®´Â °á·ÐÀ» ³»¸®°í ÀÖ´Ù. ¡°¾î¶»°Ô Çؼµç °ø°Ý ¼º°ø·üÀ» ³ôÀÌ°í ħÅõ·üÀ» ¿Ã¸®·Á´Â ±×µéÀÇ ²ÙÁØÇÑ Çõ½ÅÀº Çö´ë »çȸÀÇ Å« À§ÇùÀÔ´Ï´Ù. ¸Ö¿þ¾î ºÐ¼®ÀÌ °¡´ÉÇÑ Àü¹®°¡µéÀ̶ó¸é Æз¯»çÀÌÆ® HTTP »ùÇÃÀ» ÇÑ ¹ø µé¿©´Ùº¸½Ã±æ ¹Ù¶ø´Ï´Ù. Å« ÀÚ±ØÀÌ µÉ °Ì´Ï´Ù.¡±
¶ÇÇÑ ÇÁ·çÇÁÆ÷ÀÎÆ®´Â ¡°¸Ö¿þ¾î¿Í ¹æ¾î ¼Ö·ç¼Ç »çÀÌÀÇ ±ººñ °æÀïÀÌ Ä¡¿ÇØÁ® °¡°í ÀÖ°í, ÀÌ ½Î¿ò °¡¿îµ¥ ÀϺΠ¸Ö¿þ¾îµéÀÌ »óÇ°È µÇ¾î ´©±¸µç µ·¸¸ ³»¸é »ç¿ëÇÒ ¼ö ÀÖ°Ô µÇ´Â °Íµµ Å« ¹®Á¦¡±¶ó°í ÁöÀûÇÑ´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>