°µµåÅ©·¦°ú ½º¸ðÅ©·Î´õ ÁÖ·Î ÀüÆÄ...ÀͽºÇ÷ÎÀÕ Å°Æ®ÀÇ ºÎÈ° Á¶½ÉÇؾß
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ÃÖ±Ù »õ·Î¿î ÀͽºÇ÷ÎÀÕ Å°Æ®°¡ ¹ß°ßµÆ´Ù. ÀϺ», Çѱ¹, Áßµ¿, ³²À¯·´, ¾ÆÅ Áö¿ªÀÇ »ç¿ëÀÚµéÀ» ³ë¸®´Â °ø°Ý¿¡ »ç¿ëµÇ°í ÀÖ´Ù°í ÇÑ´Ù. ÀÌ Å°Æ®ÀÇ À̸§Àº Æú¾Æ¿ô(Fallout)À¸·Î, ÀϺ» »ç¿ëÀÚµéÀ» °Ü³ÉÇؼ´Â ½º¸ðÅ©·Î´õ(SmokeLoader)¶ó´Â Æ®·ÎÀ̸ñ¸¶¸¦ ÆÛÆ®¸®°í ÀÖ°í, Áßµ¿ Áö¿ª »ç¿ëÀÚµéÀ» ³ë¸®°í¼´Â °µµåÅ©·¦(GandCrab) ·£¼¶¿þ¾î¸¦ ÆÛÆ®¸®°í ÀÖ´Ù°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
ÇÏÁö¸¸ ÀÌ·¯ÇÑ ¾Ç¼º ÆäÀ̷ε带 ¼³Ä¡Çϱâ Àü¿¡ Æú¾Æ¿ô °ø°ÝÀÚµéÀº ºê¶ó¿ìÀú ÇÁ·ÎÆÄÀϺÎÅÍ °Ë»çÇØ °ø°ÝÇÒ Ç¥ÀûÀ» °í¸¥´Ù°í ÇÑ´Ù. Ç¥ÀûÀ¸·Î Á¤ÇØÁø »ç¿ëÀÚµéÀº ´Ù¼öÀÇ 302 ¿ìȸ(302 redirect)¸¦ ÅëÇØ ¿ø·¡ °¡·Á´ø ±¤°í ÆäÀÌÁö°¡ ¾Æ´Ï¶ó ÀͽºÇ÷ÎÀÕ Å°Æ®°¡ ÀÖ´Â ÆäÀÌÁöÀÇ URL·Î Á¢¼ÓµÈ´Ù°í, Æú¾Æ¿ôÀÇ Á¸À縦 ¹ß°ßÇÑ ÆÄÀ̾î¾ÆÀÌ(FireEye)ÀÇ º¸¾È Àü¹®°¡µéÀº ¼³¸íÇÑ´Ù.
»ç¿ëÀÚÀÇ OS¿Í ºê¶ó¿ìÀú¿¡ µû¶ó ÀͽºÇ÷ÎÀÕ Å°Æ®°¡ °ð¹Ù·Î ½Ã½ºÅÛ¿¡ ¼³Ä¡µÇ±âµµ ÇÏÁö¸¸, ¿©·¯ ¼Ò¼È ¿£Áö´Ï¾î¸µ °ø°ÝÀ» ÅëÇØ ÀͽºÇ÷ÎÀÕ Å°Æ®°¡ ¼³Ä¡µÇ´Â »ç·Êµµ ÀÖ´Ù. ¿¹¸¦ µé¾î ¿µ±¹ÀÇ ¸ÆOS »ç¿ëÀÚµéÀÇ °æ¿ì, ¹é½Å ¼ÒÇÁÆ®¿þ¾î³ª Ç÷¡½Ã ¾÷µ¥ÀÌÆ®¶ó´Â °¡Â¥ Æ÷½ºÆà µîÀ» ÅëÇØ Æú¾Æ¿ô¿¡ °¨¿°µÇ±âµµ Çß´Ù.
¡°À̹ø ÀͽºÇ÷ÎÀÕ Å°Æ®¿Í °ü·ÃµÈ ¼Ò¼È ¿£Áö´Ï¾î¸µ Àü·«Àº ÃÖ±Ù ¿©·¯ °ø°Ý »ç·Ê¿¡¼ ¹ß°ßµÇ°í ÀÖ´Â ¼Ò¼È ¿£Áö´Ï¾î¸µ°ú °ÅÀÇ ´Ù¸£Áö ¾Ê½À´Ï´Ù. ¾÷µ¥ÀÌÆ®°¡ Àß µÇ¾î ÀÖ´Â OS³ª ¼ÒÇÁÆ®¿þ¾î¸¦ »ç¿ëÇϱ⠶§¹®¿¡ Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕÀ» ÅëÇØ °ø°ÝÇϱⰡ ºÒ°¡´ÉÇÒ ¶§ ¼Ò¼È ¿£Áö´Ï¾î¸µ °ø°ÝÀº È¿°úÀûÀÎ ¼ö´ÜÀÌ µË´Ï´Ù.¡±
ÆÄÀ̾î¾ÆÀÌ¿¡ ÀÇÇϸé À̹ø Ä·ÆäÀÎÀº Á¤ºÎ ¿ä¿øµéÀ̳ª Åë½Å»ç ÀÓÁ÷¿ø, ÀÇ·á ºÐ¾ß Á¾»çÀÚµéÀ» ³ë¸®°í ÀÖ´Â °ÍÀ¸·Î º¸Àδٰí ÇÑ´Ù. Æú¾Æ¿ôÀÌ ¼û¾îÀÖ´Â ·£µù ÆäÀÌÁö´Â ¡°Ã³À½¿¡ VB½ºÅ©¸³Æ® Ãë¾àÁ¡À» ³ë¸®´Â Äڵ常 °¡Áö°í ÀÖ¾úÁö¸¸, ÀÌÈÄ¿¡ Ç÷¡½Ã ¿¥º£µù Äڵ尡 Ãß°¡µÆ´Ù¡±°í ¼³¸íÇÑ´Ù. ÀÌ VB½ºÅ©¸³Æ®´Â CVE-2018-8174¸¦ ÀͽºÇ÷ÎÀÕ ÇÏ´Â ´ÙÀ½ ´Ü°è ¾Ç¼º VB½ºÅ©¸³Æ®¸¦ º¹È£ÈÇÏ´Â JScript ÇÔ¼ö¸¦ ·ÎµùÇÑ´Ù. ÀÌ ´ÙÀ½ ´Ü°è VB½ºÅ©¸³Æ®´Â Ãß°¡ ÆäÀ̷ε带 ´Ù¿î·Îµå ÇÏ°í º¹È£ÈÇÏ°í ½ÇÇà½ÃÅ°´Â ¼ÐÄڵ带 ½ÇÇàÇÑ´Ù.
ÀÌ·¸°Ô µå·ÓµÈ ÆÄÀÏ¿¡´Â PE ·Î´õ Äڵ尡 Æ÷ÇԵǾî ÀÖ´Ù. ÀÌ ÄÚµå´Â ÃÖÁ¾ ÆäÀ̷ε带 ½ÇÇà½ÃÅ°±â À§ÇÑ °ÍÀÌ´Ù. ¶ÇÇÑ ¾ðÆÐÅ· °úÁ¤¿¡¼ DLL ÆÄÀϵµ Çϳª ³ª¿À´Âµ¥, ÀÌ´Â ½Ã½ºÅÛ ³» µ¹¾Æ°¡´Â ¸ðµç ÇÁ·Î¼¼½ºµéÀ» ¼öÁýÇÏ¿© ¸ñ·ÏÈ Çϱâ À§ÇÑ °ÍÀÌ´Ù. ±×·± ÈÄ crc32 üũ¼¶À» »ý¼ºÇÏ°í, ºí·¢¸®½ºÆ® µÈ üũ¼¶ ¸ñ·Ï°ú ¸ÅĪ½ÃŲ´Ù. ÀÌ °úÁ¤¿¡¼ ºí·¢¸®½ºÆ®°¡ µÈ °Í°ú ÀÏÄ¡ÇÏ´Â °ÍÀÌ ³ª¿À¸é ¸Ö¿þ¾î°¡ ¹«ÇÑ ·çÇÎÀ» ½ÃÀÛÇÑ´Ù. ÇÏÁö¸¸ ÀÏÄ¡ÇÏ´Â °ÍÀÌ Çϳªµµ ³ª¿ÀÁö ¾ÊÀ¸¸é »õ·Î¿î ¾²·¹µå°¡ »ý¼ºµÈ´Ù. ¸Ö¿þ¾î´Â ½º½º·ÎÀÇ À̹ÌÁö °æ·Î, OS ¹öÀü, ¾ÆÅ°ÅØó¸¦ È®ÀÎÇÑ´Ù.
À©µµ¿ì ¹öÀü°ú ¾ÆÅ°ÅØó¿¡ µû¶ó ¸Ö¿þ¾î´Â ctfmon.exe³ª rundll32.exe¸¦ Àå¾ÇÇÑ´Ù. ȤÀº ÀÌ µÎ °¡Áö¸¦ ÀÚ±âÀÇ º¹Á¦º»°ú ´ëü½ÃŲ´Ù. ¶ÇÇÑ ¸Ö¿þ¾î´Â ½º½º·Î¸¦ ½ÃÀÛ ÇÁ·Î±×·¥ Æú´õ¿Í ¸®ºÎÆ® ½Ã½ºÅÛ¿¡µµ Ãß°¡½ÃŲ´Ù. µû¶ó¼ ½Ã½ºÅÛÀÌ Àç°¡µ¿ µÉ ¶§¸¶´Ù ¸Ö¿þ¾î°¡ ÀÚµ¿À¸·Î ¹ßµ¿µÈ´Ù. ¸¸¾à ½Ã½ºÅÛ ÆÄÀÏÀ» ÀÌ·¸°Ô Á¶ÀÛÇÏ´Â °Í¿¡ ½ÇÆÐÇÏ¸é ¸Ö¿þ¾î´Â ÀÚ½ÅÀÇ º¹»çº»À» ´Ù¸¥ À§Ä¡¿¡ µÎ°í ShellExecuteW¸¦ ÅëÇØ ½ÇÇàÇÑ´Ù.
ÀÌ °ø°Ý¿¡¼ °¡Àå ¸¹ÀÌ »ç¿ëµÇ´Â ÃÖÁ¾ ÆäÀ̷εå´Â °µµåÅ©·¦ ·£¼¶¿þ¾î´Ù. Æú¾Æ¿ôÀº À̸¦ ¸Þ¸ð¸® ³»¿¡¼ ·Îµù½ÃŲ´Ù. ¡°ÃÖ±Ù ÁöÇÏ ½ÃÀå¿¡¼ ÁøÇàµÇ°í ÀÖ´Â ¿©·¯ °¡Áö Á¶Á÷µé°ú ¹üÁËÀÚµéÀÇ Ã¼Æ÷°¡ ÁøÇàµÆ½À´Ï´Ù. ±×·¯¸é¼ ÀͽºÇ÷ÎÀÕ Å°Æ®ÀÇ »ç¿ë ºñÀ²ÀÌ ½É°¢ÇÏ°Ô ¶³¾îÁ³½À´Ï´Ù. ±×·¸Áö¸¸ ÀͽºÇ÷ÎÀÕ Å°Æ®¶ó´Â °Ç ¹«½ÃÇÒ ¼ö ¾ø´Â À§ÇùÀÔ´Ï´Ù. ƯÈ÷ ÆÐÄ¡¸¦ Àß ÇÏÁö ¾Ê´Â »ç¿ëÀڵ鿡°Ô´Â ´õ´õ¿í ¹«¼¿î À§ÇùÀÌÁÒ.¡±
¶ÇÇÑ ÀͽºÇ÷ÎÀÕ Å°Æ® È°µ¿ÀÌ ÃÖ±Ù Á¶±Ý¾¿ ´Ã¾î³ª°í ÀÖ´Ù´Â °Íµµ ¾Ë¾ÆµÖ¾ß ÇÒ °ÍÀ̶ó°í ÆÄÀ̾î¾ÆÀÌ´Â °æ°íÇÑ´Ù. ¡°¾ÆÅÂÁö¿ª¿¡¼ ÀͽºÇ÷ÎÀÕ Å°Æ®°¡ ºÎÈ°ÇÏ´Â ¸ð½ÀÀÔ´Ï´Ù. ÀÌ Áö¿ª »ç¿ëÀÚµéÀÌ ¾÷µ¥ÀÌÆ®¸¦ Àß ÇÏÁö ¾Ê´Â ÆíÀ̰ŵç¿ä. ¹Ý¸é ºÏ¹Ì¿¡¼´Â ¼Ò¼È ¿£Áö´Ï¾î¸µ °ø°ÝÀÌ Àü¼º±â¸¦ ¸Â´Â µíÇÏ°í¿ä.¡±
3ÁÙ ¿ä¾à
1. »õ·Î¿î ÀͽºÇ÷ÎÀÕ Å°Æ®, Æú¾Æ¿ô, ¿©·¯ ÆäÀÌ·Îµå °¡Áö°í Ç¥ÀûÇü °ø°Ý ½Ç½Ã Áß.
2. °¡Àå ¸¹ÀÌ »ç¿ëµÇ´Â ÆäÀ̷εå´Â °µµåÅ©·¦ ·£¼¶¿þ¾î. ÁÖ·Î Á¤ºÎ, Åë½Å»ç, ÀÇ·á ¾÷°è°¡ ´çÇÏ°í ÀÖÀ½.
3. ÀͽºÇ÷ÎÀÕ Å°Æ®, Çѵ¿¾È ¶äÇßÀ¸³ª ÃÖ±Ù ¾ÆÅÂÁö¿ªÀ» Áß½ÉÀ¸·Î ´Ù½Ã ³ªÅ¸³ª°í ÀÖÀ½.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>