Áß±¹ÀÇ °ø°ÝÀÚµé °ø°³µÈ Åø »ç¿ëÇϱ⠽ÃÀÛÇÏ´Â Ãß¼¼...¹üÀÎ Àâ±â ´õ ¾î·Á¿ö
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] º¸¾È ¾÷ü Ä«½ºÆÛ½ºÅ° ·¦(Kaspersky Lab)ÀÌ Áß±¹ Ãâ½ÅÀÎ °ÍÀ¸·Î º¸ÀÌ´Â »çÀ̹ö Á¤Âû ´Üü¸¦ Àû¹ßÇß´Ù. ÀÌ ´Üü´Â ÃßÀû ÁÖü¿¡ µû¶ó ·°Å°¸¶¿ì½º(LuckyMouse), ¿¡¹Ì¼¸® ÆÇ´Ù(Emissary Panda), APT27, ¾²·¹Æ® ±×·ì 3390(Threat Group 3390) µîÀÇ À̸§À¸·Î ºÒ¸®¸ç, µðÁöÅÐ ¼¸íÀÌ µÈ ³×Æ®¿öÅ© ÇÊÅ͸µ µå¶óÀ̹ö¸¦ °ø°Ý¿¡ »ç¿ëÇÏ°í ÀÖ´Ù°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
·°Å°¸¶¿ì½º´Â ÃÖ¼Ò 2010³âºÎÅÍ È°µ¿ÇØ¿Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖÀ¸¸ç, Àü ¼¼°èÀÇ ´Ù¾çÇÑ Á¶Á÷µéÀ» °ø°ÝÇß´Ù°í ÇÑ´Ù. À̵鿡°Ô ´çÇÑ Á¶Á÷Àº ¹Ì±¹ÀÇ ±¹¹æ »ê¾÷ °è¾àÀÚ, ±ÝÀ¶ ¼ºñ½º ±â°ü, À¯·´ÀÇ ÇÑ µå·Ð Á¦Á¶»ç, Á߾ӾƽþÆÀÇ ÇÑ ±¹°¡ µ¥ÀÌÅͼ¾ÅÍ µîÀÌ ÀÖ´Ù.
Áö³ ¸î °³¿ù µ¿¾È ·°Å°¸¶¿ì½º´Â µðÁöÅÐ ¼¸íÀÌ µÈ 32ºñÆ® ¹× 64ºñÆ® ³×Æ®¿öÅ© ÇÊÅ͸µ µå¶óÀ̹öÀÎ NDISProxy¸¦ ¾îºä¡ÇØ¿Ô´Ù°í Ä«½ºÆÛ½ºÅ°´Â ¼³¸íÇÑ´Ù. ¡°ÀÌ µå¶óÀ̺긦 ÅëÇØ ±âÁ¸¿¡ ¹àÇôÁöÁö ¾ÊÀº Æ®·ÎÀ̸ñ¸¶¸¦ lsass.exe ½Ã½ºÅÛ ÇÁ·Î¼¼½º ¸Þ¸ð¸®¿¡ ÁÖÀÔÇß½À´Ï´Ù.¡±
ÀÌ Ä·ÆäÀο¡¼ °¡Àå Ư¡ÀûÀÎ °Ç ÀÌ µå¶óÀ̹ö°¡ µðÁöÅÐ ¼¸íÀÌ µÈ »óŶó´Â °ÍÀÌ´Ù. ¼¸í¿¡ »ç¿ëµÈ ÀÎÁõ¼´Â ±¤µ¿ ¼±Àü(Shenzhen)À̶ó´Â µµ½ÃÀÇ Á¤º¸ º¸¾È ¼ÒÇÁÆ®¿þ¾î °³¹ß»çÀÎ ¸®±×¼ÒÇÁÆ®(LeagSoft)ÀÇ °ÍÀ̸ç, ÀÌ »çÅ¿¡ ´ëÇÑ ¼Ò½ÄÀÌ ¸®±×¼ÒÇÁÆ®¿¡µµ ¾Ë·ÁÁø »óÅ´Ù.
Ä«½ºÆÛ½ºÅ°´Â À̹ø¿¡ ¹ß°ßµÈ °ÍÀÌ Áß¾Ó¾Æ½Ã¾Æ Á¤ºÎ ±â°üµéÀ» ³ë¸° °íµµÀÇ Ç¥ÀûÈ °ø°ÝÀ̶ó¸ç, ·°Å°¸¶¿ì½º°¡ ¹èÈÄ ¼¼·ÂÀ̶ó´Â °Í¿¡ °ÇÑ È®½ÅÀ» ³ªÅ¸³Â´Ù.
°ø°ÝÀÚµéÀº ÀÌ¹Ì Ä§ÇØµÈ °ÍÀ¸·Î º¸ÀÌ´Â ³×Æ®¿öÅ©¸¦ ÅëÇØ µå·ÎÆÛ¸¦ ¹èÆ÷Çß´Ù°í ÇÑ´Ù. ÀϹÝÀûÀ¸·Î APT ±×·ìÀÌ ½ºÇǾî ÇÇ½Ì À̸ÞÀÏÀ» È°¿ëÇÏ´Â °Í°ú ´Ù¸¥ ¿òÁ÷ÀÓÀ» º¸ÀÎ °ÍÀÌ´Ù. ÀÌ µå·ÎÆÛ¸¦ ÅëÇØ ÆÛÁö´Â ½ÇÇàÆÄÀÏÀº Ç¥ÀûÀÇ »óÅ¿¡ µû¶ó 32ºñÆ®¿Í 64ºñÆ® µå¶óÀ̹ö¸¦ ¼³Ä¡Çϸç, ¸ðµç ¼³Ä¡ °úÁ¤À» ·Î±ëÇÑ´Ù.
ÀÌ ¼³Ä¡ ÆÄÀÏÀº NDISProxy¸¦ ÅëÇØ ¿ÀÅä·±(ÀÚµ¿ ½ÇÇà)¿¡ ½º½º·Î¸¦ µî·ÏÇÔÀ¸·Î½á ½Ã½ºÅÛ¿¡ ³²¾ÆÀÖ°Ô µÈ´Ù. ¶ÇÇÑ ¾ÏÈ£ÈµÈ Àθ޸𸮠Ʈ·ÎÀ̸ñ¸¶¸¦ ½Ã½ºÅÛ ·¹Áö½ºÆ®¸®¿¡ ÁÖÀÔ½ÃÅ°±âµµ ÇÑ´Ù. ³×Æ®¿öÅ© ÇÊÅ͸µ µå¶óÀ̹öÀÎ NDISProxy´Â À̸¦ º¹È£ÈÇÏ¿© ¸Þ¸ð¸®¿¡ ÁÖÀÔÇÏ°í, 3389 Æ÷Æ®(¿ø°Ý µ¥½ºÅ©Åé ÇÁ·ÎÅäÄÝ, RDP)·ÎÀÇ Æ®·¡ÇÈÀ» °É·¯³½´Ù. ±×¸®°í ¿©±â¿¡ C&C¿ÍÀÇ Æ®·¡ÇÈÀ» »ðÀÔÇÑ´Ù.
ÃÖÁ¾ÀûÀ¸·Î ÇÇÇØÀÚ ½Ã½ºÅÛ¿¡ ¿Ã¶óŸ´Â ÆäÀ̷εå´Â C++ Æ®·ÎÀ̸ñ¸¶·Î, HTTPS ¼¹öÀÎ °Íó·³ ÀÛµ¿Çϸç, C&C ¼¹ö·ÎºÎÅÍÀÇ Åë½ÅÀ» °è¼ÓÇؼ ±â´Ù·È´Ù°¡ ÀÛµ¿ÇÑ´Ù. ¸ÕÀú ¿¬¶ôÀ» ÃëÇÏ´Â ÀÏÀº ¾ÆÁ÷±îÁö ¹ß°ßµÇÁö ¾Ê¾Ò´Ù.
ÀÌ ¼¼ °¡Áö ¸ðµâ(¼³Ä¡ÆÄÀÏ, µå¶óÀ̹ö, Æ®·ÎÀ̸ñ¸¶)À» »ç¿ëÇÔÀ¸·Î½á °ø°ÝÀÚµéÀº °¨¿°µÈ ÀÎÇÁ¶ó ³»¿¡¼ ȾÀûÀ¸·Î, Á¶¿ëÇÏ°Ô ¿òÁ÷ÀÏ ¼ö ÀÖ´Ù. ÇÏÁö¸¸ °¨¿°½ÃŲ È£½ºÆ®°¡ LAN IP¸¸À¸·Î ±¸¼ºµÇ¾î ÀÖÀ» °æ¿ì, C&C ¼¹ö¿ÍÀÇ Åë½ÅÀ» ÇÒ ¼ö ¾ø°Ô µÈ´Ù. ÀÌ·± °æ¿ì, ¾î½º¿ú(Earthworm)À̶ó´Â SOCKS Åͳη¯°¡ »ç¿ëµÈ´Ù.
¡°»Ó¸¸ ¾Æ´Ï¶ó ÆÄÀÏ °øÀ¯(135¹ø Æ÷Æ®, SMB)¸¦ ã±â À§ÇØ ½ºÄµ¶óÀÎ(Scanline) ³×Æ®¿öÅ© ½ºÄ³³Ê¸¦ »ç¿ëÇϱ⵵ ÇÕ´Ï´Ù. ±×·± ÈÄ Å°·Î°Å·Î ½Ã½ºÅÛÀ» ħÇØÇØ °ü¸®ÀÚ ºñ¹Ð¹øÈ£¸¦ ÆľÇÇÑ ÈÄ ¸Ö¿þ¾î¸¦ ÆÛÆ®¸³´Ï´Ù.¡± Ä«½ºÆÛ½ºÅ°ÀÇ ¼³¸íÀÌ´Ù.
ÃÖÁ¾ÀûÀ¸·Î ÁÖÀԵǴ Ʈ·ÎÀ̸ñ¸¶´Â ¿ÏÀüÇÑ ±â´ÉÀ» °¡Áö°í ÀÖ´Â RAT·Î, °ø°ÝÀÚµéÀº ÀÌ Æ®·ÎÀ̸ñ¸¶¸¦ ÅëÇØ ¿ø°ÝÀÇ ±â±â¿¡ ¿©·¯ °¡Áö ¸í·ÉÀ» ½ÇÇà½Ãų ¼ö ÀÖ°Ô µÈ´Ù. ÆÄÀÏ ´Ù¿î·Îµå ¹× ¾÷·Îµå µîÀÌ ¿©±â¿¡ Æ÷ÇԵǸç, µ¥ÀÌÅÍ ¼öÁý, ȾÀû ¿òÁ÷ÀÓ µîÀÌ ¿©±â¿¡ Æ÷ÇԵȴÙ.
¾î½º¿ú Åͳη¯´Â Áß±¹¾î¸¦ »ç¿ëÇÏ´Â »çÀ̹ö °ø°ÝÀÚµé »çÀÌ¿¡¼ ÈçÈ÷ »ç¿ëµÇ´Â µµ±¸·Î, À̰͸¸ ºÁ¼´Â ·°Å°¸¶¿ì½º¸¦ ƯÁ¤ Áþ±â ¾î·Æ´Ù. ±×·¯³ª °ø°ÝÀÚµéÀÌ ÅͳÎÀ» »ý¼ºÇϱâ À§ÇØ »ç¿ëÇÑ ¸í·É Áß Çϳª°¡ ÀÌÀü ·°Å°¸¶¿ì½º ¼¹ö¿¡¼ ¹ß°ßµÈ °ÍÀ̶ó°í Ä«½ºÆÛ½ºÅ°´Â ¼³¸íÇÑ´Ù. ¡°ÀÌ Á¡°ú °ø°Ý Ç¥ÀûµéÀ» º¸¸é ·°Å°¸¶¿ì½º¹Û¿¡ ³ª¿Ã ¼ö°¡ ¾ø½À´Ï´Ù.¡±
±×·¯¸é¼ Ä«½ºÆÛ½ºÅ°´Â Áß±¹¾î¸¦ »ç¿ëÇÏ´Â °ø°ÝÀÚµé »çÀÌ¿¡¼ ÃÖ±Ù »õ·Î¿î È帧ÀÌ ÀÏ°í ÀÖ´Ù°í °æ°íÇÑ´Ù. ¡°¿äÁò Áß±¹ °ø°ÝÀÚµéÀº ¸ÞŸ½ºÇ÷ÎÀÕ(Metasploit)À̳ª ÄÚ¹ßÆ®½ºÆ®¶óÀÌÅ©(CobaltStrike) µî µ·¸¸ ÁÖ¸é ±¸¸ÅÇÒ ¼ö ÀÖ´Â ¡®°ø°³µÈ¡¯ Åø°ú ÀڽŵéÀÌ Á÷Á¢ ¸¸µç ¸Ö¿þ¾î¸¦ È¥ÇÕÇؼ »ç¿ëÇÕ´Ï´Ù. ¶ÇÇÑ ±êÇãºê¿Í °°Àº ÄÚµå ÀúÀå¼Ò¿¡¼ ¸¹Àº Äڵ带 Â÷¿ëÇϱ⵵ ÇÏ°í¿ä. ÀÌ ¶§¹®¿¡ °ø°Ý ÁÖü¸¦ ÃßÃøÇϱⰡ ´õ Èûµé¾îÁö°í ÀÖ½À´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. Áß±¹ÀÇ »çÀ̹ö °ø°Ý ´Üü ·°Å°¸¶¿ì½º, µðÁöÅÐ ¼¸íµÈ ³×Æ®¿öÅ© ÅëÇØ Ç¥Àû °ø°Ý ½Ç½Ã.
2. ÃÖÁ¾ ÆäÀ̷εå´Â Á¤Âû ±â´É ´Ù °®Ãá Æ®·ÎÀ̸ñ¸¶. C&C·ÎºÎÅÍ Åë½Å ¿Ã ¶§±îÁö °¡¸¸È÷ ±â´Ù¸®°í ÀÖÀ½.
3. ÃÖ±Ù Áß±¹ °ø°ÝÀÚµéÀº ´©±¸³ª ±¸¸Å °¡´ÉÇÑ Åø°ú ÀÚü Á¦ÀÛ ¸Ö¿þ¾î È¥ÇÕÇؼ »ç¿ë.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>