´©±¸³ª »ì ¼ö ÀÖ´Â ¸Ö¿þ¾î...°ø°ÝÀÚ ÆľÇÇÏ´Â µ¥ ¾î·Á¿ò ÁÖ´Â ¿ä¼Ò
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] º£Å¸º¿(Betabot) ¸Ö¿þ¾î¸¦ È°¿ëÇÑ »õ·Î¿î ¾Ç¼º Ä·ÆäÀÎÀÌ ¹ß°ßµÆ´Ù. º£Å¸º¿Àº Áö³ 8¿ù º¸¾È ¾÷ü Ä«½ºÆÛ½ºÅ°(Kaspersky)°¡ ¹ß°ßÇÑ ¹Ù ÀÖ´Â °ÍÀÌÁö¸¸, À̹ø¿¡ ¹ß°ßµÈ Ä·ÆäÀÎÀº ±×°Í°ú´Â º°°³ÀÇ °ÍÀ¸·Î º¸ÀδÙ.
[À̹ÌÁö = iclickart]
ÃÖ±Ù Ä·ÆäÀÎÀ» ¹ß°ßÇÑ °Ç º¸¾È ¾÷ü »çÀ̹ö¸®Áð(Cybereason)À¸·Î, ¼ö¼® À§Çù ºÐ¼® Ã¥ÀÓÀÚÀÎ ¾Æ»çÇÁ ´ÙÇÑ(Assaf Dahan)¿¡ ÀÇÇÏ¸é ¡°¾ó¸¶ Àü Ä«½ºÆÛ½ºÅ°°¡ ¹ßÇ¥ÇÑ Ä·ÆäÀΰú´Â Àü·« ¹× °ø°Ý ÁøÇà ¹æ½Ä¿¡¼ Â÷À̸¦ º¸Àδ١±°í ÇÑ´Ù. ¡°Àü¿¡ ºñÇØ Ç¥ÀûÇü °ø°ÝÀÇ Æ¯Â¡ÀÌ ¸¹ÀÌ Åð»öµÆ°í, ÇÇ½Ì À̸ÞÀÏÀ» ÅëÇØ ¸¶±¸ ÆÛÁö°í Àְŵç¿ä.¡±
¾ÆÁ÷ »çÀ̹ö¸®ÁðÀº °ø°ÝÀÇ ¹èÈÄ¿¡ ÀÖ´Â ÀÚ°¡ ´©±¸ÀÎÁö ¾ËÁö ¸øÇÑ´Ù. ¡°º£Å¸º¿ÀÇ ¼Ò½ºÄÚµå¿Í ¿À·¡µÈ ºô´õµéÀº ¿Â¶óÀÎ ÇØÅ· Æ÷·³¿¡ ³Î¸® ÆÛÁ® ÀÖ½À´Ï´Ù. ¾à 200´Þ·¯ Á¤µµ¸é ´©±¸³ª ±¸¸Å°¡ °¡´ÉÇÏÁÒ.¡± ´ÙÇÑÀÇ ¼³¸íÀÌ´Ù. ¡°´©±¸¶óµµ °ø°ÝÀÚ°¡ µÉ ¼ö ÀÖ´Ù´Â ¶æÀÔ´Ï´Ù.¡±
¶ÇÇÑ ´ÙÇÑÀº ¡°º£Å¸º¿ÀÇ °¨¿°ÀÌ ¼Ò¼È ¿£Áö´Ï¾î¸µÀ» ÅëÇÑ ÇÇ½Ì °ø°ÝÀÇ ÇüÅ·ΠÀÌ·ïÁö´Â °ÍÀ¸·Î º¸Àδ١±°í ¼³¸íÇÑ´Ù. ¡°°ø°ÝÀÚ°¡ »ç¿ëÀÚ¸¦ ¼³µæÇØ ¿öµå ¹®¼¸¦ ´Ù¿î·Îµå ¹Þ¾Æ ¿µµ·Ï ÇÕ´Ï´Ù. ¹°·Ð ÀÌ ¹®¼´Â °¡Â¥°í, À̸ÞÀÏ¿¡ ÷ºÎµÇ¾î Àü´ÞµË´Ï´Ù.¡±
º£Å¸º¿Àº ´º·¹ºêÆ®(Neurevt)¶ó°íµµ ¾Ë·ÁÁ® ÀÖÀ¸¸ç, 2012³â ÈĹݱ⿡ óÀ½ µîÀåÇß´Ù. ¡°¿ø·¡´Â ¹ðÅ· Æ®·ÎÀ̸ñ¸¶ÀÇ ÀÏÁ¾À̾ú½À´Ï´Ù. ±×·±µ¥ Á¡Á¡ ¾÷±×·¹À̵带 °ÅÃÄ ÇöÀç´Â °ø°ÝÀÚ°¡ ÇÇÇØÀÚÀÇ ½Ã½ºÅÛÀ» ¿ÏÀüÈ÷ Àå¾ÇÇÏ°í ¹Î°¨ÇÑ Á¤º¸¸¦ ÈÉÃÄ´ÙÁÖ´Â ±â´É±îÁöµµ °®°Ô µÇ¾úÁÒ.¡± ÇöÀç º£Å¸º¿ÀÌ °¡Áö°í ÀÖ´Â ±â´ÉÀ¸·Î´Â ¾ç½Ä Å»Ãë, FTP ¹× ¸ÞÀÏ Å¬¶óÀ̾ðÆ® Å»Ãë, ¹ðÅ· ¹× USB °¨¿°, À¯Àú·£µå ·íÅ°Æ®, ¼ÐÀ» ÅëÇÑ ¸í·É ½ÇÇà, Ãß°¡ ¸Ö¿þ¾î ´Ù¿î·Îµå, ½Ã½ºÅÛ ³» ¿À·¡ ¸Ó¹«¸£±â, ¾ÏÈ£ÈÆä ä±¼ µîÀÌ ÀÖ´Ù.
º£Å¸º¿Àº ½Ã½ºÅÛ¿¡ ¿À·¡ ³²¾ÆÀÖ±â À§ÇØ ¿Â°® ¹æ¹ýµéÀ» ´Ù µ¿¿øÇÑ´Ù. ¡°¾ÈƼ µð¹ö±ë(anti-debugging), ¾ÈƼ °¡»ó±â°è(anti-virtual machine), ¾ÈƼ »÷µå¹Ú½º(anti-sandbox), ¾ÈƼ µð½º¾î¼Àºí¸®(anti-disassembly) ±â´ÉÀ» ¹ßÈÖÇØ º¸¾È ¹× ºÐ¼® Á¦Ç°ÀÌ ÀÖ´ÂÁö È®ÀÎÇÕ´Ï´Ù. ±×¸®°í ¶Ç ´Ù¸¥ ¸Ö¿þ¾î°¡ ÀÖ´ÂÁöµµ »ìÇÇ°í¿ä. ÀÌ°Í ¿ª½Ã ½Ã°£ÀÇ È帧¿¡ µû¶ó ¾÷±×·¹ÀÌµå µÈ ºÎºÐÀÔ´Ï´Ù.¡±
±×·¸´Ù¸é ÇöÀç º£Å¸º¿ÀÇ °¨¿°Àº ¾î¶»°Ô ÀÌ·ïÁú±î? ¡°¸ÕÀú´Â ¼Ò¼È ¿£Áö´Ï¾î¸µ °ø°ÝÀÌ µé¾î°©´Ï´Ù. »ç¿ëÀÚµéÀÌ ¿öµå ¹®¼¸¦ ¹Þ¾Æ¼ ¿µµ·Ï Çϴµ¥¿ä, ÀÌ ÆÄÀÏÀº CVE-2017-11882·Î ¾Ë·ÁÁø Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÕ´Ï´Ù. ¿ÀÇǽº ³» °ø½Ä ÆíÁý±â Åø¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡ÀÌÁÒ. ÀÌ ´Ü°è¸¦ Åë°úÇϸé ÀÌ ¾Ç¼º ¹®¼°¡ dqfm.cmd¸¦ ½ÇÇàÇÕ´Ï´Ù. ±×·¯¸é hondi.cmd¶ó´Â °ÍÀÌ »ý¼ºµË´Ï´Ù.¡±
ÀÌ hondi.cmd´Â º»°ÝÀûÀÎ °¨¿°À» À§ÇÑ Áغñ ÀÛ¾÷À» ´ã´çÇϴµ¥, ±×°Ç ¹Ù·Î º£Å¸º¿ÀÇ µå·ÎÆÛÀÎ mondi.exe¸¦ ½ÇÇàÇÏ´Â °ÍÀÌ´Ù. mondi.exe°¡ ½ÇÇàµÇ¸é º£Å¸º¿ ·Î´õÀÇ ¾ÐÃàÀÌ Ç®¸®°í, ¾ÏÈ£ÈµÈ ÆäÀ̷ε尡 ³ªÅ¸³´Ù. ÀÌ ÆäÀ̷εå´Â ÀÚ½Ä ÇÁ·Î¼¼½º(child process)·Î ÁÖÀԵȴÙ. ±×·± ÈÄ º£Å¸º¿Àº ÇöÀç µ¹¾Æ°¡´Â ¸ðµç ÇÁ·Î¼¼½ºµéÀ» °üÂûÇÑ´Ù. Ãß°¡ ÁÖÀÔÀ» À§ÇÑ Àå¼Ò¸¦ ¹°»öÇÏ´Â °ÍÀÌ´Ù.
´ÙÇÑÀº ¡°ÇϳªÀÇ ÇÁ·Î¼¼½º°¡ ¾Æ´Ï¶ó ¿©·¯ ÇÁ·Î¼¼½º¿¡ ÁÖÀԵǴ °ÍÀÌ ´ëºÎºÐ¡±À̶ó°í ¼³¸íÇÑ´Ù. ¡°±×·¡¾ß ÃÖ´ëÇÑ ¿À·¡, ³ôÀº È®·ü·Î »ì¾Æ³²À» ¼ö ÀÖÀ¸´Ï±î¿ä. ÇÑ ÇÁ·Î¼¼½º°¡ Áߴܵȴٰí Çصµ ´ÙÀ½ ÇÁ·Î¼¼½º·Î °ø°ÝÀ» °è¼ÓÇÒ ¼ö ÀÖ´Ù´Â °£´ÜÇÑ ³í¸®°¡ ¼º¸³µË´Ï´Ù.¡±
º£Å¸º¿ÀÌ ÁÖÀԵǴ µÎ ¹ø° ÇÁ·Î¼¼½º´Â ÁÖ·Î explorer.exe¶ó°í »çÀ̹ö¸®ÁðÀº ¼³¸íÇÑ´Ù. ¡°½ÉÁö¾î ¸Æ¾ÆÇÇ(McAfee) Á¦Ç°ÀÇ ÇÁ·Î¼¼½º¿¡ ÁÖÀԵǴ °æ¿ìµµ ºÃ¾î¿ä. shtat.exe¿´ÁÒ. ÀÌ·¸°Ô ¾Ë¸ÂÀº ÇÁ·Î¼¼½º¿¡ ÀÚ¸®¸¦ ÀâÀº ÈÄ¿¡ º£Å¸º¿Àº C&C ¼¹ö·ÎÀÇ ¿¬°áÀ» ½ÃµµÇÕ´Ï´Ù.¡±
»çÀ̹ö¸®ÁðÀº º£Å¸º¿ÀÌ ¸Å¿ì ÁýÂøÀÌ ½ÉÇÑ ¸Ö¿þ¾î¶ó°í ¼³¸íÇÑ´Ù. ŽÁö¸¦ ÇÇÇÏ°í ÃÖ´ëÇÑ ¿À·¡ ¸Ó¹«¸£·Á°í ¿Â°® ¹æ¹ýÀ» ´Ù »ç¿ëÇϱ⠶§¹®ÀÌ´Ù. ¡°·¹Áö½ºÆ®¸® Äõ¸®¸¦ ÅëÇØ °¡»ó ȯ°æÀ» ŽÁöÇϱ⵵ ÇÏ°í, °¡»ó ±â±â º¥´õ À̸§µµ ÆľÇÇÏ·Á°í ÇÕ´Ï´Ù. ƯÁ¤ µå¶óÀ̹ö °³¹ß»çÀÇ ÆÄÀϵéÀ» °Ë»öÇϱ⵵ ÇÏ°í¿ä. »÷µå¹Ú½ºÀÇ °æ¿ì¿¡µµ ºñ½ÁÇÕ´Ï´Ù. º¸¾È ¹× ºÐ¼® ¼Ö·ç¼ÇÀÌ ÀÖ´Ù¸é, ¾ÆÁÖ ÀÛÀº ÈùÆ®¶óµµ ³õÄ¡Áö ¾Ê°Ú´Ù´Â ÀÇÁö°¡ º¸ÀÏ Á¤µµÀÔ´Ï´Ù.¡±
Áý¿äÇÑ º£Å¸º¿Àº 30°³ÀÇ Àα⠳ôÀº ¾ÈƼ ¸Ö¿þ¾î Á¦Ç°µéÀ» ã¾Æ³»¾î ÀϺΠ»èÁ¦Çϱ⵵ ÇÑ´Ù. ¡°ÀÚ½ÅÀÇ Á¸À縦 À§ÇùÇÏ´Â °ÍÀ» ÃÖ´ëÇÑ ¸¹ÀÌ ¾ø¾Ö´Â °Í¿¡ ±²ÀåÇÑ ²Ä²ÄÇÔÀ» º¸ÀÔ´Ï´Ù. ¿©±â¿¡´Â º¸¾È ¼Ö·ç¼Ç¸¸ÀÌ ¾Æ´Ï¶ó ´Ù¸¥ ¸Ö¿þ¾îµµ Æ÷ÇԵ˴ϴÙ. ´Ù¸¥ ¸Ö¿þ¾î ¶§¹®¿¡ ¾Ö²â°Ô º¸¾È ±â´ÉÀÌ ½ÃÀ۵Ǵ °É ¸·´Â °Ì´Ï´Ù.¡±
¸Ö¿þ¾î¸¦ ã´Â ³ë·Âµµ Áý¿äÇÏ´Ù. ¡°½ÉÁö¾î ÃÖ±Ù À¯ÇàÇÏ´Â ÆÄÀÏ·¹½º ¸Ö¿þ¾î±îÁöµµ ã¾Æ³»·Á´Â ±â´ÉÀ» °®Ãß°í ÀÖ½À´Ï´Ù. ÀÌ Á¤µµ¸é º¸¾È ¾÷°è¿Í »çÀ̹ö ¹üÁË ½ÃÀå ¸ðµÎ¿¡¼ °ø°øÀÇ ÀûÀ̶ó°í ºÁµµ µÉ Á¤µµÀÔ´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. ¿ø·¡ ¹ðÅ· Æ®·ÎÀ̸ñ¸¶¿´´ø º£Å¸º¿, ¼ö³â °£ ¾÷±×·¹ÀÌµå °ÅÃÄ º¹ÇÕÀûÀÎ ¸Ö¿þ¾î·Î Àçź»ý.
2. ¹üÁË ½ÃÀå¿¡¼ 200´Þ·¯ Á¤µµ¿¡ °Å·¡µÇ°í ÀÖ¾î, °ø°ÝÀÚµé »çÀÌ¿¡¼ Àα⠱ÞÁõ.
3. º£Å¸º¿ÀÇ Æ¯Â¡Àº Áý¿äÇÔ. º¸¾È Á¦Ç°°ú ´Ù¸¥ ¸Ö¿þ¾î »ô»ôÀÌ µÚÁ®³»´Â ¸é¿¡¼ ¶Ù¾î³².
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>