ÃÖÁ¾ ÆäÀ̷εå´Â ¿¡ÀÌÀüÆ® Å×½½¶ó¿Í ·ÎÅ°...µÑ ´Ù Á¤º¸ Å»ÃëÇü ¸Ö¿þ¾î
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾Ç¼º RTF ÆÄÀÏÀ» »ç¿ëÇØ Á¤º¸¸¦ Å»ÃëÇÏ´Â °ø°Ý Ä·ÆäÀÎÀÌ ½Ã½ºÄÚ Å»·Î½º(Cisco Talos) ÆÀ¿¡ ÀÇÇØ ¹ß°ßµÆ´Ù. °ø°ÝÀº ¿©·¯ ´Ü°è¿¡ °ÅÃÄ ÁøÇàµÇ¸ç, ¹é½ÅÀÇ Å½Áö¸¦ ¿ìȸÇϱâ À§ÇÑ ¹æ¹ýµµ »ç¿ëÇÏ°í ÀÖ¾ú´Ù°í ÇÑ´Ù. ÃÖÁ¾ ÆäÀ̷εå´Â ¿©·¯ °¡ÁöÀε¥ ¿¡ÀÌÀüÆ® Å×½½¶ó Æ®·Î¾á(Agent Tesla Trojan)°ú ·ÎÅ°(Loki)µµ Æ÷ÇԵǾî ÀÖ´Ù°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
°ø°ÝÀÇ Ã³À½Àº ¾Ç¼º ¹®°ÇÀÌ´Ù. CVE-2017-11882 Ãë¾àÁ¡À» ³ë¸° °ÍÀ¸·Î, ÀÌ Ãë¾àÁ¡Àº 1³â Àü ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®°¡ ÆÐÄ¡ÇÑ °ÍÀÌ´Ù. ´ç½Ã¿¡µµ °ø°ÝÀÚµéÀÌ ÀÌ Ãë¾àÁ¡À» Áß½ÉÀ¸·Î ±¸¼ºµÈ °ø°Ý ÀÎÇÁ¶ó¸¦ ÅëÇØ ¿¡ÀÌÀüÆ® Å×½½¶ó¿Í ·ÎÅ°¸¦ ¹èÆ÷ÇÏ°í ÀÖ¾ú´Ù. ±×·±µ¥ 1³âÀÌ Áö³ª µ¿ÀÏÇÑ °ø°ÝÀÌ ¶Ç ´Ù½Ã ¹ß°ßµÈ °ÍÀÌ´Ù. ½ÉÁö¾î ¿¡ÀÌÀüÆ® Å×½½¶ó¿Í ·ÎÅ° ¿Ü¿¡ °¡¸¶·ç(Gamarue) °°Àº ´Ù¸¥ ¸Ö¿þ¾î°¡ ¹èÆ÷µÇ°í Àֱ⵵ Çß´Ù.
¿¡ÀÌÀüÆ® Å×½½¶ó µîÀ» ¹èÆ÷ÇÏ´Â RTF ÆÄÀÏÀº ¹ÙÀÌ·¯½ºÅäÅ»(VirusTotal)ÀÇ ¸ÖƼ¿£Áø ¹é½Å ½ºÄ³´× À¥»çÀÌÆ®¿¡¼ °ÅÀÇ Å½ÁöµÇÁö ¾Ê´Â´Ù°í Å»·Î½º ÆÀÀº ¼³¸íÇÑ´Ù. ¡°¿ÀÇǽºÀÇ ¼ö½Ä ÆíÁý±â(Equation Editor)ÀÇ Ãë¾àÇÑ ºÎºÐÀ» ¾Ç¿ëÇØ ÆÄÀÏÀ» ´Ù¿î·Îµå ¹Þ°í scvhost.exe¶ó´Â ÇÁ·Î¼¼½º¸¦ »ý¼ºÇÕ´Ï´Ù. ±×·¸°Ô ÇÏ°í ³ª¼ ½º½º·ÎÀÇ ¶Ç ´Ù¸¥ ÀνºÅϽº¸¦ ¸¸µé°í C&C Åë½ÅÀ» ½ÃÀÛÇÕ´Ï´Ù.¡±
RTF ÆÄÀÏÀº ¸ÅÅ©·Î ¾ð¾î¸¦ ȣȯÇÏÁö ¾Ê´Â´Ù. ÇÏÁö¸¸ MSÀÇ °´Ã¼ ¿¬°è ¸ÅÀÔ(OLE) °´Ã¼µé°ú ¸ÅŲÅä½Ã ¿¡µð¼Ç °ü¸®ÀÚ(Macintosh Edition Manager)ÀÇ ±¸µ¶ÀÚ °´Ã¼µéÀº ȣȯÀÌ µÈ´Ù. Áï °ø°ÝÀÚµéÀº RTF ³»¿¡ °´Ã¼µéÀ» ¿¥º£µå ÇÏ´Â ¹æ½ÄÀ¸·Î ¼ö½Ä ÆíÁý±â¸¦ ¾Ç¿ëÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ ÀÌ·¸°Ô ÇÔÀ¸·Î½á °íÂ÷¿øÀûÀÎ ³µ¶È±îÁö Àû¿ëµÈ´Ù.
¡°ÀÌ¿Í ¶È°°Àº ¹æ½ÄÀ¸·Î ½Ã½ºÅÛÀ» °¨¿°½ÃÅ°´Â Ä·ÆäÀÎÀ» ¸î °³ ´õ ¹ß°ßÇß½À´Ï´Ù. ´Ù¸¸ ÃÖÁ¾ ÆäÀ̷ε尡 ´Þ¶ú½À´Ï´Ù. Å×½½¶ó°¡ ¾Æ´Ï¶ó ·ÎÅ°¿´°Åµç¿ä.¡± ½Ã½ºÄÚÀÇ ¼³¸íÀÌ´Ù.
¿¡ÀÌÀüÆ® Å×½½¶ó´Â ±âº»ÀûÀ¸·Î Á¤º¸¸¦ Å»ÃëÇÏ´Â ¸Ö¿þ¾îÀÌÁö¸¸, Ãß°¡ÀûÀÎ ¸Ö¿þ¾î¸¦ ´Ù¿î·Îµå ¹Þ´Â ±â´Éµµ °¡Áö°í ÀÖ´Ù. ¶ÇÇÑ ÇÕ¹ýÀûÀ¸·Î ¿î¿µÇÏ´Â ±â¾÷ÀÌ ¾çÁö¿¡¼ ÆǸÅÇÏ°í ÀÖ´Â ¼ÒÇÁÆ®¿þ¾îÀ̱⵵ ÇÏ´Ù. ÀÌ È¸»ç´Â ¿¡ÀÌÀüÆ® Å×½½¶ó¸¦ µÎ°í, ¡°ºñ¹Ð¹øÈ£ º¹±¸ ¹× ÀÚ³à ¸ð´ÏÅ͸µ¿¡ ÀûÇÕÇÑ Á¦Ç°¡±À̶ó°í ¼³¸íÇÏ°í ÀÖ´Ù. ÇÏÁö¸¸ ¹üÁËÀÚµéÀº ÀÌ Å×½½¶ó¸¦ È°¿ëÇØ ºñ¹Ð¹øÈ£µéÀ» ÈÉÃij»°í ÀÖ´Ù.
¿¡ÀÌÀüÆ® Å×½½¶ó´Â ºñ¹Ð¹øÈ£¸¦ Å»ÃëÇϱâ À§ÇØ Å©·Ò, ÆÄÀ̾îÆø½º, ÀÎÅÍ³Ý ÀͽºÇ÷η¯, ¾áµ¦½º, ¿ÀÆä¶ó, ¾Æ¿ô·è, ½ã´õ¹öµå, ÀÎÅ©·¹µð¸ÞÀÏ(IncrediMail), À¯µµ¶ó(Eudora), ÆÄÀÏÁú¶ó(FileZilla), À©SCP(WinSCP), FTP ³»ºñ°ÔÀÌÅÍ(FTP Navigator), ÆÈÅäÅ©(Paltalk), ÀÎÅÍ³Ý ´Ù¿î·Îµå °ü¸®ÀÚ(Internet Download Manager), J´Ù¿î·Î´õ(JDownloader), ¾ÖÇà ŰüÀÎ(Apple Keychain), ½Ã¸ÛÅ°(SeaMonkey), Äڸ𵵠µå·¡°ï(Comodo Dragon), Ç÷Ï(Flock), µòDNS(DynDNS) µîÀ» °Ü³ÉÇØ °ø°ÝÇÑ´Ù.
¿¡ÀÌÀüÆ® Å×½½¶ó¿¡´Â SMTP, FTP, HTTP¸¦ ÅëÇÑ Á¤º¸ À¯Ãâ ±â´ÉÀÌ Æ÷ÇԵǾî ÀÖ´Ù. ÇÏÁö¸¸ ÇöÀç±îÁö ¹ß°ßµÈ °Ç ÀüºÎ HTTP POST¸¸À» »ç¿ëÇÏ°í ÀÖ¾ú´Ù. Å×½½¶ó°¡ ÈÉÄ£ Á¤º¸´Â ¾ÏÈ£È µÇ¾î C&C ¼¹ö·Î Àü¼ÛµÈ´Ù.
¡°Å×½½¶ó¸¦ ¾Ç¿ëÇÏ°í ÀÖ´Â ÀÚµéÀº RTF Ç¥ÁØÀ» Àß È°¿ëÇÏ°í ÀÖ½À´Ï´Ù. ¿Ö³ÄÇϸé RTF Ç¥ÁØÀ̶ó´Â °ÍÀÌ »ó´çÈ÷ º¹ÀâÇÏ°Ô ±¸¼ºµÇ¾î Àֱ⠶§¹®ÀÔ´Ï´Ù. ¶ÇÇÑ MS ¿ÀÇǽº Ãë¾àÁ¡¿¡ ´ëÇÑ ±âÁ¸ ÀͽºÇ÷ÎÀÕ ¹æ¹ýÀ» »ì¦ ¼öÁ¤ÇÏ¿© »ç¿ëÇÏ°í Àֱ⵵ ÇÕ´Ï´Ù. °ø°ÝÀÚµéÀÌ À̸¦ Á÷Á¢ ¼öÁ¤ÇÑ °ÇÁö ȤÀº ¼ÐÄڵ带 »ý¼ºÇس»´Â ÅøÀ» »ç¿ëÇؼ ÇÑ °ÇÁö´Â ¾ÆÁ÷ ´õ Á¶»çÇØ¾ß ÇÒ ºÎºÐÀÔ´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. CVE-2017-11882 Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕ ÇÏ´Â RTF·Î ½ÃÀÛÇÏ´Â °ø°Ý ¹ß°ßµÊ.
2. ÀÌ °ø°ÝÀº 1³â Àü¿¡µµ ÀÖ¾úÀ½. ±× ¶§³ª Áö±ÝÀ̳ª ÃÖÁ¾ ÆäÀ̷εå´Â ¿¡ÀÌÀüÆ® Å×½½¶ó ȤÀº ·ÎÅ°.
3. Å×½½¶ó¿Í ·ÎÅ° ¸ðµÎ Á¤º¸ Å»ÃëÇü ¸Ö¿þ¾î. Á¤º¸´Â ¾ÏȣȵǾî C&C ¼¹ö·Î Àü´Þ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>