°ü¸®Àڵ鵵 ¼±È£ÇÏ´Â ÅøÀ̶ó ÇÑÂü µ¿¾È ¾ø¾îÁöÁö ¾ÊÀ» °ÍÀ¸·Î ¿¹»óµÅ
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] »çÀ̹ö º¸¾È ¾÷ü ·¹µå Ä«³ª¸®¾Æ(Red Canary)°¡ ¡°»çÀ̹ö °ø°ÝÀÚµéÀÌ °¡Àå ¼±È£ÇÏ´Â °ø°Ý ÅøÀº ÆÄ¿ö¼Ð¡±À̶ó°í ¹ßÇ¥Çß´Ù. 1¸¸ °³ÀÇ ¡®È®ÀÎµÈ À§Çù¡¯À» ºÐ¼®Çß´õ´Ï ¼ø¼´ë·Î ÆÄ¿ö¼Ð, ½ºÅ©¸³ÆÃ, Regsvr32, ¿¬°á ÇÁ·Ï½Ã(connection proxy), ½ºÇǾîÇÇ½Ì Ã·ºÎÆÄÀÏ, À§ÀåÀÌ ¼±È£µµ°¡ ³ôÀº °ø°Ý ±â¹ýÀÎ °ÍÀ¸·Î ³ªÅ¸³µ´Ù°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
·¹µå Ä«³ª¸®¾Æ´Â ¿¬±¸¸¦ À§ÇØ 5³âÀÌ ³Ñ´Â ±â°£ µ¿¾È ¼ö¹é °÷ÀÌ ³Ñ´Â Á¶Á÷µéÀÇ ¿£µåÆ÷ÀÎÆ®¿¡¼ ¹ß»ýÇÑ °ø°ÝµéÀ» ºÐ¼®Çß´Ù°í ÇÑ´Ù. ÀÌ ¶§ ¾Öµå¿þ¾îó·³ ¡®ºñ¿ä±¸ ÇÁ·Î±×·¥¡¯À¸·Î ºÐ·ùµÇ´Â °ÍµéÀº Åë°è¿¡ Æ÷ÇÔ½ÃÅ°Áö ¾Ê¾Ò´Ù.
ÆÄ¿ö¼ÐÀÌ °¡Àå ÀαⰡ ³ô´Ù´Â ¿¬±¸ °á°ú ÀÚü´Â ±×¸® ³î¶øÁö ¾Ê´Ù. »ç½Ç»ó ¸ðµç À©µµ¿ì ½Ã½ºÅÛ¿¡ ±âº»ÀûÀ¸·Î žÀç°¡ µÇ´Â ±â´ÉÀ̸ç, À©µµ¿ì API¿¡ ´ëÇÑ Á¢±Ù ±ÇÇÑÀ» °¡Áö°í ÀÖÀ¸¸ç, ºñÈ°¼ºÈ µÇ´Â °æ¿ì°¡ °ÅÀÇ ¾ø´Ù. °ø°ÝÀÚ ÀÔÀå¿¡¼´Â 1) °ü¸®ÀÚ±Þ ÇàÀ§¸¦ ½Ç½ÃÇÏ°í 2) ÀÚµ¿È ÀÛ¾÷µéµµ ´Ù·ê ¼ö ÀÖ°Ô ÇØÁÖ¸é¼, 3) Â÷´ÜµÉ °¡´É¼ºµµ ³·´Ù´Â ¶æÀÌ µÈ´Ù.
°Ô´Ù°¡ ÆÄ¿ö¼ÐÀº ¿ÀǼҽº¿Í Å©·Î½ºÇ÷§ÆûÀ̶ó´Â Ư¼ºµµ °¡Áö°í ÀÖ´Ù. ±×·¡¼ ¿¬±¸µµ È°¹ßÈ÷ ÁøÇàµÈ´Ù. À©µµ¿ì, ¸ÆOS, ¸®´ª½º¸¦ ¾Æ¿ì¸£¸ç ÆäÀ̷ε带 ¹èÆ÷ÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â ÆÄ¿ö¼Ð ÅøµéÀÌ ÀÌ¹Ì ¼ö¾øÀÌ °³¹ßµÇ±âµµ Çß´Ù°í ·¹µå Ä«³ª¸®¾Æ´Â ÁöÀûÇß´Ù. ¡°°ø°ÝÀÚµéÀº ÆÄ¿ö¼ÐÀ» »ç¿ëÇØ ·ÎÄà ½ºÅ©¸³Æ®¸¦ ½ÇÇàÇÏ°í, ´Ù¾çÇÑ ³×Æ®¿öÅ© ÇÁ·ÎÅäÄÝÀ» ÅëÇØ ÀÚ¿øÀ» ¿ø°Ý¿¡¼ ¼öÁýÇϰųª ½ÇÇàÇϸç, ÆäÀ̷ε带 ¾ÏÈ£È Çϰųª, ÆÄ¿ö¼ÐÀ» ´Ù¸¥ ÇÁ·Î¼¼½º·Î ·ÎµùÇϱ⵵ ÇÕ´Ï´Ù.¡±
ÆÄ¿ö¼ÐÀ» °ø°Ý¿¡ È°¿ëÇÏ´Â °ÍÀ¸·Î ¾Ë·ÁÁø °ø°Ý ±×·ì Áß¿¡´Â Åжó(Turla)°¡ ÀÖ´Ù°í ·¹µå Ä«³ª¸®¾Æ´Â ¼³¸íÇÑ´Ù. ¡°Åжó ÇØÄ¿µéÀº °¨¿° ÈÄ¿¡ ¹ßµ¿½ÃÅ°´Â ½ÇÇà ÆÄÀϵéÀ» ÅëÇؼ ¾Ç¼º ÆÄ¿ö¼Ð ½ºÅ©¸³Æ®¸¦ ¸Þ¸ð¸® ³»¿¡ Á÷Á¢ ·ÎµùÇÕ´Ï´Ù.¡± ÄÚ¹ßÆ®(Cobalt)¶ó´Â ÇØÅ· ´Üüµµ ÆÄ¿ö¼ÐÀ» Àû±Ø È°¿ëÇÑ´Ù. ¡°ÄÚ¹ßÆ® ÇØÄ¿µéÀº °ø°ÝÀÇ ³ªÁß ´Ü°è¿¡¼ ÆÄ¿ö¼Ð ÀνºÅϽº¸¦ ´Ù¾çÇÏ°Ô È°¿ëÇÏ´Â °ÍÀ¸·Î À¯¸íÇÕ´Ï´Ù.¡±
ÀÌ·± ÆÄ¿ö¼Ð °ø°Ý¿¡ °¡Àå ¸¹ÀÌ ³ëÃâµÈ »ê¾÷Àº Åë½Å, ±³À°, ¿¡³ÊÁö, ±ÝÀ¶, Á¤ºÎ. ÀÇ·á, ¹Ìµð¾î µî ÃÑ 15°³´Ù. ÀÌ ¸ðµç »ê¾÷¿¡¼ ÆÄ¿ö¼ÐÀº ¡°°¡Àå ºó¹øÇÑ À§Çù 1~3À§¡±¸¦ ±â·ÏÇßÀ» Á¤µµ·Î ÀαⰡ ³ô¾Ò´Ù. ¡°ÆÄ¿ö¼ÐÀº °ü¸®Àڵ鵵 ¼±È£ÇÏ´Â ÅøÀ̶ó ¾Æ¹«¸® °ø°ÝÀÚµéÀÌ ÀÚÁÖ »ç¿ëÇÑ´Ù°í Çصµ »ç¶óÁöÁö´Â ¾ÊÀ» °Ì´Ï´Ù. ±×·¯¹Ç·Î ÆÄ¿ö¼ÐÀÇ ¾Ç¿ëÀ» ¿¬±¸Çؼ ±× ¹æ¾î¹ýÀ» ¹Ì¸® ¸¶·ÃÇÏ´Â Á¶Á÷µéÀº º¸¾ÈÀÇ Ãø¸é¿¡¼ À¯¸®ÇÑ °íÁö¸¦ ¼±Á¡ÇÒ ¼ö ÀÖÀ» °Ì´Ï´Ù.¡±
±×·¸´Ù¸é ÆÄ¿ö¼Ð °ø°ÝÀº ¾î¶»°Ô ¸·¾Æ¾ß ÇÏ´Â °É±î? ¡°º¸¾ÈÀÇ ±âº»ÀûÀÎ ½Çõ »çÇ×À» ÁöÅ°´Â °Ç ¸» ±×´ë·Î ±âº»ÀÔ´Ï´Ù. ±×·¯¸é¼ ÆÄ¿ö¼ÐÀ» ÇØÄ¿µéÀÌ ¾î¶»°Ô »ç¿ëÇÏ´ÂÁö ÀÌÇØÇØ¾ß ÇÕ´Ï´Ù. ÆÄ¿ö¼Ð °ø°Ý ÇöȲ¿¡ ´ëÇÑ Ã¸º¸µµ ºÎÁö·±È÷ °øÀ¯ÇØ¾ß ÇÏ°í¿ä. ÆÄ¿ö¼Ð °ø°Ý ½Ã³ª¸®¿À´Â ¹«±Ã¹«ÁøÇϱ⠶§¹®¿¡ ¹æ¾îÀÚµé »çÀÌ¿¡¼ÀÇ Á¤º¸ °øÀ¯°¡ ÇʼöÀûÀÔ´Ï´Ù.¡± ·¹µå Ä«³ª¸®¾ÆÀÇ ¼³¸íÀÌ´Ù.
ÇÑÆí ½ºÅ©¸³Æà ±â¹ý¿¡¼µµ Ä¿´Ù¶õ ¹ßÀüÀÌ ÀÖ¾ú´ø °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ·¹µå Ä«³ª¸®¾ÆÀÇ º¸°í¼¿¡ ÀÇÇÏ¸é ¡°ÀÌ ¶§¹®¿¡ W½ºÅ©¸³Æ®¿Í C½ºÅ©¸³Æ®¿¡ ´õÇØ SXSL ½ºÅ©¸³Æ®¿Í°ú WMIC ½ºÅ©¸³Æ®µµ °ø°Ý¿¡ È°¿ëµÇ±â ½ÃÀÛÇß½À´Ï´Ù. Áï °ø°Ý °æ·Î°¡ ´Ù¾çÇØÁø °ÍÀ̶ó°í º¼ ¼ö ÀÖ½À´Ï´Ù.¡±
Áß±¹ÀÇ »çÀ̹ö °ø°Ý ´ÜüÀÎ APT1ÀÌ ¹èÄ¡ ½ºÅ©¸³Æ®¸¦ »ç¿ëÇÏ´Â °ÍÀ¸·Î À¯¸íÇÏ´Ù°í ·¹µå Ä«³ª¸®¾Æ´Â ¤¾ú´Ù. ¡°APT1Àº ½Ã½ºÅÛ Á¤º¸¸¦ ¸ðÀ¸°í °ø°Ý Ç¥ÀûÀ» »ó¼¼È÷ ÆľÇÇÏ´Â ´Ü°è¿¡¼ ¹èÄ¡ ½ºÅ©¸³Æ®¸¦ È°¿ëÇÕ´Ï´Ù. ±× ¿Ü¿¡ ½º¸ðÅ© ·Î´õ(Smoke Loader)¶ó´Â Æ®·ÎÀ̸ñ¸¶´Â ºñÁÖ¾ó º£ÀÌÁ÷ ½ºÅ©¸³Æ®¸¦ »ç¿ëÇØ °ø°Ý¿¡ Áö¼Ó¼ºÀ» ´õÇÏ°í¿ä.¡±
Regsvr32.exe´Â À©µµ¿ì Ç÷§Æû¿¡ Á¸ÀçÇÏ´Â ¡®½Å·Ú¹Þ´Â ¿ä¼Ò¡¯·Î, °ø°Ý¿¡ À̸¦ È°¿ëÇÏ¸é ´©±¸µç ¿ø½Ã Äڵ峪 ½ºÅ©¸³Æ®¸¦ ½ÇÇàÇÒ ¼ö ÀÖ°Ô µÈ´Ù. »çÀ̹öÀüÀ» Àü¹®À¸·Î ÇÏ´Â ´ÜüÀÎ ¿À¼Ç ·ÎÅͽº(Ocean Lotus)¿Í APT19°¡ regsvr32¸¦ °ø°Ý¿¡ ÀÚÁÖ È°¿ëÇÏ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù.
¿¬°á ÇÁ·Ï½Ã´Â ½Ã½ºÅÛ »çÀÌÀÇ Æ®·¡ÇÈÀÇ ¹æÇâÀ» Á¶Á¤Çϰųª, ³×Æ®¿öÅ© Åë½Å Áß°³ÀÚ ¿ªÇÒÀ» ´ã´çÇÏ´Â ¿ä¼Ò·Î, °ø°ÝÀÚ°¡ À̸¦ È°¿ëÇØ ÀÚ½ÅÀÇ Á¤Ã¼³ª À§Ä¡¸¦ ¸ðÈ£ÇÏ°Ô ¸¸µé ¼ö ÀÖ´Ù. ÀÌ ±â¹ýÀ» ÀÚÁÖ »ç¿ëÇÏ´Â °ø°Ý ´Üü´Â µÎÄí(Duqu)¿Í APT10ÀÌ ÀÖ´Ù. µÎ ±×·ì ¸ðµÎ »çÀ̹ö Á¤ÂûÀ» À§ÁÖ·Î ÇÏ´Â, Á¤ºÎÀÇ Áö¿øÀ» ¹Þ´Â °ÍÀ¸·Î º¸ÀÌ´Â ÇØÅ· ´Üü´Ù.
¸¶½ºÄ¿·¹À̵ù(masquerading)À̶ó°íµµ ºÒ¸®´Â ¡®À§À塯 ±â¹ýÀº ½ÇÇà ÆÄÀÏÀÇ À̸§À̳ª À§Ä¡ Á¤º¸¸¦ Á¶ÀÛÇØ ¹æ¾î ¼Ö·ç¼ÇÀ» ÇÇÇØ°¡´Â ±â¹ýÀÌ´Ù. ¼¼»óÀ» ¶°µé½âÇÏ°Ô ¸¸µé¾ú´ø ¹æ±Û¶óµ¥½Ã Áß¾ÓÀºÇà ÇØÅ· »ç°ÇÀÌ ÀÌ ±â¹ýÀÇ ´ëÇ¥ÀûÀÎ È°¿ë »ç·Ê´Ù. ¹æ±Û¶óµ¥½Ã Áß¾ÓÀºÇàÀÇ °ø°ÝÀÚ´Â ÇöÀç±îÁö ºÏÇÑÀÇ ¶óÀڷ罺¶ó°í ¾Ë·ÁÁ® ÀÖ´Ù.
±× ¿Ü¿¡ ¿äÁò ÀαⰡ ³ôÀº °ø°Ý ±â¹ýÀ¸·Î´Â Å©¸®µ§¼È ´ýÇÎ(credential dumping), ·¹Áö½ºÆ®¸® ½ÇÇà Å°, ¡®½ÃÀÛ ÇÁ·Î±×·¥¡¯ Æú´õ, Rundll32 µîÀÌ ²ÅÇû´Ù. ·¹µå Ä«³ª¸®¾Æ´Â ¡°¼øÀ§°¡ ³·´Ù°í ¹«½ÃÇؼ´Â ¾È µÈ´Ù¡±°í °Á¶Çß´Ù. ¡°¼øÀ§´Â µÚÁ×¹ÚÁ× ¼¯À̱⠸¶·ÃÀÔ´Ï´Ù. Áï, ¾ðÁ¨°¡ °ø°ÝÀÚµé »çÀÌ¿¡¼ À¯ÇàÀÌ µÉ °¡´É¼ºÀÌ ³ô´Ù´Â °ÍÀÔ´Ï´Ù. ÇØÄ¿µéÀº °ø°Ý ±â¼úÀ» ²÷ÀÓ¾øÀÌ °³¹ßÇÏ´Â ÀÚµéÀ̶ó´Â °É ±â¾ïÇÏ°í, ¹Ì¸® ´ëó¹ýÀ» ¾Ë¾ÆµÎ´Â ÆíÀÌ Çö¸íÇÑ ¹æ¾î¹ýÀÏ °ÍÀÔ´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. ÇöÀç °ø°ÝÀÚµéÀÌ Á¦ÀÏ ÁÁ¾ÆÇÏ´Â ±â¹ýÀº? ÆÄ¿ö¼Ð.
2. À©µµ¿ì¿¡ ±âº»À¸·Î žÀçµÇ¾î ÀÖ°í, ¿ÀǼҽº¶ó ¿¬±¸Çϱ⵵ ¿ëÀÌÇϸç, Â÷´ÜµÉ °¡´É¼ºµµ ³·±â ¶§¹®.
3. ±× ¿Ü ½ºÅ©¸³ÆÃ, regsvr32.exeµµ Àα⠳ôÀº °ø°Ý ±â¹ýÀÓ. ÁÖ·Î »çÀ̹öÀü ½ÇÇà ´ÜüµéÀÌ »ç¿ëÇÔ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>