Home > Àüü±â»ç

¿ÀǼҽº Åø ¸¶±¸ Â¥±é±â ÇÏ´Â ÇÁ¶ûÄ˽´Å¸ÀÎ °ø°Ý ¹ß°ßµÅ

ÀÔ·Â : 2019-06-10 15:21
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
°ø°ÝÀÚÀÇ ¼öÁØ ±×¸® ³ôÁø ¾ÊÁö¸¸, Áö¿ø ¼öÁØÀº ³ôÀº °ÍÀ¸·Î º¸¿©
¿ÀǼҽº Åø ¿©·¯ °¡Áö·Î Â¥±é±â ÇÑ °ø°Ý...¾Ç¼º ¹®°ÇÀ¸·Î À§ÀåµÇ±âµµ


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ½Ã½ºÄÚÀÇ Å»·Î½º(Talos) ÆÀ¿¡¼­ »õ·Î¿î »çÀ̹ö °ø°Ý Ä·ÆäÀÎÀ» ¹ß°ßÇß´Ù. ÀÌ Ä·ÆäÀÎÀÇ Æ¯Â¡Àº ¿©·¯ °³ÀÇ ¿ÀǼҽº ±â¼úµéÀ» °áÇÕÇØ ¸¸µç µµ±¸°¡ È°¿ëµÇ¾ú´Ù´Â °ÍÀ̶ó°í ÇÑ´Ù. Å»·Î½º´Â ÀÌ·¸°Ô ¿©·¯ ±â¼úÀ» Â¥±é±âÇÑ µµ±¸¿Í, ÀÌ µµ±¸¸¦ È°¿ëÇÑ °ø°ÝÀ» ¡®ÇÁ¶ûÄ˽´Å¸ÀÎ(Frankenstein)¡¯À̶ó°í ºÎ¸¥´Ù.

[À̹ÌÁö = iclickart]


ÇÁ¶ûÄ˽´Å¸ÀÎ °ø°ÝÀº 2019³â 1¿ùºÎÅÍ 4¿ù±îÁö À̾îÁ³´Ù. ¸ñÇ¥´Â ¸¹Àº ÄÄÇ»Å͸¦ ¸Ö¿þ¾î¿¡ °¨¿°½ÃÅ°´Â °ÍÀ̾ú´Ù. ÇÏÁö¸¸ ¡®´ë·®¡¯À¸·Î °¨¿°½ÃÅ°´Â °Í ±× ÀÚü°¡ ¸ñÇ¥´Â ¾Æ´Ï¾ú´Ù. ¡°¿©·¯ °¡Áö Á¤È²À» º¸°Çµ¥, ÇÁ¶ûÄ˽´Å¸ÀÎÀº Ç¥Àû °ø°ÝÀÇ ÀÏÁ¾À̾ú½À´Ï´Ù.¡±

ÇÁ¶ûÄ˽´Å¸ÀÎ °ø°ÝÀ» °¨ÇàÇÑ ÀÚµéÀº ±â¼úÀûÀ¸·Î ÃÖ°í ¼öÁØÀ» ¶ç°í ÀÖ´Â °Íó·³ º¸ÀÌÁö´Â ¾ÊÁö¸¸, ³Ë³ËÇÑ Áö¿øÀ» ¹Þ°í ÀÖ´Â °ÍÀÌ °ÅÀÇ ºÐ¸íÇÏ´Ù°í ÇÑ´Ù. ¡°°ø°ÝÀÚµéÀº ¿ÀǼҽº ¼Ö·ç¼Çµé¿¡ »ó´ç ºÎºÐ ÀÇÁ¸ÇÏ°í ÀÖ½À´Ï´Ù. °Å±â´Ù°¡ ºÐ¼® ¹× ŽÁö ¹æÇØ µµ±¸µéµµ »ç¿ëÇϸç, °¡»ó ȯ°æ ¼Ö·ç¼Çµµ Àû±Ø È°¿ëÇÕ´Ï´Ù. µ¥ÀÌÅ͸¦ Àü¼ÛÇÒ ¶§´Â ¾Ïȣȭ¸¦ ÇÏ°í¿ä.¡±

ÀÌ °ø°Ý¿¡ »ç¿ëµÇ´Â ¾Ç¼º ¹®°Çµé Áß »ùÇÃÀÌ ¹ß°ßµÈ °Ç µÎ °³´Ù. ¾Æ¸¶µµ À̸ÞÀÏÀ» ÅëÇØ ÇÇÇØÀÚ¿¡°Ô Àü´ÞµÈ °ÍÀ¸·Î º¸ÀδÙ. µÎ °³ Áß ÇÑ °³´Â CVE-2017-11882 Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ´Â °ÍÀ¸·Î, °ø°ÝÀÚµéÀº À̸¦ ÅëÇØ Äڵ带 ½ÇÇà½ÃÄ×´Ù. ´Ù¸¥ Çϳª´Â »ç¿ëÀÚ¸¦ À¯µµÇØ ¸ÅÅ©·Î¸¦ ¹ßµ¿½ÃÅ°µµ·Ï Çϸç, ±Ã±ØÀûÀ¸·Î´Â ºñÁÖ¾ó º£ÀÌÁ÷(Visual Basic) ½ºÅ©¸³Æ®°¡ ½ÇÇàµÈ´Ù.

ù ¹ø° °ø°Ý ½Ã³ª¸®¿À¿¡¼­ °ø°ÝÀÚµéÀº ¸í·É ½ºÅ©¸³Æ®¸¦ ½ÇÇàÇØ ½ºÄÉÁÙ·¯ ±â´ÉÀ» ¹ßµ¿½ÃÅ´À¸·Î½á °ø°Ý Áö¼Ó¼ºÀ» È®º¸ÇÑ´Ù. ÀÌ ¶§ ½ÇÇàµÇ´Â °Ç º£À̽º64(base64)¸¦ ±â¹ÝÀ¸·Î ÀÎÄÚµù µÈ ÆÄ¿ö¼Ð ¸í·ÉÀ̶ó°í ÇÑ´Ù.

ÀÌ ½Ã³ª¸®¿À¿¡ ¼ÓÇÏ´Â ¹®¼­µé Áß ÀϺδ ¸¶Ä¡ º¸¾È ¾÷ü Ä«½ºÆÛ½ºÅ°(Kaspersky)°¡ ¸¸µç °Íó·³ À§ÀåµÇ¾î ÀÖ¾ú´Ù. ¶Ç ´Ù¸¥ ¹®¼­¿¡´Â Áßµ¿ Áö¿ªÀÇ ÇÑ Á¤ºÎ±â°üÀÌ »ç¿ëÇÏ´Â ·Î°í°¡ ÀÔÇôÁ® ÀÖÀ¸¸ç, °æ¿ì¿¡ µû¶ó¼­´Â ºÒƯÁ¤ °Ç¹°µéÀÇ »çÁøÀÌ ÀúÀåµÇ¾î ÀÖ´Â °æ¿ìµµ ÀÖ´Ù°í ÇÑ´Ù.

µÎ ¹ø° ½Ã³ª¸®¿À¿¡¼­´Â ¸ÅÅ©·Î°¡ È°¼ºÈ­µÇÀÚ¸¶ÀÚ ºÐ¼® ¹æÁö ±â´É µÎ °¡Áö°¡ ÇѲ¨¹ø¿¡ ¹ßµ¿µÈ´Ù. ¡°¸ÕÀú´Â À©µµ¿ì °ü¸® µµ±¸(WMI)¿¡ ƯÁ¤ ¾ÖÇø®ÄÉÀ̼ǵéÀÌ ÀÖ´ÂÁö È®ÀÎÇÏ´Â ¿äûÀ» º¸³À´Ï´Ù. VM¿þ¾î, V¹Ú½º(Vbox), ÇÁ·Î¼¼½º ÀͽºÇ÷η¯, ÇÁ·Î¼¼½º ÇØÄ¿, ÇÁ·Ï¸ó(ProcMon), ºñÁÖ¾ó º£ÀÌÁ÷, Çǵ鷯(Fiddler), ¿ÍÀ̾î»þÅ©(WireShark) µîÀÔ´Ï´Ù. ±× ´ÙÀ½À¸·Î´Â VM¿þ¾î, V¹Ú½º, Vx½ºÆ®¸²(VxStream), ¿ÀÅäIT, VMÅøÁî, TCPºä, ¿ÍÀ̾î»þÅ©, ÇÁ·Î¼¼½º ÀͽºÇ÷η¯, ºñÁÖ¾ó º£ÀÌÁ÷, Çǵ鷯 µîÀÌ ½ÇÇàµÇ°í ÀÖ´ÂÁö È®ÀÎÇÕ´Ï´Ù.¡±

±×¸®°í À§¿¡ ¾ð±ÞµÈ ÇÁ·Î¼¼½ºµéÀÌ ¹ß°ßµÇ¸é ¾Ç¼º ±â´ÉÀÌ ÀÛµ¿À» ¸ØÃá´Ù. ±×·¸Áö ¾ÊÀ» °æ¿ì, WMI¸¦ È£ÃâÇØ ½Ã½ºÅÛ¿¡ ¹èÁ¤µÈ ÄÚ¾îÀÇ ¼ýÀÚ¸¦ È®ÀÎÇÕ´Ï´Ù. ±×¸®°í 2°³ ÀÌÇÏÀÏ °æ¿ì ½Ã½ºÅÛÀ» ºüÁ®³ª°©´Ï´Ù.

ÀÌ·± È®ÀÎ ÀÛ¾÷ÀÌ ³¡³­ ÀÌÈÄ¿¡´Â MSºôµå(MSbuild)¸¦ »ç¿ëÇØ °ø°ÝÀÚµéÀÌ ¸¸µç .xml ÆÄÀÏÀ» ½ÇÇà½ÃŲ´Ù. ÀÌ .xml ÆÄÀÏÀº MSBuild-inline-task¶ó´Â À̸§ÀÇ ¿ÀǼҽº ÇÁ·ÎÁ§Æ®¸¦ ±â¹ÝÀ¸·Î ÇÏ°í ÀÖÀ» °¡´É¼ºÀÌ ³ô´Ù°í Å»·Î½º ÆÀÀº ¸»ÇÑ´Ù. ¡°ÀÌ ÆÄÀÏ ³»¿¡´Â º£À̽º64 ±â¹Ý ¸í·ÉµéÀÌ ¾Ïȣȭ µÈ ä ÀúÀåµÇ¾î ÀÖ½À´Ï´Ù. ÀÌ ¸í·ÉµéÀÌ ½ÇÇàµÇ¸é C&C ¼­¹ö·ÎºÎÅÍ Ãß°¡ ÆäÀ̷ε尡 ´Ù¿î·Îµå µË´Ï´Ù.¡±

±× ´ÙÀ½ ´Ü°è¿¡¼­ ½ÇÇàµÇ´Â °Ç ÆÄ¿ö¼Ð ¿¥ÆÄÀ̾î(PowerShell Empire) ¿¡ÀÌÀüÆ®´Ù. ¡°ÀÌ ¿¡ÀÌÀüÆ®´Â ·ÎÄà ½Ã½ºÅÛÀ¸·ÎºÎÅÍ Æ¯Á¤ Á¤º¸¸¦ ÃßÃâÇÕ´Ï´Ù. »ç¿ëÀÚ À̸§, µµ¸ÞÀÎ À̸§, ±â°è À̸§, °ø°ø IP ÁÖ¼Ò, °ü¸®ÀÚ ±ÇÇÑ µî±Þ, ÇöÀç ½ÇÇàµÇ°í ÀÖ´Â ÇÁ·Î¼¼½º, OS ¹öÀü, º¸¾È ½Ã½ºÅÛÀÇ SHA256 HMAC µîÀÔ´Ï´Ù.¡±

ÀÌ·¸°Ô ¼öÁýµÈ Á¤º¸´Â ¾Ïȣȭ µÈ ä³ÎÀ» ÅëÇØ C&C ¼­¹ö·Î Àü¼ÛµÈ´Ù. ƯÁ¤ »ç¿ëÀÚ-¿¡ÀÌÀüÆ® ¹®ÀÚ¿­°ú ¼¼¼Ç Å°°¡ ÀÌ °úÁ¤¿¡¼­ »ç¿ëµÇ¸ç, °ø°ÝÀÚµéÀº ¿ø°Ý¿¡¼­ ¿¡ÀÌÀüÆ®¿Í »óÈ£ÀÛ¿ëÀ» Çؼ­ ÆÄÀÏÀ» ¾÷·Îµå Çϰųª ´Ù¿î·Îµå ÇÑ´Ù. ¶ÇÇÑ ¿¥ÆÄÀ̾î ÇÁ·¹ÀÓ¿öÅ©¿Í ȣȯÀÌ µÇ´Â Ç÷¯±×Àε鵵 »ç¿ëÇÑ´Ù.

¡°¿¹Àü¿¡´Â Áö¿øÀ» dzºÎÇÏ°Ô ¹Þ´Â °ø°ÝÀÚµéÀÌ Á÷Á¢ °ø°Ý ÅøÀ» ¸¸µé¾ú½À´Ï´Ù. ±×·¯³ª ±×·¸°Ô ÇÒ °æ¿ì, Á¤Ã¼°¡ ³Ê¹« ½±°Ô ¹ß°¢µÇÁÒ. ±×·¡¼­ ÃÖ±Ù¿¡´Â °ø°ÝÀÚµéÀÌ ¿ÀǼҽº¸¦ »ç¿ëÇϱ⠽ÃÀÛÇß½À´Ï´Ù. ±×·¸°Ô ÇÒ °æ¿ì °ø°ÝÀÚÀÇ Á¤Ã¼¸¦ ÆľÇÇÏ´Â °Ô ±²ÀåÈ÷ ¾î·Á¿öÁö°Åµç¿ä. °ø°Ý µµ±¸ ¿Ü¿¡ ´õ ±íÀº Â÷¿øÀÇ Ã¸º¸°¡ ÇÊ¿äÇÏ°Ô µË´Ï´Ù.¡±

Å»·Î½ºÀÇ ¸»À» Á¾ÇÕÇϸé, ÇÁ¶ûÄ˽´Å¸ÀÎ °ø°ÝÀÇ ¹èÈÄ¿¡´Â ƯÁ¤ ±¹°¡°¡ ÀÖ´Â °ÍÀ¸·Î º¸À̸ç, Á¤º¸¸¦ ¼öÁýÇÏ´Â °ÍÀÌ ÁÖ¿ä ¸ñÇ¥ÀÌ´Ù. ÇÏÁö¸¸ ¾î¶² ±¹°¡°¡ ¹èÈÄ¿¡ ÀÖÀ¸¸ç, ¾î¶² ±¹°¡°¡ ÇÇÇظ¦ ÀÔ°í ÀÖ´ÂÁö´Â ¾ð±ÞÀÌ µÇÁö ¾Ê°í ÀÖ´Ù.

3ÁÙ ¿ä¾à
1. 1¿ùºÎÅÍ 4¿ù±îÁö, Á¤ÂûÀ» ¸ñÇ¥·Î ÇÑ ÇÁ¶ûÄ˽´Å¸ÀÎ °ø°Ý ¹ß»ýÇÔ.
2. ¿Ö ÇÁ¶ûÄ˽´Å¸ÀÎÀ̳ĸé, ¿©·¯ °¡Áö ¿ÀǼҽº ÅøÀ» À̸®Àú¸® Â¥±é±â Çؼ­.
3. ÃÖ±Ù »çÀ̹öÀü °ø°ÝÀÚµéÀº ÀÚü °³¹ßÇÏÁö ¾Ê°í ¿ÀǼҽº Åø »ç¿ë¿¡ ´õ Àû±ØÀûÀÓ.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)