Home > Àüü±â»ç

APT ±×·ìÀÎ ¸Óµð¿öÅÍ, ÆÄ¿ö¼Ð ±â¹Ý ¹éµµ¾î ¾÷±×·¹À̵å ÇØ

ÀÔ·Â : 2019-06-12 15:27
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
2017³âºÎÅÍ °ø°³µÅ È°¹ßÇÏ°Ô ¿òÁ÷ÀÌ°í ÀÖ´Â ´Üü...¾÷±×·¹À̵嵵 ºÎÁö·±È÷
¿ÃÇØ µé¾î ¿ä¸£´Ü°ú ÅÍÅ° ³ë¸®±â ½ÃÀÛ...ÆÄ¿ö½ºÅÂÃ÷¶ó´Â ¹éµµ¾îµµ Çâ»ó½ÃÄÑ


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¸Óµð¿öÅÍ(MuddyWater)¶ó°í ¾Ë·ÁÁø »çÀ̹ö °ø°Ý ±×·ìÀÌ ±×µ¿¾È »ç¿ëÇØ¿Ô´ø ÆÄ¿ö¼Ð ¹éµµ¾î¸¦ ¾÷±×·¹À̵å ÇÑ °ÍÀ¸·Î º¸ÀÎ´Ù°í º¸¾È ¾÷ü Æ®·»µå ¸¶ÀÌÅ©·Î(Trend Micro)°¡ °æ°íÇß´Ù.

[À̹ÌÁö = iclickart]


2017³â óÀ½ °ø°³µÈ ¸Óµð¿öÅÍ´Â ±× ÈĺÎÅÍ ²ÙÁØÈ÷ È°µ¿ÇØ¿ÔÀ¸¸ç, ÃÖ±Ù±îÁö 30°³ Á¶Á÷ÀÇ 130¸í ÀÌ»óÀ» °ø°ÝÇÏ´Â µ¥ ¼º°øÇß´Ù. Áö³­ ¾à 2³â µ¿¾È °è¼ÓÇؼ­ °ø°Ý Ç¥ÀûÀ» ´Ã·ÈÀ¸¸ç, ±×¿¡ µû¶ó °ø°Ý µµ±¸µµ Áõ°¡ ¹× Çâ»ó½ÃÄÑ¿Ô´Ù.

Æ®·»µå ¸¶ÀÌÅ©·Î°¡ À̹ø¿¡ ÁöÀûÇÑ µµ±¸´Â ¸Óµð¿öÅÍ°¡ Àß »ç¿ëÇØ¿Ô´ø ¹éµµ¾î·Î, À̸§Àº ÆÄ¿ö½ºÅÂÃ÷(PowerStats)´Ù. ÀÌ¹Ì »õ ¹öÀüÀÌ ¿ä¸£´Ü°ú ÅÍÅ°ÀÇ ´ëÇаú Á¤ºÎ ±â°üÀ» °Ü³ÉÇÑ ½ºÇǾîÇÇ½Ì Ä·ÆäÀο¡¼­ ¹ß°ßµÇ°í ÀÖ´Ù.

°ø°ÝÀÚµéÀº ÁÖ·Î Á¤»ó °èÁ¤µéÀ» ħÇØÇÏ°í, À̸¦ È°¿ëÇØ ÇÇÇØÀÚµéÀÌ ÆÄ¿ö½ºÅÂÃ÷¸¦ ¼³Ä¡Çϵµ·Ï À¯µµÇÑ´Ù°í ÇÑ´Ù. ¹°·Ð 1) ÇÇ½Ì À̸ÞÀÏ, 2) ¸ÞÀÏ ¼Ó ÷ºÎÆÄÀÏÀ» ÅëÇÑ ¾Ç¼º ¸ÅÅ©·Î ¹ßµ¿, 3) ¸ÅÅ©·Î¸¦ ÅëÇØ VBE ÆÄÀÏ ´Ù¿î·Îµå, 4) VBE ÆÄÀÏ ÅëÇØ ÆÄ¿ö¼Ð ½ºÅ©¸³Æ® ¼³Ä¡¶ó´Â °úÁ¤À» Áö³ª¾ß¸¸ ÇÑ´Ù.

¡°°ø°Ý¿¡ ÇÊ¿äÇÑ ÆÄÀÏÀº %PUBLIC%À̶ó´Â Æú´õ ³»¿¡ °¢Á¾ À̹ÌÁö ÆÄÀÏ(.jpg, .png µî) È®ÀåÀÚ·Î ÀúÀåµË´Ï´Ù. ±×·± ÈÄ¿¡ ÆÄ¿ö½ºÅÂÃ÷°¡ ¹ßµ¿µÇ´Âµ¥¿ä, ºÐ¼®À» ¾î·Æ°Ô Çϱâ À§ÇØ °¢Á¾ ÀÇ¹Ì ¾ø´Â ÄÚµå¿Í ¹®ÀÚ¿­À» ¼¯¾î³õÀº °ÍÀÌ ÀλóÀûÀÔ´Ï´Ù.¡±

ÆÄ¿ö½ºÅÂÃ÷ÀÇ ±â´ÉÀº OS Á¤º¸¸¦ ¼öÁýÇÏ°í, À̸¦ ·Î±×ÆÄÀÏ¿¡ ÀúÀåÇÑ ÈÄ C&C ¼­¹ö·Î ¾÷·Îµå ÇÏ´Â °ÍÀÌ´Ù. °¨¿°½ÃŲ ±â±â¸¶´Ù ¹«ÀÛÀ§ GUID ¹øÈ£¸¦ »ý¼ºÇÏ°í ºÎ¿©Çϱ⵵ ÇÑ´Ù. ¡°ÀÌ GUID ¹øÈ£´Â ³ªÁß °ø°Ý¿¡ »ç¿ëµË´Ï´Ù. C&C ¼­¹öÀÇ Æ¯Á¤ Æú´õ ³»¿¡ ÀúÀåµÈ ÆÄÀÏÀ» °Ë»öÇÏ´Â µ¥ È°¿ëµÇ´Â °ÍÀÌ º¸ÅëÀÔ´Ï´Ù. ÆÄÀÏÀÌ °Ë»öµÇ¸é ´Ù¿î·Îµå ¹Þ¾Æ Powershell.exe ÇÁ·Î¼¼½º ³»¿¡¼­ ½ÇÇà½Ãŵ´Ï´Ù.¡±

¶ÇÇÑ °ø°ÝÀÚµéÀº ÆÄ¿ö½ºÅÂÃ÷¸¦ »ç¿ëÇØ ¸í·É¾î¸¦ ÇÇÇØÀÚ ½Ã½ºÅÛÀ¸·Î º¸³» ´ÙÀ½ ´Ü°èÀÇ °ø°ÝÀ» ½ÇÇàÇÑ´Ù. ¡°ÀÌ °úÁ¤¿¡¼­ ¶Ç ´Ù¸¥ ¸Ö¿þ¾î°¡ »ç¿ëµÉ ¼öµµ ÀÖ½À´Ï´Ù. ÀúÈñ°¡ ºÐ¼®ÇßÀ» ¶§ °ø°ÝÀÚµéÀº µÎ ¹ø° ¹éµµ¾î¸¦ ½É¾î ½ºÅ©¸°¼¦ µîÀÇ Á¤º¸¸¦ ÈÉÃÄ°¡´Â °æ¿ì¿Í Ãß°¡ ÆÄ¿ö¼Ð Äڵ带 Invoke-Expression cmdletÀ» ÅëÇØ ½ÇÇàÇÏ´Â °æ¿ì°¡ ÀÖ¾ú½À´Ï´Ù.¡±

C&C ¼­¹ö¿ÍÀÇ Åë½ÅÀ» À§Çؼ­ ÇØÄ¿µéÀº PHP ½ºÅ©¸³Æ®¸¦ ÁÖ·Î È°¿ëÇß´Ù. ÇϵåÄÚµù µÈ ÅäÅ«°ú ¹é¿£µå ÇÔ¼öµé·Î ±¸¼ºµÇ¾î ÀÖ´Â °ÍÀ¸·Î, 1) ½ºÅ©¸°¼¦ È®º¸, 2) ¸í·É ½ÇÇà °á°ú, 3) »õ ÇÇÇØÀÚ µî·Ï, 4) Àڱ⠻èÁ¦ ±â´ÉÀ» ¼öÇàÇÒ ¼ö ÀÖ´Ù°í ÇÑ´Ù.

¸Óµð¿öÅÍ´Â ¿ÃÇØ ÃʺÎÅÍ È°µ¿·®À» ´Ù½Ã ÇÑ ¹ø ´Ã·È´Ù. ±×·¯¸é¼­ »õ·Î¿î Àü·«°ú ¸Ö¿þ¾î ¹èÆ÷ ¹æ¹ýÀ» ±¸»çÇϱ⵵ Çß´Ù. ÆäÀ̷εå¿Í ÀͽºÇ÷ÎÀÕ ÀÌÈÄ »ç¿ëÇÏ´Â ÅøµéÀ» ¹Ù²Ù±âµµ Çß´Ù. ¡°1¿ù¿¡´Â ´å³Ý(.NET)À¸·Î ±¸¼ºµÈ ¹éµµ¾îÀÎ »þÇÁ½ºÅÂÃ÷(SHARPSTATS)¸¦ »ç¿ëÇϱ⵵ Çß½À´Ï´Ù. ÀÌ´Â °ð µ¨ÇÁ½ºÅÂÃ÷(DELPHSTATS)·Î ±³Ã¼°¡ µÆ°í, 3~4¿ù¿¡´Â ÆÄ¿ö½ºÅÂÃ÷ v2·Î ¹Ù²î¾ú½À´Ï´Ù. ¡±ÃÖ±Ù ¹ß°ßµÈ °Ç ÆÄ¿ö½ºÅÂÃ÷ v3ÀÔ´Ï´Ù.¡°

¿©±â¿¡ ´õÇØ ÀͽºÇ÷ÎÀÕ ÀÌÈÄ »ç¿ëÇÏ´Â °ø°Ý µµ±¸µéÀ» ´ëÆø ´Ã¸®±âµµ Çß´Ù. ´ë´Ù¼ö ¿ÀǼҽºÀε¥, CrackMapExec, ChromeCookiesView, chrome-passwords, EmpireProject, FruityC2, Koadic, LaZagne, Meterpreter, Mimikatz, MZCookiesView, PowerSploit, Shootback, Smbmap µîÀÌ ¿©±â¿¡ Æ÷ÇԵȴÙ.

¡°¸Óµð¿öÅÍ °ø°ÝÀÚµéÀÌ ¾ÆÁ÷±îÁö´Â Á¦·Îµ¥À̸¦ È°¿ëÇѴٰųª °í±Þ ¸Ö¿þ¾î¸¦ ¾²´Â ¸ð½ÀÀ» º¸¿©ÁÖÁö´Â ¸øÇÏ°í ÀÖ½À´Ï´Ù. ÇÏÁö¸¸ ÀڽŵéÀÌ ¿øÇÏ´Â ¸ñÇ¥¸¦ ºÐ¸íÈ÷ °¨¿°½ÃÅ°°í ÀÖ½À´Ï´Ù. ÀÌ°Ç ¸Óµð¿öÅÍ°¡ »óȲ°ú ÇÊ¿ä¿¡ µû¶ó À¯¿¬ÇÏ°Ô Àü·«°ú µµ±¸¸¦ ¹Ù²Ù±â ¶§¹®ÀÔ´Ï´Ù.¡±

±×·¯¸é¼­ Æ®·»µå ¸¶ÀÌÅ©·Î´Â ¡°Çϳª º¯ÇÏÁö ¾Ê´Â °Ç, À̵éÀÌ Áö±Ý »ç¿ëÇÏ´Â ÃÖÃÊ Ä§Åõ ¹æ¹ýÀÌ ÇÇ½Ì È¤Àº ½ºÇǾîÇǽÌÀ̶ó´Â °Í¡±À̶ó°í ¸»Çß´Ù. ¡°Áï À̸ÞÀÏ¿¡ ´ëÇÑ º¸¾È¸¸ ´Ü´ÜÈ÷ ÇÒ ¼ö ÀÖ´Ù¸é ¸Óµð¿öÅÍ¿¡ ´ëÇÑ ¹æ¾î¸¦ ÇÒ ¼ö ÀÖ´Ù´Â ¶æÀÔ´Ï´Ù.¡±

3ÁÙ ¿ä¾à
1. »çÀ̹ö Á¤Âû ´ÜüÀÎ ¸Óµð¿öÅÍ, ÃÖ±Ù ¹éµµ¾î¸¦ ¾÷±×·¹ÀÌµå ½ÃÅ´.
2. ¸Óµð¿öÅÍ´Â ¿ø·¡ºÎÅÍ °í±Þ½º·± ÇØÅ· ±â¼úÀ» »ç¿ëÇÏ´Â °Íº¸´Ù ÀÚÁÖ ¾÷±×·¹À̵å ÇÏ´Â °ÍÀ¸·Î À¯¸í.
3. À̹ø Ä·ÆäÀο¡¼­´Â ¿ä¸£´Ü°ú ÅÍÅ°ÀÇ ´ëÇÐ ¹× Á¤ºÎ ±â°üµéÀÌ Ç¥ÀûÀÎ °ÍÀ¸·Î º¸ÀÓ.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)