ÃÖ±Ù Ä·ÆäÀο¡¼´Â ¿ÀÀϸ®±×ÀÇ ÀÎÇÁ¶ó È°¿ë...¿ìÈ£Àû °ü°è´Â ¾Æ´Ñ µí
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ·¯½Ã¾Æ¿Í °ü·ÃÀÌ ÀÖ´Â °ÍÀ¸·Î ¿©°ÜÁö´Â »çÀ̹ö °ø°Ý ´Üü Åжó(Turla)°¡ ÃÖ±Ù ¿©·¯ °¡Áö »õ·Î¿î °ø°Ý ÅøÀ» »ç¿ëÇϱ⠽ÃÀÛÇß´Ù°í º¸¾È ¾÷ü ½Ã¸¸ÅØ(Symantec)ÀÌ ¹ßÇ¥Çß´Ù. Åжó´Â ¿öÅ͹ö±×(Waterbug), Å©¸³Åæ(KRYPTON), º£³ë¸Ó½º º£¾î(Venomous Bear)¶ó´Â À̸§À¸·Îµµ ¾Ë·ÁÁ® ÀÖ°í, ÇöÀç±îÁö ÃÖ¼Ò 10³â µ¿¾È È°µ¿ÇØ¿Â ´Üü´Ù.
[À̹ÌÁö = iclickart]
Áö³ ÇÑ ÇØ ¹Ý µ¿¾È Åжó´Â ÃÖ¼Ò ¼¼ °¡Áö ´ëÇü Ä·ÆäÀÎÀ» ÁøÇàÇØ¿À´Ù°¡ ¹ß°¢µÆ´Ù. ÀÌ ¼¼ ¹øÀÇ Ä·ÆäÀο¡¼ »ç¿ëÇß´ø ÅøµéÀº ÀüºÎ ´Þ¶ú´Âµ¥, ¡°Ã¹ ¹ø° Ä·ÆäÀο¡¼´Â ±× Àü±îÁö ÇÑ ¹øµµ ¹ß°ßµÇÁö ¾ÊÀº ¹éµµ¾î°¡ »ç¿ëµÇ¾ú°í, µÎ ¹ø° Ä·ÆäÀο¡¼´Â ¼¼ °¡Áö ÀüÇô ´Ù¸¥ ¹éµµ¾î°¡ µ¿¿øµÆÀ¸¸ç, ¼¼ ¹ø° Ä·ÆäÀο¡¼´Â ÀÚü Á¦ÀÛÇÑ RPC ¹éµµ¾î°¡ »ç¿ëµÆ´Ù¡±°í ÇÑ´Ù.
ù ¹ø° Ä·ÆäÀÎ ´ç½Ã óÀ½À¸·Î ¹ß°ßµÈ ¹éµµ¾î´Â ³ÜÅ÷(Neptun)À¸·Î, ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ÀͽºÃ¼ÀÎÁö(Microsoft Exchange) ¼¹öµé¿¡ ¼³Ä¡µÇ°í, ¸í·É¾î¸¦ ±â´Ù·È´Ù°¡ ½ÇÇàÇÏ´Â ±â´ÉÀ» °¡Áö°í ÀÖ´Ù. ±× ¿Ü¿¡ Ãß°¡ ÅøÀ» ´Ù¿î·Îµå ÇØ ¼³Ä¡Çϰųª, ÈÉÄ£ ÆÄÀÏÀ» ¾÷·ÎµåÇϰųª, ¼Ð ¸í·ÉÀ» ½ÇÇàÇÏ´Â °Íµµ °¡´ÉÇÑ °ÍÀ¸·Î ºÐ¼®µÆ´Ù.
µÎ ¹ø° Ä·ÆäÀο¡¼ ¹ß°ßµÈ ¹éµµ¾î Áß Çϳª´Â ¹ÌÅÍÇÁ¸®ÅÍ(Meterpreter)´Ù. ÀÌ¹Ì ¿¹ÀüºÎÅÍ Àß ¾Ë·ÁÁø, À¯¸íÇÑ ¹éµµ¾î´Ù. ³ª¸ÓÁö µÎ °³´Â ÅÐ¶ó°¡ Á÷Á¢ ¸¸µç °ÍÀ¸·Î º¸ÀÌ´Â Æ÷Å亣À̽ºµå(photobased.dll)¿Í ¿ø°Ý ÇÁ·Î½ÃÀú È£Ãâ(RPC) ¹éµµ¾î´Ù.
¼¼ ¹ø° Ä·ÆäÀο¡¼ Åжó´Â ¶Ç ´Ù¸¥ RPC ¹éµµ¾îÀÇ ÀÏÁ¾À» »ç¿ëÇߴµ¥, µÎ ¹ø° Ä·ÆäÀο¡¼ »ç¿ëµÈ °Í°ú´Â ÀüÇô ´Ù¸¥ °ÍÀ̶ó°í ÇÑ´Ù. ÀÌ RPC ¹éµµ¾î¿¡´Â ÆÄ¿ö¼Ð·¯³Ê(PowerShellRunner) Åø¿¡¼ µû¿Â °ÍÀ¸·Î º¸ÀÌ´Â Äڵ尡 °¡µæÇß´Ù. ÀÌ Äڵ带 ÅëÇØ ¹éµµ¾î°¡ ŽÁö ÀåÄ¡¸¦ ȸÇÇÇØ ÆÄ¿ö¼Ð ½ºÅ©¸³Æ®¸¦ ½ÇÇà½ÃÅ°´Â °Ô °¡´ÉÇß´Ù.
Åжó´Â ±× ¿Ü¿¡µµ °¢Á¾ µµ±¸¸¦ ´Ù¾çÇÏ°Ô »ç¿ëÇØ¿Ô´Ù.
1) ³ÜÅ÷À» ´Ù¿î·Îµå ÇÏ´Â ÀÚü °³¹ß µå·ÎÆÛ
2) ³× °¡Áö NSA ÅøÀÎ ÀÌÅͳκí·ç(EternalBlue), ÀÌÅͳηθǽº(EternalRomance), ´õºíÆÞ»ç(DoublePulsar), SMBÅÍÄ¡(SMBTouch)À» °áÇÕÇÑ ÇØÅ· Åø
3) USB ³» µ¥ÀÌÅÍ ¼öÁý±â
4) Á¤ÂûÀ» À§ÇÑ ºñÁÖ¾óº£ÀÌÁ÷ ½ºÅ©¸³Æ®
5) Å©¸®µ§¼È Å»Ã븦 À§ÇÑ ÆÄ¿ö¼Ð ½ºÅ©¸³Æ®
6) ÀÌ¹Ì À¯¸íÇÑ Åø : ÀÎÅÚ¸®¾îµå¹Î(IntelliAdmin), ¿¡½º½ºÄµ(SScan), NBT½ºÄµ(NBTScan), PsExec, ¹Ì¹ÌijÃ÷(Mimikatz), ¼Æ®À¯Æ¿(Certutil.exe)
À̹ø¿¡ Àû¹ßµÈ ¼¼ ¹ø° Ä·ÆäÀÎÀÇ °æ¿ì Àü ¼¼°èÀÇ Á¤ºÎ ±â°üµé°ú ±¹Á¦ Á¶Á÷µéÀ» ³ë¸° °ÍÀ¸·Î ³ªÅ¸³´Ù. ¶ÇÇÑ ÀϺΠIT ¹× ±³À° °ü·Ã Á¶Á÷µéµµ Ÿ°ÝÀ» ¹Þ¾Ò´Ù.
Åжó´Â 2018³â ÃʺÎÅÍ 10°³ ±¹°¡¿¡¼ 13°³ Á¶Á÷µéÀ» ²ÙÁØÇÏ°Ô °ø°ÝÇÏ°í Á¤ÂûÇØ¿Â °ÍÀ¸·Î º¸ÀδÙ. Áßµ¿, À¯·´, ³²¾Æ¸Þ¸®Ä«ÀÇ ´Ù¼ö ¿Ü±³ ±â°üµé°ú ³²¾Æ½Ã¾Æ ±¹°¡ÀÇ ³»¹«ºÎ, Áßµ¿ÀÇ Á¤ºÎ Á¶Á÷ µÎ °÷, µ¿³²¾Æ ±¹°¡ÀÇ Á¤ºÎ Á¶Á÷ ÇÑ °÷, ³²¾Æ½Ã¾Æ ±¹°¡¿¡ ¼Ò¼ÓµÈ Ÿ ±¹°¡ ÁÖÀç Á¤ºÎ ±â°ü ÇÑ °÷ÀÌ ¿©±â¿¡ Æ÷ÇԵȴÙ. ±× ¿Ü¿¡ Áßµ¿, À¯·´, ³²¾Æ½Ã¾ÆÀÇ IT ¹× ±³À° °ü·Ã Á¶Á÷µéµµ ¶Õ·È´Ù.
ù ¹ø° Ä·ÆäÀο¡¼ÀÇ ÇÑ °ø°ÝÀº ±× Áß¿¡¼µµ ¸¹Àº °ü½ÉÀ» ¹Þ°í ÀÖ´Ù. À̶õ Á¤ºÎ¿Í °ü·ÃÀÌ ÀÖ´Ù°í ¿©°ÜÁö´Â ÇØÅ· ´Üü ¿ÀÀϸ®±×(OilRig)°¡ »ç¿ëÇÏ´Â ÀÎÇÁ¶ó¸¦ ±×´ë·Î È°¿ëÇ߱⠶§¹®ÀÌ´Ù. ±×·¯³ª ½Ã¸¸ÅØÀº ¡°Åжó¿Í ¿ÀÀϸ®±×°¡ ¿ìÈ£ÀûÀ̶ó´Â Áõ°Å°¡ ¾ø¾î, Â÷¶ó¸® ÅÐ¶ó°¡ ¿ÀÀϸ®±×ÀÇ ÀÎÇÁ¶ó¸¦ °ø°ÝÀûÀ¸·Î Â÷ÁöÇß´Ù°í º¸´Â ÆíÀÌ ¸ÂÀ» °Í¡±À̶ó°í ºÐ¼®ÇÑ´Ù.
Åжó´Â ¿ÀÀϸ®±×ÀÇ ÀÎÇÁ¶ó¸¦ Å»ÃëÇÑ ÈÄ ¹Ì¹ÌijÃ÷ÀÇ º¯Á¾À» ´Ù¿î·Îµå ¹Þ¾Æ ÇÇÇØÀÚÀÇ ½Ã½ºÅÛ¿¡ ¼³Ä¡Çß´Ù. ÀÌ º¯Á¾Àº ¾ÆÁ÷±îÁö ÅÐ¶ó¸¸ »ç¿ëÇÏ´Â °ÍÀ¸·Î º¸ÀδÙ. ½Ã¸¸ÅØÀº ¡°½ºÆÄÀÌÀü ȤÀº »çÀ̹öÀü¿¡ ÁýÁßµÈ ÇØÅ· ´Üü°¡, ºñ½ÁÇÑ À¯ÇüÀÇ ´Ù¸¥ ´Üü¸¦ °ø°ÝÇØ ÀÎÇÁ¶ó¸¦ »©¾Ñ¾Æ È°¿ëÇÏ´Â °Ç óÀ½ º¸´Â ÀÏ¡±À̶ó¸ç ¡°¾ÆÁ÷ ±× ÀÌÀ¯¿¡ ´ëÇؼ´Â ¿©·¯ °¡Áö·Î ÃßÃø Áß¿¡ ÀÖ´Ù¡±°í ¼³¸íÇß´Ù.
3ÁÙ ¿ä¾à
1. ·¯½Ã¾ÆÀÇ Åжó, ÃÖ±Ù ¼¼ °¡Áö ´ë±Ô¸ð Ä·ÆäÀÎ ½Ç½Ã. ´ëºÎºÐ Á¤ºÎ ±â°ü ³ë¸° °Í.
2. µÎ °¡Áö Çຸ°¡ ´«¿¡ ¶ê. Çϳª´Â °ø°Ý µµ±¸°¡ ´Ù¾çÇÏ°í, ´õ ¸¹¾ÆÁø´Ù´Â °Í.
3. ´Ù¸¥ Çϳª´Â À̶õÀÇ Á¤Âû ´ÜüÀÎ ¿ÀÀϸ®±×ÀÇ ÀÎÇÁ¶ó ÈÉÃļ °ø°Ý ½Ç½ÃÇß´Ù´Â °Í.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>