¼öÁØÀÌ ³ô´Ù°í ÇÒ ¼ö ¾øÁö¸¸, ÇÇÇØ´Â ÃæºÐÈ÷ Áà...Çã¼úÇؼ ´çÇØÁØ »ç·Ê
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] º¸¾È ¾÷ü ºí·¢º£¸® »çÀÏ·±½º(BlackBerry Cylance)¿¡ ¼Ò¼ÓµÈ ¿¬±¸¿øµéÀÌ º£Æ®³²ÀÇ ÇØÅ· Á¶Á÷ÀÎ ¿À¼Ç·ÎÅͽº(OceanLotus)¿Í °ü·ÃÀÌ ÀÖ´Â ¿ø°Ý Á¢±Ù Åø(RAT)À» ¼öÁýÇÏ°í ºÐ¼®ÇØ, ±× °á°ú¸¦ ¹ßÇ¥Çß´Ù. ÀÌ ÅøµéÀº ¿À¼Ç·ÎÅͽº°¡ ÃÖ±Ù 3³â µ¿¾È »ç¿ëÇØ¿Â °ÍÀ̶ó°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
¿À¼Ç·ÎÅͽº´Â APT32, ÄÚ¹ßƮŰƼ(CobaltKitty), APT-C-00À̶ó´Â À̸§À¸·Îµµ ºÒ¸®´Â ´Üü·Î, ÁÖ·Î µ¿³²¾Æ Áö¿ª ±¹°¡µéÀÇ Á¤ºÎ ¹× °ø°ø ±â°üµéÀ» ³ë·Á¿Ô´Ù. ƯÈ÷ º£Æ®³², Çʸ®ÇÉ, įº¸µð¾Æ¸¦ ÁýÁßÀûÀ¸·Î °ø°ÝÇÑ °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. ¶ÇÇÑ ¸Ö¿þ¾î¸¦ 2´Ü°è·Î °¨¿°½ÃÅ°´Â °É Áñ°ÜÇÏ´Â °ÍÀ¸·Îµµ À¯¸íÇÏ´Ù.
¿À¼Ç·ÎÅͽº°¡ »ç¿ëÇÑ RAT µµ±¸µéÀ» ºí·¢º£¸® »çÀÏ·±½º ÃøÀº ·§½º´ÏÇÁ(Ratsnif)¶ó°í ºÎ¸¥´Ù. ¡°·§½º´ÏÇÁ´Â °ø°ÝÀÚµéÀÌ ³×Æ®¿öÅ©¸¦ °ø°ÝÇÒ ¼ö ÀÖ°Ô ÇØÁÝ´Ï´Ù. º¸´Ù ÀÚ¼¼ÇÏ°Ô ¸»ÇÏÀÚ¸é ÆÐŶ ½º´ÏÇÎ, °ÔÀÌÆ®¿þÀÌ¿Í ÀåºñÀÇ ARP Æ÷ÀÌÁî´×, DNS Æ÷ÀÌÁî´×, HTTP ÁÖÀÔ, MAC ½ºÇªÇΰú °°Àº ±â´ÉÀ» °¡Áö°í ÀÖÁÒ.¡±
ºí·¢º£¸® »çÀÏ·±½º°¡ ºÐ¼®ÇÑ ·§½º´ÏÇÁ »ùÇÃÀº ÃÑ ³× °¡Áö´Ù. ¼¼ °³´Â 2016³â¿¡ °³¹ßµÈ °ÍÀ¸·Î º¸À̸ç, ³ª¸ÓÁö Çϳª´Â 2018³â¿¡ ¸¸µé¾îÁ³´Ù. °¡Àå ¿À·¡µÈ »ùÇÃÀÇ °æ¿ì ÄÄÆÄÀϸµ ³¯Â¥¿Í, C&C¿ë µµ¸ÞÀÎÀÌ Á¦ÀÏ Ã³À½ È°¼ºÈ µÈ ³¯Â¥°¡ °ãÄ£´Ù. ±× ´ÙÀ½ ³ªÅ¸³ º¯Á¾ÀÇ °æ¿ì 2016³â 9¿ù¿¡ ÄÄÆÄÀϸµ µÆ´Âµ¥, 1Â÷ »ùÇÃÀÌ È°¼ºÈ µÇ°í 24½Ã°£ÀÌ Ã¤ Áö³ª±âµµ Àü¿¡ È°µ¿À» ½ÃÀÛÇß´Ù°í ÇÑ´Ù.
¡°ÀÌ ÃÖÃÊ »ùÇõéÀÇ °æ¿ì C&C ¼¹ö¿Í HTTP·Î Åë½ÅÇÏ´Â ±â´É, ÆÐŶÀ» ½º´ÏÇÎÇÏ´Â ±â´É, ARP¿Í DNS¸¦ Æ÷ÀÌÁî´×ÇÏ´Â ±â´É, HTTP¸¦ ¿ìȸ½ÃÅ°´Â ±â´É, ¿ø°Ý ¼ÐÀ» ½ÇÇà½ÃÅ°´Â ±â´ÉÀ» °¡Áö°í ÀÖ¾ú½À´Ï´Ù. ÇÇÇØÀÚÀÇ ½Ã½ºÅÛ¿¡¼ ¹ßµ¿µÇ´Â ¼ø°£ºÎÅÍ »ç¿ëÀÚ À̸§, ÄÄÇ»ÅÍ À̸§, ȯ°æ¼³Á¤ ³»¿ë, À©µµ¿ì ½Ã½ºÅÛ µð·ºÅ丮, ³×Æ®¿öÅ© Àåºñ °ü·Ã ¼¼ºÎ Á¤º¸ µîÀ» ¼öÁýÇÕ´Ï´Ù.¡±
ÃÖÃÊ Ä§Åõ ¹× Á¤ÂûÀ» ¸¶Ä£ ÈÄ¿¡´Â wpcap.dllÀ̶ó´Â ÆÄÀÏÀ» ´Ù¿î·Îµå ¹Þ¾Æ ·ÎµùÇÑ´Ù. µ¿½Ã¿¡ ´Ù¾çÇÑ ±â´ÉµéÀ» ½Ã½ºÅÛ ¾ÈÀ¸·Î µé¿©¿Â´Ù. ¡°±×·± °úÁ¤µéÀÌ ÀüºÎ ³¡³ª¸é ¸í·É Äڵ带 C&C·ÎºÎÅÍ ¹Þ½À´Ï´Ù. 10ÃÊ¿¡ ÇÑ ¹ø¾¿ ¸í·É¾î°¡ »õ·Î µé¾î¿Â °Ô ÀÖ´ÂÁö È®ÀÎÇ϶ó´Â ¸í·ÉÀÔ´Ï´Ù. Âü°í·Î ·§½º´ÏÇÁ´Â 10°³°¡ ³Ñ´Â ¸í·É¾î¸¦ Áö¿øÇÕ´Ï´Ù.¡±
2018³â ÇϹݱ⿡ µîÀåÇÑ ¸¶Áö¸· ·§½º´ÏÇÁÀÇ °æ¿ì, C&C¿Í ¿¬°áµÇÁö ¾Ê¾Æµµ °ø°ÝÀ» ½Ç½ÃÇÏ´Â Â÷ÀÌÁ¡À» °¡Áö°í ÀÖ´Ù. ¡°¸Ö¿þ¾î ÀÚü¿¡ ȯ°æ¼³Á¤ ÆÄÀÏÀÌ Ãß°¡µÈ »óÅÂÀÔ´Ï´Ù. ÀÌ ¶§¹®¿¡ C&C ¼¹ö¿Í ¿¬°áµÇÁö ¾Ê°íµµ È°µ¿À» ÇÒ ¼ö ÀÖ½À´Ï´Ù. ¶ÇÇÑ HTTP ÁÖÀÔ, ÇÁ·ÎÅäÄÝ È®ÀÎ, SSL ÇÏÀÌÀçÅ· µîÀÇ »õ·Î¿î ±â´Éµµ °¡Áö°í ÀÖ½À´Ï´Ù.¡±
½ÇÁ¦ ½º´ÏÇÎ °ø°Ý¿¡ »ç¿ëµÇ´Â ½º´ÏÆÛÀÇ °æ¿ì, ·Î´õ¶ó°í ¾Ë·ÁÁø DLL ÆÄÀÏ¿¡ ¼û°ÜÁ® ÀÖÀ¸¸ç ¸Þ¸ð¸®·Î º¹»çµÈ´Ù. 1´Ü°è ¼ÐÄڵ带 ÅëÇØ ÀÌ DLL ÆÄÀÏÀÇ ¾ÐÃàÀÌ Ç®¸®¸ç, À̸¦ ÅëÇØ µîÀåÇÏ´Â ¹ÙÀ̳ʸ®´Â 2´Ü°è ¼ÐÄڵ带 ¶Ç ´Ù¸¥ ¾²·¹µå ³»¿¡¼ ½ÇÇà½ÃŲ´Ù. ±×·¯¸é ½º´ÏÆÛ ±â´ÉÀ» °¡Áø ½ÇÇàÆÄÀÏÀÌ ¸Þ¸ð¸®·Î ÁÖÀԵȴÙ.
¡°¿©±â±îÁö °ø°ÝÀÌ ÁøÇàµÇ¸é ½º´ÏÆÛ°¡ È°µ¿À» ½ÃÀÛÇÕ´Ï´Ù. ¸ÕÀú´Â ƯÁ¤ ÆÄÀÏÀ» ã¾Æ ȯ°æ¼³Á¤À» Àо°í, º¹È£È Çϸç À̸¦ ¸Þ¸ð¸® ³»¿¡¼ È®ÀÎÇÕ´Ï´Ù. ¸¸¾à -sniff¶ó´Â ¸Å°³º¯¼ö°¡ ȯ°æ¼³Á¤ ³»¿¡ Á¸ÀçÇÑ´Ù¸é, ¹æȺ® ¿¹¿Ü ±ÔÁ¤À» Ãß°¡ÇÏ°í LSO(Large Send Offload)¸¦ ºñÈ°¼ºÈÇÏÁö¿ä. C&C °³ÀÔ ¾øÀÌ °ø°ÝÀ» ÁøÇàÇÏ´Â °Ì´Ï´Ù.¡±
±×·± ÈÄ¿¡´Â ARP Æ÷ÀÌÁî´×°ú DNS ½ºÇªÇÎÀ» À§ÇÑ ¾²·¹µå¸¦ »ý¼ºÇÑ´Ù. SSL ÇÏÀÌÀçÅ·À» ÅëÇØ SSL Æ®·¡ÇÈÀ» º¹È£È Çϱ⵵ ÇÑ´Ù. ÀÌ ¶§ »ç¿ëµÇ´Â °Ç ¿ïÇÁSSL(WolfSSL)À̶ó´Â ¿ÀǼҽº ¶óÀ̺귯¸®´Ù. º°µµ·Î Á¦°øµÇ´Â ÀÎÁõ¼¿Í ºñ¹Ð Å° ÆÄÀϵéÀÌ »ç¿ëµÉ ¶§µµ ÀÖ´Ù.
ÇöÀç ·§½º´ÏÇÁ°¡ °¡Àå ¸¹ÀÌ ±Ã±ÝÇØ ÇÏ°í ¼öÁýÇÏ·Á°í ³ë·ÂÇÏ´Â °Ç ¹Ù·Î ¸Æ(MAC) ÁÖ¼Ò´Ù. ¡°°ø°Ý Ç¥ÀûÀÌ µÈ »ç¶÷µéÀÇ µðÆúÆ® °ÔÀÌÆ®¿þÀÌ ¸Æ ÁÖ¼Ò¸¦ ¿ä±¸ÇÏ°í, È®ÀÎÀÌ µÈ ¸Æ Áּҷδ ARP ÆÐŶµéÀ» Àü¼ÛÇÕ´Ï´Ù. °á±¹ ·§½º´ÏÇÁ¸¦ Åë°úÇÏ´Â ¸ðµç Æ®·¡ÇÈÀ» ¿ìȸ½ÃÅ°°íÀÚ ÇÏ´Â °ÍÀ̶ó°í º¼ ¼ö ÀÖ½À´Ï´Ù.¡±
ºí·¢º£¸® »çÀÏ·±½º ÃøÀº ¡°·§½º´ÏÇÁ´Â ²Ï³ª Èï¹Ì·Î¿î ¸Ö¿þ¾î¡±¶ó°í ¸»ÇÑ´Ù. ¡°°í±Þ ¸Ö¿þ¾î¶ó°í ºÐ·ùÇÒ ¼ö ÀÖÀ» Á¤µµ·Î ´ë´ÜÇÏÁö ¾Ê°í, Á¦ÀÛÀÚµéÀÇ ±â¼ú·ÂÀÌ ±×¸® ³ôÁö ¾Ê´Ù´Â °É °í½º¶õÈ÷ µå·¯³À´Ï´Ù. ¾Æ´Ï, ¿À¼Ç·ÎÅͽº°¡ »ç¿ëÇÑ ÀÌÀü ¸Ö¿þ¾î¿Í ºñ±³Çصµ ¼öÁØÀÌ ³·½À´Ï´Ù. ±×·³¿¡µµ ²Ï³ª ±ä ½Ã°£ µ¿¾È ¹ß°¢µÇÁö ¾Ê°í ÇÇÇØÀÚÀÇ ³×Æ®¿öÅ©¿¡ ¼û¾î¼ È°µ¿À» ÇØ¿ÔÁÒ. ±× »ç½ÇÀÌ ¸¹Àº »ý°¢À» ÇÏ°Ô ÇÕ´Ï´Ù.¡±
ºí·¢º£¸® »çÀÏ·±½ºÀÇ ¸»Àº, °á±¹ ¹æ¾î°¡ ¿ÂÀüÇÏ°Ô ÀÌ·ïÁ³´Ù¸é ¹Ì¸® ŽÁöÇÒ ¼ö ÀÖ¾ú´ø °ø°ÝÀ̶ó´Â °ÍÀ¸·Î, °ø°ÝÀÚ°¡ ¶Ù¾î³ª¼ ´çÇÏ´Â °Íº¸´Ù ¹æ¾î°¡ Çã¼úÇؼ ´çÇÏ´Â °Ô ´õ ¸¹´Ù´Â º¸¾È ¾÷°èÀÇ ÀüÇüÀûÀÎ »ç°í ÆÐÅÏÀÌ ´Ù½Ã ÇÑ ¹ø µå·¯³µ´Ù°í º¼ ¼ö ÀÖ´Ù.
¾ó¸¶ Àü Áß±¹ÀÇ ´Üü·Î º¸ÀÌ´Â ÇÑ ÇØÅ· ±×·ìÀÌ ¼¼°è ¿©·¯ ³ª¶óÀÇ Åë½Å»çµéÀ» °ø°ÝÇØ Æ¯Á¤ Àι°°ú Á¶Á÷À» ¿°Å½ÇØ¿Ô´Ù´Â »ç½ÇÀÌ µå·¯³ª±âµµ Çß´Ù. ´ç½Ã ¸¹Àº Àü¹®°¡µéÀÌ ¡°°ø°ÝÀÚ°¡ Áö³ªÄ¡°Ô ¿À·§µ¿¾È ¼û¾î ÀÖ¾ú´Ù¡±¸ç ¡°º¸¾È Á¡°Ë°ú ¸ð´ÏÅ͸µÀ» Á¦´ë·Î Çß´Ù¸é ÇÇÇظ¦ ÈξÀ ÁÙÀÏ ¼ö ÀÖ¾úÀ» °Í¡±À̶ó°í ¸ñ¼Ò¸®¸¦ ¸ð¾Ò¾ú´Ù.
3ÁÙ ¿ä¾à
1. º£Æ®³²ÀÇ ÇØÅ· ±×·ì ¿À¼Ç·ÎÅͽº°¡ Áö³ 3³â µ¿¾È »ç¿ëÇØ¿Ô´ø RAT ¸ð¾Æ¼ ºÐ¼®.
2. ÀÌ RATµéÀ» ·§½º´ÏÇÁ¶ó°í ÅëÇÕÇØ ºÎ¸£´Âµ¥, ¿©·¯ ´Ü°è¸¦ °ÅÃÄ »ç¿ëÀÚÀÇ Á¤º¸¸¦ »©°¡´Â ±â´ÉÀ» °®Ãß°í ÀÖÀ½.
3. ÇÏÁö¸¸ ¼öÁØÀÌ ³ôÀº ¸Ö¿þ¾î´Â Àý´ë ¾Æ´Ô. ±×·³¿¡µµ ¼ö³â µ¿¾È ŽÁöÇÏÁö ¸øÇÑ ¹æ¾îÀÚµé.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>