Home > Àüü±â»ç

»çÀ̹ö ¹üÁË ´Üü ÇÉ8, »õ·Î¿î ¸®¹ö½º ¼Ð µé°í ³ªÅ¸³ª

ÀÔ·Â : 2019-07-24 16:04
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
¹èµåÆÐÄ¡¶ó´Â ¸®¹ö½º ¼Ð ¸Ö¿þ¾î...C&C¿Í Åë½Å ä³Î ¸¸µå´Â µ¥ »ç¿ëµÅ
Ãß°¡·Î ¼ÐƼ¿Í Æ÷½½·´À̶ó´Â ±âÁ¸ ¸Ö¿þ¾î º¯Á¾µéµµ ÇÔ²² »ç¿ëµÇ°í ÀÖ¾î


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ÇÉ8(FIN8)À̶ó´Â »çÀ̹ö ¹üÁË ´Üü¸¦ ÃßÀûÇÏ°í ÀÖ´Â º¸¾È Àü¹®°¡µéÀÌ »õ·Î¿î »ç½ÇÀ» °ø°³Çß´Ù. ÇÉ8ÀÌ »õ·Î¿î ¸®¹ö½º ¼Ð ¸Ö¿þ¾î ÇÁ·Î±×·¥À» »ç¿ëÇØ C&C Åë½Å ä³ÎÀ» ¸¸µå´Â ¼ö¹ýÀ» µ¿¿øÇϱ⠽ÃÀÛÇß´Ù´Â °ÍÀÌ´Ù.

[À̹ÌÁö = iclickart]


¶ÇÇÑ ÇÉ8ÀÌ »ç¿ëÇÏ´Â ¹éµµ¾î ÀÓÇöõÆ®ÀÎ ¼ÐƼ(ShellTea)¿Í POS ¸Ö¿þ¾îÀÎ Æ÷½½·´(PoSlurp)¿¡ ´ëÇÑ ¼¼ºÎ ³»¿ëµµ °°ÀÌ °ø°³µÆ´Ù.

±ÝÀüÀûÀÎ ¸ñÀûÀ» °¡Áö°í »çÀ̹ö °ø°ÝÀ» ½Ç½ÃÇÏ´Â ÇÉ8Àº Áö³­ ´ÞºÎÅÍ °©ÀÚ±â È°µ¿·®À» ´Ã·È´Ù. º¸¾È ¾÷ü ¸ðÇǼ½(Morphisec)ÀÌ ±×·± ÇÉ8À» ¹ß°ßÇϸç, ¼ÐƼÀÇ »õ·Î¿î º¯Á¾ ¿ª½Ã ÇÔ²² ã¾Æ³»´Â µ¥ ¼º°øÇß¾ú´Ù. ±×¸®°í ¿À´Ã ±â°¡¸ó(Gigamon)ÀÇ À§Çù ¿¬±¸ ÆÀ¿¡¼­ ÇÉ8ÀÇ ¶Ç ´Ù¸¥ Åø¼ÂÀ» °ø°³ÇÑ °ÍÀÌ´Ù.

±â°¡¸ó¿¡ ÀÇÇϸé ÇÉ8 °ø°ÝÀÚµéÀº ÃÖ±Ù µé¾î ¹èµåÇØÄ¡(BADHATCH)¶ó´Â »õ·Î¿î ¸®¹ö½º ¼Ð ¸Ö¿þ¾î¸¦ »ç¿ëÇϱ⠽ÃÀÛÇß´Ù°í ÇÑ´Ù. ¹èµåÇØÄ¡´Â ÀÌÀü¿¡ µîÀåÇß´ø ÆÄÀÏ·¹½º ´Ù¿î·Î´õÀÎ ÆÄ¿ö½º´ÏÇÁ(PowerSniff) ȤÀº ÆÝÄ¡¹ö±â(PUNCHBUGGY)¿Í À¯»çÇÑ Á¡ÀÌ ÀÖ´Ù°í ÇÑ´Ù.

¡°¹èµåÇØÄ¡´Â 1´Ü°è °ø°Ý¿¡¼­ ÀÓº£µå µÈ 2´Ü°è DLLÀ» ¸Þ¸ð¸®¿¡ ·Îµù½Ãŵ´Ï´Ù. DLLÀÌ ½ÇÇàµÇ¸é svchost.exe ÇÁ·Î¼¼½º³ª explorer.exe ÇÁ·Î¼¼½º¿¡ ½º½º·Î¸¦ ÁÖÀÔ½Ãŵ´Ï´Ù. ±× ´ÙÀ½Àº ÇϵåÄÚµù µÈ C&C IP ÁÖ¼Ò·Î ½ÅÈ£¸¦ º¸³À´Ï´Ù. ÀÌ ¶§ TLS ¾Ïȣȭ ±â´ÉÀ» »ç¿ëÇÕ´Ï´Ù.¡± ±â°¡¸óÀÇ ¼³¸íÀÌ´Ù.

C&C¿ÍÀÇ ¿¬°á¿¡ ¼º°øÇÏ¸é ¹èµåÇØÄ¡´Â È£½ºÆ® ½Äº° ¹®ÀÚ¿­(host identification string), ½Ã½ºÅÛ OS ¹öÀü Á¤º¸ µîÀ» Àü¼ÛÇÑ´Ù. ±× ´ÙÀ½ cmd.exe ÇÁ·Î¼¼½º¸¦ ½ÃÀÛÇØ ¸í·ÉÀ» ½ÇÇà½Ãų Áغñ¸¦ ¸¶Ä£´Ù. ÁÖ·Î ¾÷·Îµå, ´Ù¿î·Îµå, ÇÁ·Î¼¼½º Á¾·á¿Í °°Àº ¸í·ÉÀÌ ½ÇÇà½Ãų ¼ö ÀÖ´Ù.

¶ÇÇÑ ¹èµåÆÐÄ¡´Â À©µµ¿ìÀÇ IO ÄÄÇø®¼Ç Æ÷Æ® API(Windows IO Completion Port API)µé°ú Àú´Ü°è ¾Ïȣȭ APIµéÀ» »ç¿ëÇÑ´Ù°í ±â°¡¸óÀº ¼³¸íÇÑ´Ù. À̸¦ ÅëÇØ ºñ´ëĪ TLS·Î Æ÷ÀåµÈ TCP/IP ä³ÎÀÌ ¸¸µé¾îÁö´Â °ÍÀ̶ó°í ÇÑ´Ù. ¡°ÇÏÁö¸¸ ±× ºÎÀÛ¿ëÀ¸·Î Æ÷Æ® 3885°¡ ¿­¸®°í localhost¿¡ ¹­ÀÌ°Ô µË´Ï´Ù. ±×·¡¼­ ¹èµåÆÐÄ¡´Â ¾Ïȣȭ °úÁ¤¿¡¼­ ÀÌ Æ÷Æ®¸¦ ·ì¹é Àü¼Û ä³Î(loopback transmission channel)·Î »ç¿ëÇÕ´Ï´Ù.¡±

±×·¸´Ù¸é ¹èµåÇØÄ¡´Â ¾ÖÃÊ¿¡ ¾î¶»°Ô ½Ã½ºÅÛ¿¡ ħÅõÇÏ°Ô µÇ´Â °É±î? ±â°¡¸óÀº ¡°°ø°ÝÀÚµéÀÌ À©µµ¿ì °ü¸® µµ±¸ ¸í·ÉÇà(WMIC) À¯Æ¿¸®Æ¼¸¦ ÅëÇØ ÆÄ¿ö¼Ð ½ºÅ©¸³Æ®¸¦ ¹èÆ÷ÇÑ´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°¹Ù·Î ÀÌ ÆÄ¿ö¼Ð ½ºÅ©¸³Æ®¿¡¼­ºÎÅÍ ´Ù´Ü°è °¨¿°ÀÌ ½ÃÀ۵Ǵ °Ì´Ï´Ù.¡±

ÇÉ8Àº ¹èµåÆÐÄ¡¸¦ ¼ÐƼ ¹éµµ¾î³ª Æ÷½½·´ POS ¸Ö¿þ¾î¿Í ÇÔ²² »ç¿ëÇÏ°í ÀÖ´Ù°í ÇÑ´Ù. ±â°¡¸óÀº ÀÌ·¸°Ô È¥ÇÕµÈ °ø°ÝÀ» °¢°¢ ¼ÐƼB(ShellTea.B)¿Í Æ÷½½·´B(PoSlurp.B)¶ó°í ºÎ¸¥´Ù. º¸´Ù »ó¼¼ÇÑ ±â¼úÀû Á¤º¸´Â ±â°¡¸óÀÇ ºí·Î±×(https://atr-blog.gigamon.com/2019/07/23/abadbabe-8badf00d-discovering-badhatch-and-a-detailed-look-at-fin8s-tooling/)¸¦ ÅëÇØ ¿­¶÷ÀÌ °¡´ÉÇÏ´Ù.

3ÁÙ ¿ä¾à
1. »çÀ̹ö °ø°Ý ´Üü ÇÉ8, Áö³­ ´ÞºÎÅÍ °ø°Ý È°µ¿ ±ÞÁõ½ÃÅ´.
2. À̹ø¿¡ ±â°¡¸ó¿¡¼­ ÇÉ8ÀÇ »õ·Î¿î ¹éµµ¾îÀÎ ¹èµåÆÐÄ¡¸¦ ¹ß°ßÇØ »ó¼¼È÷ °ø°³ÇÔ.
3. ÃÖ±Ù ÇÉ8ÀÇ Ä·ÆäÀο¡¼­´Â ¡®¹èµåÆÐÄ¡ + ¼ÐƼ¡¯ ȤÀº ¡®¹èµåÆÐÄ¡ + Æ÷½½·´¡¯ÀÌ »ç¿ëµÇ´Â °Ô ´ë¼¼.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)