¸®º¥Áö·§À̳ª WSH·§...µÑ ´Ù Á¤º¸¸¦ Å»ÃëÇϱâ À§ÇØ ¸¸µé¾îÁø ¸Ö¿þ¾î
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ´Ù´Ü°è »çÀ̹ö °ø°Ý¿¡¼ ÃÖÃÊ Ä§Åõ¸¦ Ã¥ÀÓÁö´Â µå·ÎÆÛ°¡ ¹ß°ßµÆ´Ù. ÀÌ µå·ÎÆÛÀÇ ±Ã±ØÀûÀÎ ¸ñÀûÀº µÎ °¡Áö ¿ø°Ý Á¢±Ù Æ®·ÎÀ̸ñ¸¶(RAT)¸¦ ¿î¹ÝÇÏ´Â °ÍÀÌ´Ù. ÀÌ Æ®·ÎÀ̸ñ¸¶ÀÇ À̸§Àº ¸®º¥Áö·§(RevengeRAT)°ú WSH·§(WSH RAT)ÀÌ´Ù. À©µµ¿ì ÀåºñµéÀÌ ÀÌ µå·ÎÆÛÀÇ ÁÖ¿ä Ç¥ÀûÀ̶ó°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
µå·ÎÆÛ¸¦ Á¦ÀÏ Ã³À½ ¹ß°ßÇÑ °Ç Æ÷Ƽ°¡µå ·¦½º(FortiGuard Labs)´Ù. ¹é½Å ¿£Áø¿¡¼ ¡®Àǽɽº·¯¿î ÆÄÀÏ¡¯·Î ŽÁö°¡ µÈ »ùÇÃÀ» È®º¸ÇÏ°Ô µÇ¸é¼ ¿ì¿¬È÷ ã¾Æ³Â´Ù°í ÇÑ´Ù. ¡°±×·¸´Ù°í ÀÌ µå·ÎÆÛ°¡ ŽÁöÀ²ÀÌ ³ôÀº °Ç ¾Æ´Õ´Ï´Ù. ¹ÙÀÌ·¯½ºÅäÅ»(VirusTotal)¿¡¼µµ ²Ï³ª ³·Àº ŽÁöÀ²À» ±â·ÏÇß½À´Ï´Ù. µû¶ó¼ ¹é½ÅÀ» ¼³Ä¡Çß´Ù°í Çؼ ÀÌ °ø°ÝÀ» ½±°Ô ¸·À» ¼ö ÀÖ´Â °Ç ¾Æ´Õ´Ï´Ù.¡±
Æ÷Ƽ°¡µå ·¦½º°¡ È®º¸ÇÑ »ùÇÃÀÇ °æ¿ì Á¦ÀÏ Ã³À½ ÀÚ¹Ù½ºÅ©¸³Æ® Äڵ带 »ç¿ëÇØ °¨¿°À» ½ÃÀÛÇÑ´Ù. ÀÌ ¾È¿¡´Â ÀÎÄÚµù µÈ µ¥ÀÌÅÍ°¡ ¼û¾î ÀÖ´Ù. ¡°ÀÌ µ¥ÀÌÅ͸¦ µðÄÚµù ÇßÀ» ¶§, ºñÁÖ¾ó º£ÀÌÁ÷ ½ºÅ©¸³Æ®(VBS)·Î ¸¸µé¾îÁø Äڵ带 ÃßÃâÇÒ ¼ö ÀÖ¾ú½À´Ï´Ù.¡± »ùÇÃÀ» ºÐ¼®ÇÑ Å©¸®½º ³ª¹Ù·¿(Chris Navarrete)°ú »þ¿ÀÆë Àå(Xiaopeng Zhang)ÀÇ ¼³¸íÀÌ´Ù. ÃßÃâÀ» ÅëÇØ µîÀåÇÏ´Â ÆÄÀÏ À̸§Àº A6p.vbs´Ù. ¿ø°Ý ¼¹ö·ÎºÎÅÍ Ãß°¡ ½ºÅ©¸³Æ®ÀÎ Microsoft.vbs¸¦ °¡Á®¿À´Â ±â´ÉÀ» ¹ßÈÖÇÑ´Ù.
¡°Microsoft.vbs°¡ ½ÇÇàµÇ¸é WScript.ShellÀ̶ó´Â °´Ã¼°¡ »õ·Ó°Ô »ý¼ºµË´Ï´Ù. µ¿½Ã¿¡ OS ȯ°æ°ú ÇϵåÄÚµå µÈ µ¥ÀÌÅÍ°¡ ¼öÁýµË´Ï´Ù. ±×·¯°í ³ª¼´Â ¶Ç ´Ù¸¥ ºñÁÖ¾ó º£ÀÌÁ÷ ½ºÅ©¸³Æ®°¡ »õ·Ó°Ô ¸¸µé¾îÁö´Âµ¥, À̸§ÀÌ GXxdZDvzyH.vbsÀÔ´Ï´Ù. ÀÌ ¸¶Áö¸· ½ºÅ©¸³Æ®´Â VBS ÀÎÅÍÇÁ¸®Å͸¦ È£ÃâÇÔÀ¸·Î½á »ý¼ºµÇ´Âµ¥, ÀÌ ¶§ //B¶ó´Â ¸Å°³º¯¼ö°¡ È°¿ëµË´Ï´Ù. ÀÌ·¸°Ô ÇÔÀ¸·Î½á °æ°í ¸Þ½ÃÁö°¡ ¶ßÁö ¾Êµµ·Ï ÇÏ´Â °Ì´Ï´Ù.¡±
GXxdZDvzyH.vbs°¡ ½ÇÇàµÇ¸é, ¸í·ÉÇàÀ» ÅëÇØ ¿©·¯ °¡Áö ÆÄ¿ö¼Ð ¸í·ÉÀÌ ½ÇÇàµÈ´Ù. ÁÖ·Î À©µµ¿ì¿¡ ±âº»ÀûÀ¸·Î žÀçµÈ Á¤Ã¥À» ÇØÁ¦Çϱâ À§ÇÑ °ÍÀÌ´Ù. ¡°ÀÚµ¿À¸·Î ÆÄ¿ö¼Ð ½ºÅ©¸³Æ®°¡ ½ÇÇàµÇÁö ¾Êµµ·Ï ÇÏ´Â ±ÔÄ¢µéÀÌ ÀÖ½À´Ï´Ù. ±×°É Ãë¼Ò½ÃÅ°´Â °Ì´Ï´Ù. ±×·± ÈÄ¿¡´Â ÆÄ¿ö¼Ð ¸í·ÉÀ» ½ÇÇàÇØ ÃÖÁ¾ ÆäÀ̷εå Áß ÇϳªÀÎ ¸®º¥Áö·§À» ·Îµù½Ãŵ´Ï´Ù.
¸®º¥Áö·§
¹«·Á 4´Ü°èÀÇ VBS °¨¿° »ç½½À» °Ç³Ê ½Ã½ºÅÛ¿¡ ½É°ÜÁö´Â ¸®º¥Áö·§Àº ²Ï³ª À¯¸íÇÑ ¸Ö¿þ¾î·Î APT33°ú °°Àº °ø°Ý ´ÜüµéÀÌ °ú°Å¿¡ »ç¿ëÇϱ⵵ Çß¾ú´Ù. ¸®º¥Áö·§Àº µÎ °³ÀÇ C&C ¼¹ö¿Í ¿¬°áÇÑ »óÅ¿¡¼ ÇÇÇØÀÚÀÇ Á¤º¸¸¦ »©³» Àü¼ÛÇÑ´Ù. ÀÌ ¶§ Àü¼ÛµÇ´Â µ¥ÀÌÅÍ´Â ÁÖ¿ä ¹®ÀÚ¿ ¸í·É, ¸í·É ½ÇÇà¿¡ ÇÊ¿äÇÑ µ¥ÀÌÅÍ Çʵå, µ¥ÀÌÅ͸¦ °¢±â ºÐ¸®ÇØ ³»´Â ¼¼ÆÛ·¹ÀÌÅÍ, ÃÖÁ¾ ¹®ÀÚ¿ µî ¿©·¯ ºÎºÐÀ¸·Î ±¸¼ºµÈ ÆÐŶ ÇüŸ¦ ÃëÇÏ°í ÀÖ´Ù.
³»¿ëÀÇ Ãø¸é¿¡¼ ÀÌ ÆÐŶÀº ½Ã½ºÅÛÀÇ Áö¹® Á¤º¸(digital fingerprinting)¸¦ Æ÷ÇÔÇÏ°í ÀÖ´Ù. ¼¼ÆÛ·¹ÀÌÅÍ¿¡ ÀÇÇØ ÃÑ 15°³ÀÇ ºí·ÏÀ¸·Î ³ª´µ¾îÁ® Àִµ¥ ´ëºÎºÐÀº º£À̽º64(base64)·Î ÀÎÄÚµù µÇ¾î ÀÖ´Ù. IPÁÖ¼Ò, ½Ã½ºÅÛ À̸§, »ç¿ëÀÚ À̸§, À¥Ä· À¯¹«, À©µµ¿ì ½Ã½ºÅÛ Á¤º¸, CPU Á¤º¸, ¸Þ¸ð¸® ÃÑ ¿ë·®, ¼³Ä¡µÈ ¹é½Å°ú ¹æȺ® Á¾·ù, °¡Àå À§¿¡ ¿·Á Àִ â, ½Ã½ºÅÛ µðÆúÆ® ¾ð¾î µîÀÇ ³»¿ëÀÌ ´ã°Ü ÀÖ´Ù.
±× ¿Ü¿¡µµ À̹ø °ø°Ý¿¡ ¿¬·çµÈ °ÍÀ¸·Î º¸ÀÌ´Â ¸®º¥Áö·§¿¡´Â this.data()¶ó´Â ÇÔ¼ö°¡ Æ÷ÇԵǾî Àֱ⵵ Çß´Ù. C&C¿¡¼ ¿Â ¸í·ÉµéÀ» ó¸®ÇÏ´Â ¿ªÇÒÀ» ´ã´çÇÏ°í ÀÖ¾ú´Ù. ¡°»Ó¸¸ ¾Æ´Ï¶ó ¸î °¡Áö ¸ÅÁ÷ ½ºÆ®¸µ(magic string)À» ¼û±â°í Àֱ⵵ ÇÕ´Ï´Ù. ±× Áß ´«¿¡ ¶ç´Â °Ç P¶ó´Â ¸í·É¾î¿´½À´Ï´Ù. °¡Àå À§¿¡ ¿·Á Àִ âÀÇ ¡®Å¸ÀÌƲ °ª¡¯À» ¿äûÇÏ´Â ¸í·É¾îÀÔ´Ï´Ù. ±× ¿Ü¿¡ IE¿Í LP¶ó´Â ¸í·É¾îµéµµ ÁÖÀǸ¦ ¿äÇÕ´Ï´Ù. ½Ã½ºÅÛ ·¹Áö½ºÆ®¸®¸¦ Á¶ÀÛÇ϶ó´Â ³»¿ëÀÇ ¸í·ÉÀ̰ŵç¿ä. UNV ¸í·ÉÀ» ÅëÇÏ¿© °ø°ÝÀÚµéÀº ¾Ç¼º ¾î¼Àºí¸® ¾ð¾î¸¦ Àü¼ÛÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
WSH·§
°ø°Ý¿¡ µû¶ó ¸®º¥Áö·§ÀÌ ¾Æ´Ï¶ó WSH·§ 1.6 ¹öÀüÀÌ ½É°ÜÁö´Â °æ¿ìµµ ÀÖ¾ú´Ù. ¡°WSH·§Àº ¿ÃÇØ ¿©¸§¿¡ óÀ½ ¹ß°ßµÈ ¸Ö¿þ¾î·Î, ÀºÇàµéÀ» °Ü³ÉÇÑ Å°·Î±ë °ø°ÝÀ» ÁÖ·Î Çß½À´Ï´Ù. VBS¸¦ ±â¹ÝÀ¸·Î ÇÑ Èĵð´Ï ¿ú(Houdini Worm)°ú ½ÖµÕÀÌ ¼öÁØÀ¸·Î ºñ½ÁÇÕ´Ï´Ù. Èĵð´Ï ¿úÀº 2013³âºÎÅÍ »çÀ̹ö °ø°£¿¡¼ ³ªÅ¸³ª´Â ¾Ç¼º ¸Ö¿þ¾î·Î, Ç¥Àû °ø°Ý°ú »ìÆ÷ °ø°Ý ¸ðµÎ¿¡ È°¿ëµÉ ¸¸Å ¶Ù¾î³ À¯¿¬¼ºÀ» º¸¿©ÁÝ´Ï´Ù.¡±
À̹ø¿¡ ¹ß°ßµÈ WSH·§ÀÇ °æ¿ì ÃÑ 29°³ÀÇ ÇÔ¼ö¸¦ ³»Æ÷ÇÏ°í ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ½Ã½ºÅÛ ³»¿¡¼ °ø°Ý Áö¼Ó¼ºÀ» È®º¸ÇÏ´Â °Í¿¡¼ºÎÅÍ µ¥ÀÌÅ͸¦ »©µ¹¸®´Â °Í±îÁö ´Ù¾çÇÑ ±â´ÉÀ» ¹ßÈÖÇÑ´Ù. ¡°ÇÏÁö¸¸ °¡Àå ÁÖ·ÂÀÌ µÇ´Â ±â´ÉÀº Å©·Ò, ¸ðÁú¶ó µî ÀαⰡ ³ôÀº À¯¸í ºê¶ó¿ìÀú·ÎºÎÅÍ Á¤º¸¸¦ ÈÉÄ¡´Â °ÍÀÔ´Ï´Ù. ²Ï³ª ÃÖ±Ù¿¡ ¹ßÇ¥µÈ ¹öÀüµéµµ ÀͽºÇ÷ÎÀÕ ÇÒ ¼ö ÀÖÀ» Á¤µµ·Î ÃÖ½ÅÈ µÇ¾î ÀÖ´Â »óÅ¿´½À´Ï´Ù.¡± ±× ¿Ü¿¡ disconnect, reboot, shutdown, execute, kill-process, sleep°ú °°Àº ¸í·ÉÀ» Áö¿øÇϱ⵵ ÇÑ´Ù.
WSH·§Àº ½ÇÇà°ú µ¿½Ã¿¡ º¸¾È°ú °ü·ÃµÈ ³»¿ëºÎÅÍ È®ÀÎÇÑ´Ù. ÇöÀç »ç¿ëÀÚ°¡ °¡Áö°í ÀÖ´Â ±ÇÇÑÀ» È®ÀÎÇÑ ÈÄ ±× °á°ú¿¡ µû¶ó »óŸ¦ À¯ÁöÇϰųª ´õ ³ôÀº ±ÇÇÑÀ» ÃëµæÇϱâ À§ÇÑ °ø°ÝÀ» ½ÃÀÛÇÑ´Ù. ±×·± ÈÄ µÎ ¹ø° º¸¾È Á¡°ËÀ» ½Ç½ÃÇØ ÇöÀç »ç¿ëÀÚÀÇ º¸¾È ÄÁÅؽºÆ®¸¦ ÇØÁ¦½ÃŲ´Ù. ¶ÇÇÑ Á¦´ë·Î Çü½ÄÀ» °®Ãá HTTP ¿äûÀ» »ý¼ºÇØ ÇÇÇØÀÚ ÄÄÇ»ÅÍ¿¡ ´ëÇÑ Á¤º¸¸¦ ¼öÁýÇϱ⵵ ÇÑ´Ù. ±× ´ÙÀ½¿¡´Â »ç¿ëÀÚ ¿¡ÀÌÀüÆ®(User-Agent) Çì´õ¸¦ »ç¿ëÇØ ¼öÁýµÈ Á¤º¸¸¦ »©µ¹¸°´Ù.
°ø°Ý Áö¼Ó¼º È®º¸¸¦ À§Çؼ ·¹Áö½ºÆ®¸¦ ¼Õº»´Ù. ±×·± ´ÙÀ½¿¡´Â ½º½º·Î¸¦ À©µµ¿ì ½ÃÀÛ ÇÁ·Î±×·¥ Æú´õ¿¡ º¹»çÇØ À©µµ¿ì ÀçºÎÆà ½Ã ÀÚµ¿À¸·Î ½ÃÀ۵ǵµ·Ï ¸¸µç´Ù. ¡°ÃÖÃÊ µå·ÎÆÛ¿Í ¿¬°áµÇ´Â C&C ¼¹öµéÀº ¾Æ½±°Ôµµ À̹ø ºÐ¼® ±â°£ µ¿¾È ¿ÀÇÁ¶óÀÎ »óÅ¿´½À´Ï´Ù. µû¶ó¼ °ø°ÝÀÚ¿Í Ä·ÆäÀο¡ ´ëÇÑ º¸´Ù ±íÀº Á¤º¸´Â ¾ò¾î³¾ ¼ö°¡ ¾ø¾ú½À´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. óÀ½ ¹ß°ßµÈ µå·ÎÆÛ, µÎ °¡Áö ¿ø°Ý Á¢±Ù Æ®·ÎÀ̸ñ¸¶¸¦ ½ÉÀ½.
2. Çϳª´Â ¸®º¥Áö·§À¸·Î, Á¤º¸¸¦ Å»ÃëÇÏ´Â °ÍÀ» °¡Àå ÁÖ¿ä ¸ñÇ¥·Î ÇÏ°í ÀÖÀ½.
3. µÎ ¹ø°´Â WSH·§À¸·Î, ¿ª½Ã Á¤º¸ Å»ÃëÇü ¸Ö¿þ¾îÀ̳ª Èĵð´Ï ¿ú°ú °ÅÀÇ µ¿ÀÏÇÔ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>