Home > Àüü±â»ç

´Ù´Ü°è °ø°Ý¿ë µå·ÎÆÛ, µÎ °¡Áö RAT Áß Çϳª ½É¾î¼­ Á¤º¸ Å»Ãë

ÀÔ·Â : 2019-11-18 14:33
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
3~4¹øÀÇ ºñÁÖ¾ó º£ÀÌÁ÷ ½ºÅ©¸³Æ® È°¿ë ÅëÇØ ÃÖÁ¾ ÆäÀÌ·Îµå ½É¾î
¸®º¥Áö·§À̳ª WSH·§...µÑ ´Ù Á¤º¸¸¦ Å»ÃëÇϱâ À§ÇØ ¸¸µé¾îÁø ¸Ö¿þ¾î


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ´Ù´Ü°è »çÀ̹ö °ø°Ý¿¡¼­ ÃÖÃÊ Ä§Åõ¸¦ Ã¥ÀÓÁö´Â µå·ÎÆÛ°¡ ¹ß°ßµÆ´Ù. ÀÌ µå·ÎÆÛÀÇ ±Ã±ØÀûÀÎ ¸ñÀûÀº µÎ °¡Áö ¿ø°Ý Á¢±Ù Æ®·ÎÀ̸ñ¸¶(RAT)¸¦ ¿î¹ÝÇÏ´Â °ÍÀÌ´Ù. ÀÌ Æ®·ÎÀ̸ñ¸¶ÀÇ À̸§Àº ¸®º¥Áö·§(RevengeRAT)°ú WSH·§(WSH RAT)ÀÌ´Ù. À©µµ¿ì ÀåºñµéÀÌ ÀÌ µå·ÎÆÛÀÇ ÁÖ¿ä Ç¥ÀûÀ̶ó°í ÇÑ´Ù.

[À̹ÌÁö = iclickart]


µå·ÎÆÛ¸¦ Á¦ÀÏ Ã³À½ ¹ß°ßÇÑ °Ç Æ÷Ƽ°¡µå ·¦½º(FortiGuard Labs)´Ù. ¹é½Å ¿£Áø¿¡¼­ ¡®Àǽɽº·¯¿î ÆÄÀÏ¡¯·Î ŽÁö°¡ µÈ »ùÇÃÀ» È®º¸ÇÏ°Ô µÇ¸é¼­ ¿ì¿¬È÷ ã¾Æ³Â´Ù°í ÇÑ´Ù. ¡°±×·¸´Ù°í ÀÌ µå·ÎÆÛ°¡ ŽÁöÀ²ÀÌ ³ôÀº °Ç ¾Æ´Õ´Ï´Ù. ¹ÙÀÌ·¯½ºÅäÅ»(VirusTotal)¿¡¼­µµ ²Ï³ª ³·Àº ŽÁöÀ²À» ±â·ÏÇß½À´Ï´Ù. µû¶ó¼­ ¹é½ÅÀ» ¼³Ä¡Çß´Ù°í Çؼ­ ÀÌ °ø°ÝÀ» ½±°Ô ¸·À» ¼ö ÀÖ´Â °Ç ¾Æ´Õ´Ï´Ù.¡±

Æ÷Ƽ°¡µå ·¦½º°¡ È®º¸ÇÑ »ùÇÃÀÇ °æ¿ì Á¦ÀÏ Ã³À½ ÀÚ¹Ù½ºÅ©¸³Æ® Äڵ带 »ç¿ëÇØ °¨¿°À» ½ÃÀÛÇÑ´Ù. ÀÌ ¾È¿¡´Â ÀÎÄÚµù µÈ µ¥ÀÌÅÍ°¡ ¼û¾î ÀÖ´Ù. ¡°ÀÌ µ¥ÀÌÅ͸¦ µðÄÚµù ÇßÀ» ¶§, ºñÁÖ¾ó º£ÀÌÁ÷ ½ºÅ©¸³Æ®(VBS)·Î ¸¸µé¾îÁø Äڵ带 ÃßÃâÇÒ ¼ö ÀÖ¾ú½À´Ï´Ù.¡± »ùÇÃÀ» ºÐ¼®ÇÑ Å©¸®½º ³ª¹Ù·¿(Chris Navarrete)°ú »þ¿ÀÆë Àå(Xiaopeng Zhang)ÀÇ ¼³¸íÀÌ´Ù. ÃßÃâÀ» ÅëÇØ µîÀåÇÏ´Â ÆÄÀÏ À̸§Àº A6p.vbs´Ù. ¿ø°Ý ¼­¹ö·ÎºÎÅÍ Ãß°¡ ½ºÅ©¸³Æ®ÀÎ Microsoft.vbs¸¦ °¡Á®¿À´Â ±â´ÉÀ» ¹ßÈÖÇÑ´Ù.

¡°Microsoft.vbs°¡ ½ÇÇàµÇ¸é WScript.ShellÀ̶ó´Â °´Ã¼°¡ »õ·Ó°Ô »ý¼ºµË´Ï´Ù. µ¿½Ã¿¡ OS ȯ°æ°ú ÇϵåÄÚµå µÈ µ¥ÀÌÅÍ°¡ ¼öÁýµË´Ï´Ù. ±×·¯°í ³ª¼­´Â ¶Ç ´Ù¸¥ ºñÁÖ¾ó º£ÀÌÁ÷ ½ºÅ©¸³Æ®°¡ »õ·Ó°Ô ¸¸µé¾îÁö´Âµ¥, À̸§ÀÌ GXxdZDvzyH.vbsÀÔ´Ï´Ù. ÀÌ ¸¶Áö¸· ½ºÅ©¸³Æ®´Â VBS ÀÎÅÍÇÁ¸®Å͸¦ È£ÃâÇÔÀ¸·Î½á »ý¼ºµÇ´Âµ¥, ÀÌ ¶§ //B¶ó´Â ¸Å°³º¯¼ö°¡ È°¿ëµË´Ï´Ù. ÀÌ·¸°Ô ÇÔÀ¸·Î½á °æ°í ¸Þ½ÃÁö°¡ ¶ßÁö ¾Êµµ·Ï ÇÏ´Â °Ì´Ï´Ù.¡±

GXxdZDvzyH.vbs°¡ ½ÇÇàµÇ¸é, ¸í·ÉÇàÀ» ÅëÇØ ¿©·¯ °¡Áö ÆÄ¿ö¼Ð ¸í·ÉÀÌ ½ÇÇàµÈ´Ù. ÁÖ·Î À©µµ¿ì¿¡ ±âº»ÀûÀ¸·Î žÀçµÈ Á¤Ã¥À» ÇØÁ¦Çϱâ À§ÇÑ °ÍÀÌ´Ù. ¡°ÀÚµ¿À¸·Î ÆÄ¿ö¼Ð ½ºÅ©¸³Æ®°¡ ½ÇÇàµÇÁö ¾Êµµ·Ï ÇÏ´Â ±ÔÄ¢µéÀÌ ÀÖ½À´Ï´Ù. ±×°É Ãë¼Ò½ÃÅ°´Â °Ì´Ï´Ù. ±×·± ÈÄ¿¡´Â ÆÄ¿ö¼Ð ¸í·ÉÀ» ½ÇÇàÇØ ÃÖÁ¾ ÆäÀ̷εå Áß ÇϳªÀÎ ¸®º¥Áö·§À» ·Îµù½Ãŵ´Ï´Ù.

¸®º¥Áö·§
¹«·Á 4´Ü°èÀÇ VBS °¨¿° »ç½½À» °Ç³Ê ½Ã½ºÅÛ¿¡ ½É°ÜÁö´Â ¸®º¥Áö·§Àº ²Ï³ª À¯¸íÇÑ ¸Ö¿þ¾î·Î APT33°ú °°Àº °ø°Ý ´ÜüµéÀÌ °ú°Å¿¡ »ç¿ëÇϱ⵵ Çß¾ú´Ù. ¸®º¥Áö·§Àº µÎ °³ÀÇ C&C ¼­¹ö¿Í ¿¬°áÇÑ »óÅ¿¡¼­ ÇÇÇØÀÚÀÇ Á¤º¸¸¦ »©³» Àü¼ÛÇÑ´Ù. ÀÌ ¶§ Àü¼ÛµÇ´Â µ¥ÀÌÅÍ´Â ÁÖ¿ä ¹®ÀÚ¿­ ¸í·É, ¸í·É ½ÇÇà¿¡ ÇÊ¿äÇÑ µ¥ÀÌÅÍ Çʵå, µ¥ÀÌÅ͸¦ °¢±â ºÐ¸®ÇØ ³»´Â ¼¼ÆÛ·¹ÀÌÅÍ, ÃÖÁ¾ ¹®ÀÚ¿­ µî ¿©·¯ ºÎºÐÀ¸·Î ±¸¼ºµÈ ÆÐŶ ÇüŸ¦ ÃëÇÏ°í ÀÖ´Ù.

³»¿ëÀÇ Ãø¸é¿¡¼­ ÀÌ ÆÐŶÀº ½Ã½ºÅÛÀÇ Áö¹® Á¤º¸(digital fingerprinting)¸¦ Æ÷ÇÔÇÏ°í ÀÖ´Ù. ¼¼ÆÛ·¹ÀÌÅÍ¿¡ ÀÇÇØ ÃÑ 15°³ÀÇ ºí·ÏÀ¸·Î ³ª´µ¾îÁ® Àִµ¥ ´ëºÎºÐÀº º£À̽º64(base64)·Î ÀÎÄÚµù µÇ¾î ÀÖ´Ù. IPÁÖ¼Ò, ½Ã½ºÅÛ À̸§, »ç¿ëÀÚ À̸§, À¥Ä· À¯¹«, À©µµ¿ì ½Ã½ºÅÛ Á¤º¸, CPU Á¤º¸, ¸Þ¸ð¸® ÃÑ ¿ë·®, ¼³Ä¡µÈ ¹é½Å°ú ¹æÈ­º® Á¾·ù, °¡Àå À§¿¡ ¿­·Á Àִ â, ½Ã½ºÅÛ µðÆúÆ® ¾ð¾î µîÀÇ ³»¿ëÀÌ ´ã°Ü ÀÖ´Ù.

±× ¿Ü¿¡µµ À̹ø °ø°Ý¿¡ ¿¬·çµÈ °ÍÀ¸·Î º¸ÀÌ´Â ¸®º¥Áö·§¿¡´Â this.data()¶ó´Â ÇÔ¼ö°¡ Æ÷ÇԵǾî Àֱ⵵ Çß´Ù. C&C¿¡¼­ ¿Â ¸í·ÉµéÀ» ó¸®ÇÏ´Â ¿ªÇÒÀ» ´ã´çÇÏ°í ÀÖ¾ú´Ù. ¡°»Ó¸¸ ¾Æ´Ï¶ó ¸î °¡Áö ¸ÅÁ÷ ½ºÆ®¸µ(magic string)À» ¼û±â°í Àֱ⵵ ÇÕ´Ï´Ù. ±× Áß ´«¿¡ ¶ç´Â °Ç P¶ó´Â ¸í·É¾î¿´½À´Ï´Ù. °¡Àå À§¿¡ ¿­·Á Àִ âÀÇ ¡®Å¸ÀÌƲ °ª¡¯À» ¿äûÇÏ´Â ¸í·É¾îÀÔ´Ï´Ù. ±× ¿Ü¿¡ IE¿Í LP¶ó´Â ¸í·É¾îµéµµ ÁÖÀǸ¦ ¿äÇÕ´Ï´Ù. ½Ã½ºÅÛ ·¹Áö½ºÆ®¸®¸¦ Á¶ÀÛÇ϶ó´Â ³»¿ëÀÇ ¸í·ÉÀ̰ŵç¿ä. UNV ¸í·ÉÀ» ÅëÇÏ¿© °ø°ÝÀÚµéÀº ¾Ç¼º ¾î¼Àºí¸® ¾ð¾î¸¦ Àü¼ÛÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±

WSH·§
°ø°Ý¿¡ µû¶ó ¸®º¥Áö·§ÀÌ ¾Æ´Ï¶ó WSH·§ 1.6 ¹öÀüÀÌ ½É°ÜÁö´Â °æ¿ìµµ ÀÖ¾ú´Ù. ¡°WSH·§Àº ¿ÃÇØ ¿©¸§¿¡ óÀ½ ¹ß°ßµÈ ¸Ö¿þ¾î·Î, ÀºÇàµéÀ» °Ü³ÉÇÑ Å°·Î±ë °ø°ÝÀ» ÁÖ·Î Çß½À´Ï´Ù. VBS¸¦ ±â¹ÝÀ¸·Î ÇÑ Èĵð´Ï ¿ú(Houdini Worm)°ú ½ÖµÕÀÌ ¼öÁØÀ¸·Î ºñ½ÁÇÕ´Ï´Ù. Èĵð´Ï ¿úÀº 2013³âºÎÅÍ »çÀ̹ö °ø°£¿¡¼­ ³ªÅ¸³ª´Â ¾Ç¼º ¸Ö¿þ¾î·Î, Ç¥Àû °ø°Ý°ú »ìÆ÷ °ø°Ý ¸ðµÎ¿¡ È°¿ëµÉ ¸¸Å­ ¶Ù¾î³­ À¯¿¬¼ºÀ» º¸¿©ÁÝ´Ï´Ù.¡±

À̹ø¿¡ ¹ß°ßµÈ WSH·§ÀÇ °æ¿ì ÃÑ 29°³ÀÇ ÇÔ¼ö¸¦ ³»Æ÷ÇÏ°í ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ½Ã½ºÅÛ ³»¿¡¼­ °ø°Ý Áö¼Ó¼ºÀ» È®º¸ÇÏ´Â °Í¿¡¼­ºÎÅÍ µ¥ÀÌÅ͸¦ »©µ¹¸®´Â °Í±îÁö ´Ù¾çÇÑ ±â´ÉÀ» ¹ßÈÖÇÑ´Ù. ¡°ÇÏÁö¸¸ °¡Àå ÁÖ·ÂÀÌ µÇ´Â ±â´ÉÀº Å©·Ò, ¸ðÁú¶ó µî ÀαⰡ ³ôÀº À¯¸í ºê¶ó¿ìÀú·ÎºÎÅÍ Á¤º¸¸¦ ÈÉÄ¡´Â °ÍÀÔ´Ï´Ù. ²Ï³ª ÃÖ±Ù¿¡ ¹ßÇ¥µÈ ¹öÀüµéµµ ÀͽºÇ÷ÎÀÕ ÇÒ ¼ö ÀÖÀ» Á¤µµ·Î ÃÖ½ÅÈ­ µÇ¾î ÀÖ´Â »óÅ¿´½À´Ï´Ù.¡± ±× ¿Ü¿¡ disconnect, reboot, shutdown, execute, kill-process, sleep°ú °°Àº ¸í·ÉÀ» Áö¿øÇϱ⵵ ÇÑ´Ù.

WSH·§Àº ½ÇÇà°ú µ¿½Ã¿¡ º¸¾È°ú °ü·ÃµÈ ³»¿ëºÎÅÍ È®ÀÎÇÑ´Ù. ÇöÀç »ç¿ëÀÚ°¡ °¡Áö°í ÀÖ´Â ±ÇÇÑÀ» È®ÀÎÇÑ ÈÄ ±× °á°ú¿¡ µû¶ó »óŸ¦ À¯ÁöÇϰųª ´õ ³ôÀº ±ÇÇÑÀ» ÃëµæÇϱâ À§ÇÑ °ø°ÝÀ» ½ÃÀÛÇÑ´Ù. ±×·± ÈÄ µÎ ¹ø° º¸¾È Á¡°ËÀ» ½Ç½ÃÇØ ÇöÀç »ç¿ëÀÚÀÇ º¸¾È ÄÁÅؽºÆ®¸¦ ÇØÁ¦½ÃŲ´Ù. ¶ÇÇÑ Á¦´ë·Î Çü½ÄÀ» °®Ãá HTTP ¿äûÀ» »ý¼ºÇØ ÇÇÇØÀÚ ÄÄÇ»ÅÍ¿¡ ´ëÇÑ Á¤º¸¸¦ ¼öÁýÇϱ⵵ ÇÑ´Ù. ±× ´ÙÀ½¿¡´Â »ç¿ëÀÚ ¿¡ÀÌÀüÆ®(User-Agent) Çì´õ¸¦ »ç¿ëÇØ ¼öÁýµÈ Á¤º¸¸¦ »©µ¹¸°´Ù.

°ø°Ý Áö¼Ó¼º È®º¸¸¦ À§Çؼ­ ·¹Áö½ºÆ®¸¦ ¼Õº»´Ù. ±×·± ´ÙÀ½¿¡´Â ½º½º·Î¸¦ À©µµ¿ì ½ÃÀÛ ÇÁ·Î±×·¥ Æú´õ¿¡ º¹»çÇØ À©µµ¿ì ÀçºÎÆà ½Ã ÀÚµ¿À¸·Î ½ÃÀ۵ǵµ·Ï ¸¸µç´Ù. ¡°ÃÖÃÊ µå·ÎÆÛ¿Í ¿¬°áµÇ´Â C&C ¼­¹öµéÀº ¾Æ½±°Ôµµ À̹ø ºÐ¼® ±â°£ µ¿¾È ¿ÀÇÁ¶óÀÎ »óÅ¿´½À´Ï´Ù. µû¶ó¼­ °ø°ÝÀÚ¿Í Ä·ÆäÀο¡ ´ëÇÑ º¸´Ù ±íÀº Á¤º¸´Â ¾ò¾î³¾ ¼ö°¡ ¾ø¾ú½À´Ï´Ù.¡±

3ÁÙ ¿ä¾à
1. óÀ½ ¹ß°ßµÈ µå·ÎÆÛ, µÎ °¡Áö ¿ø°Ý Á¢±Ù Æ®·ÎÀ̸ñ¸¶¸¦ ½ÉÀ½.
2. Çϳª´Â ¸®º¥Áö·§À¸·Î, Á¤º¸¸¦ Å»ÃëÇÏ´Â °ÍÀ» °¡Àå ÁÖ¿ä ¸ñÇ¥·Î ÇÏ°í ÀÖÀ½.
3. µÎ ¹ø°´Â WSH·§À¸·Î, ¿ª½Ã Á¤º¸ Å»ÃëÇü ¸Ö¿þ¾îÀ̳ª Èĵð´Ï ¿ú°ú °ÅÀÇ µ¿ÀÏÇÔ.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)