¸®´ª½º ±â¹Ý Àåºñ ³ë·Á...¸Ö¿þ¾î °³¹ßÀÚµéÀÇ °ü½É, °í ¾ð¾î·Î Á¡Á¡ ½ò¸®´Â°¡
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] °í ÇÁ·Î±×·¡¹Ö ¾ð¾î·Î ¸¸µé¾îÁø »õ·Î¿î º¿³Ý ¸Ö¿þ¾î°¡ ¹ß°ßµÆ´Ù. º¸¾È ¾÷ü ÀÎÅ×Àú(Intezer)¿¡ µû¸£¸é ÀÌ º¿³ÝÀº ¸®´ª½º¸¦ ±â¹ÝÀ¸·Î ÇÑ ½Ã½ºÅÛµéÀ» Ç¥ÀûÀ¸·Î »ï´Âµ¥, ÀÌ ¶§¹®¿¡ ¸¹Àº »ç¹°ÀÎÅÍ³Ý ÀåºñµéÀÌ À§ÇèÇÑ »óȲÀ̶ó°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
ÀÌ º¿³ÝÀ» Á¦ÀÏ Ã³À½ ¹ß°ßÇÑ ÀÚ´Â ¸Ö¿þ¾î¸Ó½ºÆ®´ÙÀÌ(MalwareMustDie)¶ó´Â À̸§À¸·Î È°µ¿ÇÏ´Â º¸¾È Àü¹®°¡·Î, Ä«ÀÌÁö(Kaiji)¶ó´Â À̸§À» º¿³Ý¿¡ ºÙ¿´´Ù. ¸Ö¿þ¾î¸Ó½ºÆ®´ÙÀÌ¿¡ µû¸£¸é Ä«ÀÌÁö´Â Áß±¹¿¡¼ ³ªÅ¸³µÀ¸¸ç, SSH ºê·çÆ®Æ÷½º °ø°ÝÀ» ÅëÇؼ¸¸ ÀüÆĵǰí, ·çÆ® »ç¿ëÀÚ¸¸À» ³ë¸°´Ù°í ÇÑ´Ù. º¿³ÝÀÇ Á¸Àç ÀÌÀ¯´Â µðµµ½º °ø°ÝÀ¸·Î, ·çÆ® Á¢±ÙÀ» ÅëÇØ µ¶ÀÚÀûÀÎ ³×Æ®¿öÅ© ÆÐŶÀ» »ý¼ºÇÏ´Â ¹æ½ÄÀ¸·Î µðµµ½º¸¦ ÁøÇàÇÑ´Ù°í ÇÑ´Ù.
Ä«ÀÌÁö º¿³Ý ¸Ö¿þ¾î°¡ ½Ã½ºÅÛ¿¡ ¿Ã¶óŸ ½ÇÇàÀÌ ½ÃÀ۵Ǹé, Á¦ÀÏ ¸ÕÀú /tmp/seeintlogÀ̶ó´Â µð·ºÅ丮¿¡ ½º½º·Î¸¦ º¹Á¦ÇÑ´Ù. ±×·± ÈÄ µÎ ¹ø° ÀνºÅϽº¸¦ ½ÇÇà½ÃÅ°´Âµ¥, ¿©±â¼ºÎÅÍ Á¤½Ä ¾Ç¼º ÇàÀ§°¡ ½ÃÀ۵ȴÙ. ÀÌ °¢°¢ÀÇ ÇàÀ§´Â °íÀ¯ÇÑ °í·çƾ(goroutine) ³»¿¡¼ ½ÇÇàµÇ´Âµ¥, ÀÎÅ×Àú¿¡ ÀÇÇϸé ÀÌ·¯ÇÑ °íÀ¯ °í·çƾÀÌ ÇöÀç±îÁö ÃÑ 13°³ ¹ß°ßµÆ´Ù°í ÇÑ´Ù.
ÀÌ 13°³ °í·çƾÀÌ ÇÏ´Â ÀÏÀº 1) C&C ¼¹ö¿Í ¿¬°á, 2) C&C ¼¹ö·ÎºÎÅÍ Ãß°¡ ¸í·É °¡Á®¿À±â(µðµµ½º, SSH ºê·çÆ®Æ÷½º ¸í·É, ¼Ð ¸í·É, ÀÚ°¡ »èÁ¦ µî), 3) ´Ù¸¥ È£½ºÆ®·Î ¿¬°á, 4) °ø°Ý Áö¼Ó¼º È®º¸ À§ÇÑ ÀåÄ¡ ¸¶·Ã, 5) CPU »ç¿ë·® È®ÀÎ, 6) ·çƮŶÀ» /etc/32679·Î º¹»ç ÈÄ 30ÃÊ¿¡ ÇÑ ¹ø¾¿ ½ÇÇà½ÃÅ°±â µîÀ» Æ÷ÇÔÇÑ´Ù°í ÇÑ´Ù.
¿©±â¼ 6)¹ø¿¡ µîÀåÇÏ´Â ·çƮŶÀº ½ÇÇàÀ» Áö³ªÄ¡°Ô ÀÚÁÖÇÏ´Â °æÇâÀÌ ÀÖ°í, ÀÌ ¶§¹®¿¡ °¨¿°½ÃŲ ±â°èÀÇ ¸Þ¸ð¸®¸¦ ºü¸£°Ô ¼Ò¸ð½ÃŲ´Ù°í ÇÑ´Ù. ÀÌ´Â °ø°ÝÀÚ°¡ ¹Ìó ¿¹»ó ¸øÇÑ ºÎºÐÀÎ °ÍÀ¸·Î º¸À̸ç, C&C ¼¹ö°¡ ÀÛµ¿ÇÑ ±â°£µµ ¸Å¿ì ªÀº °ÍÀ¸·Î º¸¾Æ ¾ÆÁ÷ Ä«ÀÌÁö´Â °³¹ß ´Ü°è¿¡ ÀÖÀ» È®·üÀÌ ¸Å¿ì ³ô´Ù°í ÀÎÅ×Àú´Â °á·ÐÀ» ³»·È´Ù.
µðµµ½º °ø°Ý¿¡ ´ëÇÑ Ç¥Àû ¼³Á¤°ú ¹æ¹ý °áÁ¤Àº C&C·ÎºÎÅÍ Àü´ÞµÈ´Ù. Áï, Ä«ÀÌÁö°¡ ÀÚµ¿À¸·Î µðµµ½º °ø°ÝÀ» ½Ç½ÃÇÏ´Â °Ô ¾Æ´Ï¶ó C&CÀÇ ¸í·ÉÀ» ±â´Ù·È´Ù°¡ ½ÇÇàÇÏ´Â °ÍÀÌ´Ù. Ä«ÀÌÁö´Â ¿©·¯ °¡Áö À¯ÇüÀÇ µðµµ½º °ø°ÝÀ» ½Ç½ÃÇÒ ¼ö Àִµ¥, À̸¦ ¿°ÅÇÏ¸é ´ÙÀ½°ú °°´Ù.
1) TCPÇ÷¯µå(TCPFlood)
2) UDPÇ÷¯µå(UDPFlood)
3) IP½ºÇªÇÁ(IPSpoof)
4) SYN, SYNACK, ACK
¡°¿äÁòÀº ¹éÁö¿¡¼ºÎÅÍ °³¹ßµÈ º¿³ÝÀ» ¹ß°ßÇÑ´Ù´Â °Ô ¸Å¿ì µå¹® ÀÏÀÔ´Ï´Ù. ±×·² ÇÊ¿ä°¡ ÀüÇô ¾ø°Åµç¿ä. µ·¸¸ ÁÖ¸é °¢Á¾ º¿³ÝÀ» ¸¸µé ¼öµµ ÀÖ°í ½ÉÁö¾î °³¹ßµµ °¡´ÉÇÕ´Ï´Ù. »ç¿ëÇÒ ¼ö ÀÖ´Â ¿ÀǼҽºµµ ¸¹°í¿ä. ÇÏÁö¸¸ À̹ø¿¡ ¹ß°ßµÈ Ä«ÀÌÁö´Â µ¶Æ¯ÇÏ°Ôµµ ¹éÁö¿¡¼ºÎÅÍ ¸¸µé¾îÁø º¿³ÝÀÔ´Ï´Ù. ¾ÆÁ÷ °³¹ß Ãʱ⠴ܰ迡 ÀÖ¾î º¸ÀÔ´Ï´Ù.¡± ÀÎÅ×Àú ÃøÀÇ ¼³¸íÀÌ´Ù.
±×·¯¸é¼ ÀÎÅ×Àú´Â ¡°ÃÖ±Ù ¸Ö¿þ¾î °³¹ßÀÚµéÀÌ °í ¾ð¾î¿¡ °ü½ÉÀ» º¸À̱⠽ÃÀÛÇß´Ù´Â ¿¬±¸ º¸°í¼°¡ ÃÖ±Ù ¹ß°£µÈ ¹Ù Àִµ¥, Ä«ÀÌÁö´Â ±×·¯ÇÑ Çö»óÀÌ ÁøÂ¥ ³ªÅ¸³ª°í ÀÖÀ½À» µå·¯³»´Â »ç·ÊÀ̱⵵ ÇÏ´Ù¡±°í µ¡ºÙ¿´´Ù.
º¸´Ù »ó¼¼ÇÑ ±â¼ú Á¤º¸´Â ¿©±â(https://intezer.com/blog/research/kaiji-new-chinese-linux-malware-turning-to-golang/)¿¡¼ ¿¶÷ÀÌ °¡´ÉÇÏ´Ù.
3ÁÙ ¿ä¾à
1. Ä«ÀÌÁö¶ó´Â »õ·Î¿î ¸®´ª½º¿ë º¿³Ý ¸Ö¿þ¾î ¹ß°ßµÊ. Áß±¹¹ß.
2. ¸®´ª½º¸¦ ³ë¸®±â ¶§¹®¿¡ »ç¹°ÀÎÅͳÝÀÌ ÁÖ¿ä Ç¥ÀûÀÎ °ÍÀ¸·Î º¸ÀÓ.
3. Ä«ÀÌÁöÀÇ °¡Àå Å« ¸ñÀûÀº µðµµ½º °ø°Ý. ¹éÁö¿¡¼ °³¹ßµÈ µ¶Æ¯ÇÑ ¸Ö¿þ¾î.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>