¸Ö¿þ¾î °ø°Ýµµ °á±¹Àº ºñÁî´Ï½º...»ç¾÷¼º À§ÇÑ ¾ÆÀÌÅÛ ÃÖ½ÅÈ ³ë·Â À̾îÁú °Í
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ÆÛÇÃÆø½º(Purple Fox)¶ó´Â ÀͽºÇ÷ÎÀÕ Å°Æ®¿¡ »õ·Î¿î ÀͽºÇ÷ÎÀÕ µÎ °¡Áö°¡ Ãß°¡µÆ´Ù. ÆÛÇÃÆø½º´Â Áö³ 9¿ù¿¡ óÀ½À¸·Î ºÐ¼®µÈ ÀͽºÇ÷ÎÀÕ µµ±¸·Î, ¸®±×(RIG) ÀÕ½ºÇ÷ÎÀÕ Å°Æ®¸¦ ´ëüÇÏ°í ÀÖ´Ù. ÀͽºÇ÷ÎÀÕ Å°Æ®¶ó´Â °Í ÀÚü°¡ ÇöÀç ÇØÄ¿µé »çÀÌ¿¡¼ Å« Àα⸦ ¾òÁö ¸øÇÏ°í ÀÖ´Ù°í ÇÏÁö¸¸, ±× ¿ÍÁß¿¡µµ ²ÙÁØÇÑ ¾÷±×·¹À̵å¿Í »õ·Î¿î ¾ÆÀÌÅÛµéÀº °è¼ÓÇؼ µîÀåÇÏ°í ÀÖ´Ù.
[À̹ÌÁö = utoimage]
»õ·Ó°Ô Ãß°¡µÈ ÀͽºÇ÷ÎÀÕÀº CVE-2019-1458°ú CVE-2020-0674 Ãë¾àÁ¡¿¡ °üÇÑ °ÍÀ̶ó°í ÇÑ´Ù. °¢°¢ 2019³â ¸»°ú 2020³â Ãʹݿ¡ °ø°³µÈ °ÍÀÌ´Ù. ÀÌÀü ¹öÀüÀÇ ÆÛÇÃÆø½º´Â CVE-2015-1701°ú CVE-2018-8120¿¡ ´ëÇÑ ÀͽºÇ÷ÎÀÕ µµ±¸µéÀ» žÀçÇÏ°í ÀÖ¾ú´Ù. ¡°ÆÛÇÃÆø½º Á¦ÀÛÀÚ°¡ ¹«±â¸¦ ÃÖ½ÅÈ ÇÏ´Â µ¥ °ÔÀ¸¸£Áö ¾Ê´Ù´Â °ÍÀ̸ç, ÀͽºÇ÷ÎÀÕ Å°Æ®°¡ ¾ÆÁ÷µµ ²ÙÁØÈ÷ »ç¿ëµÇ°í ÀÖ´Ù´Â °É ³ªÅ¸³½´Ù¡±°í º¸¾È ¾÷ü ÇÁ·çÇÁÆ÷ÀÎÆ®(Proofpoint)´Â ¹ßÇ¥Çß´Ù.
µÎ °¡Áö Ãë¾àÁ¡ Áß CVE-2020-0674´Â ½ºÅ©¸³Æà ¿£Áø ¸Þ¸ð¸® º¯Çü Ãë¾àÁ¡À¸·Î, ÀÎÅÍ³Ý ÀͽºÇ÷η¯¿¡¼ ¹ß°ßµÆ°í Ä¡¸íÀû À§Çèµµ¸¦ °¡Áö°í ÀÖ´Â °ÍÀ¸·Î ºÐ¼®µÇ°í ÀÖ´Ù. MS°¡ Áö³ 1¿ù ±ä±Þ ÆÐÄ¡¸¦ ÅëÇØ ÇØ°áÇß´Ù. ¼º°øÀûÀ¸·Î ÀͽºÇ÷ÎÀÕ µÉ °æ¿ì °ø°ÝÀÚ°¡ ÇöÀç »ç¿ëÀÚ¿Í °°Àº ±ÇÇÑÀ» °¡Áö°í ÀÓÀÇÀÇ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ°Ô µÈ´Ù. CVE-2019-1458Àº Win32k¿¡¼ ¹ß°ßµÈ ±ÇÇÑ »ó½Â Ãë¾àÁ¡À¸·Î, °íÀ§Ç豺À¸·Î ºÐ·ùµÆ´Ù.
µÎ °¡Áö Ãë¾àÁ¡ ¸ðµÎ ÀͽºÇ÷ÎÀÕ ¹æ¹ýÀÌ ÇØÄ¿µé »çÀÌ¿¡ µ¹¾Æ´Ù´Ï°í ÀÖÀ¸¸ç, ÆÛÇà Æø½º ÀÌÀü¿¡µµ ½ÇÁ¦ °ø°Ý¿¡ È°¿ëµÇ°Å³ª °³³äÁõ¸í¿ë Äڵ尡 °ø°³µÇ±âµµ Çß¾ú´Ù. µÎ °¡Áö ¸ðµÎ MS°¡ ÆÐÄ¡ÇÑ ¹Ù ÀÖÀ¸¸ç, »ç¿ëÀÚµéÀº À̸¦ ¾÷µ¥ÀÌÆ® ÇÏ´Â °ÍÀÌ ¾ÈÀüÇÏ´Ù.
ÆÛÇÃÆø½º EK´Â Áö³ 6¿ù ¸Ö¹öŸÀÌ¡ Ä·ÆäÀο¡ È°¿ëµÇ°í ÀÖ´Â °ÍÀÌ ¹ß°ßµÈ ¹Ù ÀÖ´Ù. ÀÎÅÍ³Ý ÀͽºÇ÷η¯ 11ÀÌ CVE-2020-0674 ¶§¹®¿¡ ÀÚ²Ù¸¸ ħÇظ¦ ´çÇÏ°í ÀÖ¾ú´Ù. º¸´Ù Á¤È®È÷ ¸»Çϸé À©µµ¿ì 10 ȯ°æÀÇ ÀÎÅÍ³Ý ÀͽºÇ÷η¯°¡ »ç¿ëÇÏ´Â jscript.dll¿¡¼ °ø°ÝÀÌ ¹ß»ýÇß´Ù. °ø°ÝÀº ´ÙÀ½°ú °°Àº ¼ø¼·Î ¹ß»ýÇÑ´Ù°í ÇÁ·çÇÁÆ÷ÀÎÆ®´Â ¼³¸íÇÑ´Ù.
1) jscript.dll ³»ÀÇ RegExp·ÎºÎÅÍ ÁÖ¼Ò¸¦ ³ëÃâ½ÃŲ´Ù.
2) ÀÌ ³ëÃâµÈ ÁÖ¼Ò¸¦ °¡Áö°í jscript.dllÀÇ PE Çì´õ¸¦ °Ë»öÇÑ´Ù.
3) ³ª¿Â Çì´õ¸¦ »ç¿ëÇØ kernel32.dllÀÇ ÀÓÆ÷Æ® µð½ºÅ©¸³ÅÍ(import descriptor)¸¦ È®ÀÎÇÑ´Ù.
4) ÀÌ ÀÓÆ÷Æ® µð½ºÅ©¸³ÅÍ¿¡´Â ÇÁ·Î¼¼½º¿Í ¸Þ¸ð¸® Á¶ÀÛ ±â´ÉµéÀÌ Àִµ¥, À̸¦ È°¿ëÇØ ÆÛÇÃÆø½º·Î ½ÇÁ¦ ¼ÐÄڵ带 ·ÎµùÇÑ´Ù.
5) ÀÌ ¼ÐÄڵ尡 WinExec¸¦ ½ÇÇàÇϸç, À̸¦ ÅëÇØ »õ·Î¿î ÇÁ·Î¼¼½º°¡ »ý¼ºµÈ´Ù.
6) ÀÌ ÇÁ·Î¼¼½º°¡ ½ÃÀÛµÇ¸é¼ ½ÇÁ¦ ¸Ö¿þ¾î°¡ ¹ßµ¿µÇ±â ½ÃÀÛÇÑ´Ù.
ÇÑÆí ÀͽºÇ÷ÎÀÕ Å°Æ®´Â ¸î ³â Àü¸¸Çصµ ÇØÄ¿µé »çÀÌ¿¡¼ °¡Àå ÀαⰡ ³ôÀº ÇØÅ· µµ±¸¿´´Ù. ÇÏÁö¸¸ Áö±ÝÀº ±× ÀαⰡ »ó´çÈ÷ ½ÄÀº »óÅ´Ù. ±×·¸´Ù°í ¹æ¾îÀÚ ÀÔÀå¿¡¼ ÀͽºÇ÷ÎÀÕ Å°Æ®¸¦ ¾Æ¿¹ ¹èÁ¦ÇÒ ¼ö ¾ø´Ù. ƯÈ÷ Æú¾Æ¿ô(Fallout)°ú ¸®±×(Rig)¿Í °°Àº ÀͽºÇ÷ÎÀÕ Å°Æ®´Â ¿©ÀüÈ÷ À§ÇùÀûÀÎ Á¸Àç·Î ³²¾ÆÀÖ´Ù. ÇÁ·çÇÁÆ÷ÀÎÆ®´Â ¡°ÀͽºÇ÷ÎÀÕ Å°Æ® Á¦ÀÛÀÚµéÀº ¿¹³ª Áö±ÝÀ̳ª ²ÙÁØÇÑ ¾÷µ¥ÀÌÆ®¸¦ ÁøÇàÇÏ°í ÀÖ´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°Å»ýÀûÀ¸·Î ´Ù¸¥ ÇØÄ¿µéÀÇ °ø°Ý ÇàÀ§¸¦ ´õ ½±°Ô ÇØÁÖ´Â µµ±¸ÀÌ´Ù º¸´Ï ²ÙÁØÇÑ »óÇ° °ü¸®°¡ ¹Ýµå½Ã ÀÖ¾î¾ß ÇÏ´Â °Ô ÀͽºÇ÷ÎÀÕ Å°Æ®ÀÔ´Ï´Ù.¡±
ÇÁ·çÇÁÆ÷ÀÎÆ® Àü¹®°¡µéÀº ¡°ÆÛÇÃÆø½ºÀÇ Á¦ÀÛÀÚµéÀÌ ¸®±×¿¡ ´õ ÀÌ»ó µ·À» ÁöºÒÇÏÁö ¾Ê±â À§ÇØ ½º½º·Î Á¦Ç°À» °³¹ßÇÑ °Í¡±À̶ó°í ¼³¸íÇÏ¸ç ¡°°á±¹ ¸Ö¿þ¾î³ª ÀͽºÇ÷ÎÀÕ°ú °°Àº °Íµµ Ä¿´Ù¶õ Ʋ ¾È¿¡¼ º¸¸é ¡®»ç¾÷ ¾ÆÀÌÅÛ¡¯ÀÓÀ» ¸éÇÒ ¼ö ¾ø´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°ÀÎÇϿ콺 °³¹ß °øÁ¤À» µµÀÔÇØ ¿î¿µºñ¸¦ °¨¼Ò½ÃŲ´Ù´Â °³³ä°ú °°ÁÒ. »çÀ̹ö ¹üÁ˵µ »ç¾÷ÀÌ°í, µû¶ó¼ °ø°ÝÀÚµéÀº Á¡Á¡ ´õ ÀڽŵéÀÌ ¾ÇÇàÀ» ÀúÁö¸¥´Ù´Â »ý°¢À» ÇÏÁö ¸øÇÏ°í µ·À» ¹ø´Ù°í¸¸ ¿©±â°Ô µÉ °Ì´Ï´Ù. ¹üÁËÀÚ°¡ µÇ´Â ÃÖ¼ÒÇÑÀÇ ¾ïÁ¦ ÀåÄ¡°¡ Á¡Á¡ ÈûÀ» ÀҾ´Ù´Â ¶æÀÌ µË´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. ¸®±× ÀͽºÇ÷ÎÀÕ Å°Æ®¸¦ ´ëüÇϱâ À§ÇØ ³ª¿Â ÆÛÇÃÆø½º ÀͽºÇ÷ÎÀÕ Å°Æ®.
2. ÃÖ±Ù ÀÌ ÀͽºÇ÷ÎÀÕ Å°Æ®¿¡ µÎ °¡Áö MS Á¦Ç° °ü·Ã Ãë¾àÁ¡µéÀÌ Ãß°¡µÊ.
3. ÀͽºÇ÷ÎÀÕ Å°Æ®ÀÇ Àαâ, °ú°Å¿¡ ºñÇÒ ¹Ù ¸ø µÇÁö¸¸, ±×·¡µµ ¿©ÀüÇÑ À§Çù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>