DNS ¿äûÀ» ÅëÇØ C&C ¼¹ö¿Í Åë½Å...ÀÌ ±â·ÏÀ» ÃëÇÕÇØ ÃßÀûÇÏ´Ï Åë½Å»ç¿Í Á¤ºÎ±â°ü ³ª¿Í
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¼Ö¶óÀ©Áî(SolarWinds) °ø±Þ¸ÁÀ» ħÇØÇÑ ÇØÅ· °ø°ÝÀ¸·Î À¯Æ÷µÈ ¹éµµ¾î, ¼±¹ö½ºÆ®(SUNBURST)¿¡ ´ëÇÑ Ãß°¡ Á¤º¸µéÀÌ °ø°³µÇ°í ÀÖ´Ù. ÇöÀç±îÁö ¼Ö¶óÀ©Áî °ø°Ý¿¡ ÇÇÇظ¦ ÀÔÀº ´ÜüµéÀº ¿©¼¸ °³ ¿¬¹æ ±â°üµé°ú ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®(Microsoft), ÆÄÀ̾î¾ÆÀÌ(FireEye)ÀÎ °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù.
[À̹ÌÁö = utoimage]
¼±¹ö¼Æ®´Â ¼Ö·Î¸®°ÔÀÌÆ®(Solorigate)¶ó°íµµ ¾Ë·ÁÁø ¸Ö¿þ¾î·Î, ÇöÀç±îÁö ¾Ë·ÁÁø ÀÌ ¡®¼Ö¶óÀ©Áî Ä·ÆäÀΡ¯¿¡¼ ¡®Ã¢³¡¡¯ÀÇ ¿ªÇÒÀ» ÇÏ°í ÀÖ´Â °ÍÀ¸·Î ºÐ¼®µÇ°í ÀÖ´Ù. °ø°ÝÀÚµéÀº ¼Ö¶óÀ©ÁîÀÇ ¿À¸®¿Â(Orion) Ç÷§ÆûÀÇ ¾÷µ¥ÀÌÆ® ÆÄÀÏ¿¡ ¼±¹ö½ºÆ®¸¦ žÀçÇØ ¾à 1¸¸ 8õ¿© °³ÀÇ Á¶Á÷µé·Î ¹èÆ÷Çß´Ù. ÀÌ·¯ÇÑ °ø°ÝÀº 9°³¿ù ÀüºÎÅÍ ½ÃÀ۵ǾúÀ¸¸ç, ¼±¹ö½ºÆ®¸¦ ÅëÇØ ÀڽŵéÀÌ °ø°ÝÇÒ Á¶Á÷µéÀ» ÃæºÐÈ÷ °ËÅäÇÏ°í °ñ¶ó³» Ãß°¡ °ø°ÝÀ» ½Ç½ÃÇß´Ù.
º¸¾È ¾÷ü Ä«½ºÆÛ½ºÅ°(Kaspersky)´Â ¼±¹ö½ºÆ®ÀÇ C&C Åë½Å°ú °ü·ÃµÈ ÈçÀûÀ» Á¶±Ý ã¾Æ³» ºÐ¼®À» ÁøÇàÇߴµ¥, ±× °á°ú ¾î¶² Á¶Á÷µé¿¡ ¼±¹ö½ºÆ®°¡ ¼³Ä¡µÇ¾ú´ÂÁö¸¦ ³Ñ¾î, ¾î¶² Á¶Á÷µéÀ» °ø°ÝÀÚµéÀÌ ¼±ÅÃÇØ Ãß°¡ °ø°ÝÀ» ½Ç½ÃÇß´ÂÁö±îÁö ¾î´À Á¤µµ ÆľÇÇÏ´Â µ¥ ¼º°øÇß´Ù. °ø°ÝÀÚµéÀº ÇÑ ¹Ì±¹ Á¤ºÎ ±â°ü°ú ´ëÇü Åë½Å»ç ÇÑ °÷(°í°´ÀÌ 600¸¸ ÀÌ»óÀ̶ó°í ÇÑ´Ù)¿¡ ƯÈ÷ °ü½ÉÀÌ ³ô¾Ò´ø °ÍÀ¸·Î ³ªÅ¸³µ´Ù.
ÇöÀç±îÁö °ø°ÝÀÚµéÀº UNC2452³ª ´ÙÅ©ÇìÀÏ·Î(DarkHalo)¶ó´Â À̸§À¸·Î ºÒ¸®°í Àִµ¥, Ä«½ºÆÛ½ºÅ°¿¡ ÀÇÇϸé À̵éÀº ÀÌ µÎ ±â¾÷¿¡ ¼±¹ö½ºÆ® ¿Ü Ãß°¡ ¸Ö¿þ¾î¸¦ ½É¾î Áö¼ÓÀû °ø°ÝÀÇ ±â¹ÝÀ» ¸¶·ÃÇÏ°í, À̸¦ ÅëÇØ ²ÙÁØÈ÷ Á¤º¸¸¦ À¯Ãâ½ÃÄ×´Ù°í ÇÑ´Ù. ±×·¡¼ Ä«½ºÆÛ½ºÅ°´Â ÀÌ ´ë±Ô¸ð °ø±Þ¸Á °ø°ÝÀÇ ¿øõÀûÀÎ ¸ñÇ¥°¡ Á¤Âû°ú Á¤º¸ ¼öÁýÀ̶ó°í º¸°í ÀÖ´Ù.
¶ÇÇÑ Ä«½ºÆÛ½ºÅ°´Â ÀÚ»ç ºí·Î±×¸¦ ÅëÇØ °ø°ÝÀÚµéÀÌ ¿ÀÇǽº 365¿Í ¾ÖÀú, ÀͽºÃ¼ÀÎÁö, ÆÄ¿ö¼Ð¿¡ ´ëÇÑ ±íÀº ÀÌÇصµ¸¦ À̹ø Ä·ÆäÀÎÀ» ÅëÇØ º¸¿©ÁÖ¾úÀ¸¸ç, À̸¦ ´ë´ÜÈ÷ âÀÇÀûÀ¸·Î È°¿ëÇØ ÇÇÇØÀÚµéÀÇ À̸ÞÀÏÀ» °üÂûÇÏ°í »©µ¹·È´Ù°íµµ ¼³¸íÇß´Ù. °á±¹ Àü ¼¼°è 1¸¸ 8õ¿© °÷¿¡ 1´Ü°è °ø°Ý µµ±¸ÀÎ ¼±¹ö½ºÆ®¸¦ ½É±ä ÇßÁö¸¸, °á±¹ ÁøÂ¥ °ü½ÉÀ» µÎ°í °ø°ÝÀ» ÁøÇàÇß´ø °Ç ¼Ò¼öÀÇ Á¶Á÷µéÀ̶ó´Â °ÍÀÌ Ä«½ºÆÛ½ºÅ°°¡ ÁÖÀåÇÏ´Â ³»¿ëÀÌ´Ù.
¼±¹ö½ºÆ®°¡ ±æ°í ±ä ½Ã°£ µ¿¾È ŽÁöµÇÁö ¾Ê¾Ò´Ù´Â °Í ¶ÇÇÑ ¿¬±¸ÇØ º¼¸¸ÇÑ ÀÏÀÌ´Ù. Ä«½ºÆÛ½ºÅ°´Â ¼±¹ö½ºÆ®°¡ ÃÖÃÊ ¼³Ä¡µÈ ÀÌÈÄ ÃÖ´ë 2ÁÖ µ¿¾ÈÀ̳ª ¾Æ¹« È°µ¿µµ ÇÏÁö ¾Ê°í °¡¸¸È÷ ÀÖ´Ù´Â »ç½ÇÀ» ¾Ë¾Æ³Â´Ù. ¶ÇÇÑ ¾Ç¼º Äڵ尡 ½ÇÁúÀûÀ¸·Î Æ÷ÇԵǾî ÀÖ´Â ºÎºÐÀº ¼Ö¶óÀ©ÁîÀÇ ÀÎÁõ¼·Î ÀûÀýÇÏ°Ô ¼¸íÀÌ µÇ¾î Àֱ⵵ Çß´Ù. ¶§¹®ÀÌ DLL ÆÄÀϵéÀÌ Á¤»óÀûÀÌ°í ¾ÈÀüÇÑ °Íó·³ º¸¿´´Ù. ¿ë·®µµ ÀûÀýÇß´Ù°í ÇÑ´Ù.
Ä«½ºÆÛ½ºÅ°´Â À̹ø ºÐ¼®À» ÅëÇØ ¡°¼Ö¶óÀ©Áî °ø°ÝÀÌ ÀÌ·¸°Ô±îÁö Å« ¼º°øÀ» °ÅµÑ ¼ö ÀÖ¾ú´ø °Ç 1) °ø±Þ¸Á °ø°ÝÀ» È¿°úÀûÀ¸·Î ½Ç½ÃÇß°í, 2) Àº¹ÐÇÏ°í ±â´ÉÀÌ ÁÁÀº 1´Ü°è ÀÓÇöõÆ®¸¦ È°¿ëÇßÀ¸¸ç, 3) ½ÅÁßÇÏ°Ô ÇÇÇØÀÚ¸¦ ¼±ÅÃÇØ °ø°ÝÀ» ½Ç½ÃÇ߱⠶§¹®¡±À̶ó°í Æò°¡Çß´Ù. ¶ÇÇÑ ÀÌÀü APT °ø°ÝÀÚµé °¡¿îµ¥¼ ÀÌ·± Àü·«À» »ç¿ëÇÏ´Â »ç·Ê¸¦ º¸Áö ¸øÇ߱⠶§¹®¿¡ ¹èÈÄ ¼¼·ÂÀ» ½±°Ô ´ÜÁ¤Çϱâ Èûµé´Ù°í ¸»Çß´Ù. ¡°Åë½Å ¹æ¹ýÀº ¾öû³ª°Ô ´À·È°í, x86 ¼ÐÄڵ尡 ºÎÀçÇßÀ¸¸ç, Á¤»ó ÆÄÀÏ¿¡ ¾Ç¼º ¿ä¼Ò¸¦ ´õÇßÁö¸¸ ¿ë·®¿¡ Å« º¯È°¡ ¾ø¾ú½À´Ï´Ù. Àü¹®¼ºÀÌ ³ôÀº °ø°ÝÀÚµéÀÓ¿¡ ºÐ¸íÇÕ´Ï´Ù.¡±
¼±¹ö½ºÆ®¸¦ ºÐ¼®ÇÑ °á°ú C&C ¼¹ö¿ÍÀÇ Åë½ÅÀÌ DNS ¿äûÀ» ÅëÇØ ÀÌ·ïÁ³´Ù´Â »ç½Çµµ µå·¯³µ´Ù. DNS´Â »ç¶÷ÀÌ ÀÐÀ» ¼ö ÀÖ´Â µµ¸ÞÀÎ À̸§À» À¥ ºê¶ó¿ìÀú°¡ ÀÐÀ» ¼ö ÀÖµµ·Ï ¼ýÀÚ·Î ±¸¼ºµÈ IP ÁÖ¼Ò·Î º¯È¯ÇØÁÖ´Â °ÍÀ¸·Î, DNS ¿äûÀº ¹Ù·Î ÀÌ·¯ÇÑ º¯È¯ÀÇ ½Ãµ¿À» °Å´Â ¿ªÇÒÀ» ÇÑ´Ù. °ø°ÝÀÚµéÀº ÀÌ ¡®¿äû¡¯¿¡ ÇÊ¿äÇÑ ¿äû¹®µéÀ» Á¶ÀÛÇÔÀ¸·Î½á Ãß°¡ Á¤º¸¸¦ µ¡ºÙÀÏ ¼ö ÀÖ´Ù.
¼±¹ö½ºÆ®ÀÇ °æ¿ì avsvmcloud.comÀ̶ó´Â 1´Ü°è C&C ¼¹ö¿Í Åë½ÅÀ» ½Ç½ÃÇϱâ À§ÇØ ÀÎÄÚµù µÈ DNS ¿äûµéÀ» Àü¼ÛÇϱ⠽ÃÀÛÇÑ´Ù. ÀÌ ¶§ °¨¿°µÈ ÄÄÇ»ÅÍ¿¡ ´ëÇÑ ½Ã½ºÅÛ Á¤º¸¸¦ µ¡ºÙ¿© º¸³½´Ù. °ø°ÝÀÚµéÀº À̸¦ Åä´ë·Î ´ÙÀ½ ´Ü°è °ø°ÝÀ» ½ÇÇàÇÒÁö °áÁ¤ÇÑ´Ù. °ø°ÝÀ» ´õ Çϱâ·Î ÇÑ´Ù¸é ¼±¹ö½ºÆ®·Î ´ë´äÀ» Àü¼ÛÇϴµ¥, ¿©±â¿¡ CNAME ±â·ÏÀÌ Æ÷ÇԵǾî ÀÖ´Ù°í ÇÑ´Ù. 2´Ü°è C&C ¼¹ö·ÎÀÇ ¿¬°áÀ» À§Çؼ´Ù.
±×·±µ¥ °ø°ÝÀÚ°¡ ÀÌ·¯ÇÑ ¹æ½ÄÀ¸·Î C&C¿Í Åë½ÅÀ» ÇÒ °æ¿ì °ø°ÝÀÇ ÇÇÇØÀÚ¸¦ ºÐ¼®°¡µéÀÌ ÆľÇÇÏ´Â °Ô ´õ ¿ëÀÌÇØÁø´Ù°í ÇÑ´Ù. Ä«½ºÆÛ½ºÅ°µµ ´ç¿¬È÷ ÀÌ ´Ü°è¿¡¼ ÇÇÇØÀÚµéÀ» Á¤È®È÷ ÆľÇÇϱâ À§ÇØ ³ª¼¹°í, ±× °úÁ¤¿¡¼ Ãß°¡ ¾Ç¼º ¹ÙÀ̳ʸ®¸¦ ã¾Æ³»±âµµ Çß´Ù. OrionImprovementBusinessLayer.Update¶ó´Â À̸§ÀÇ ¹ÙÀ̳ʸ®¿´´Ù. ºÐ¼®ÇÏ´Ï ÀÌ ¹ÙÀ̳ʸ®´Â ³× °¡Áö ÇÔ¼ö¸¦ È£ÃâÇÏ´Â °ÍÀ¸·Î ¹àÇôÁ³´Ù. GetCurrentString, GetPreviousString, GetNextStringEx, GetNextStringÀε¥, °¢°¢ ¼·Î ´Ù¸¥ DNS ±â¹Ý Åë½ÅÀ» ½Ç½ÃÇÏ´Â ±â´ÉÀ» ´ã´çÇÏ°í ÀÖ´Ù.
ÀÌ °¢°¢ÀÇ ÇÔ¼ö¸¦ ºÐ¼®, ÃßÀûÇÑ ³¡¿¡ Ä«½ºÆÛ½ºÅ°¿Í Ä¡¾È½Å Å×Å©³î·ÎÁö(QiAnXin Technology)´Â µðÄÚ´õ¸¦ °³¹ßÇØ °ø°³Çß´Ù. Ä«½ºÆÛ½ºÅ°ÀÇ °ÍÀº ¿©±â(https://github.com/2igosha/sunburst_dga)¼, Ä¡¾È½ÅÀÇ °ÍÀº ¿©±â(https://github.com/RedDrip7/SunBurst_DGA_Decode/blob/main/decode.py)¼ ¿¶÷ÀÌ °¡´ÉÇÏ´Ù. º¸¾È Àü¹®°¡ Á¸ ¹ãº£³Ø(John Bambenek)µµ ±êÇãºê¿¡ ¼±¹ö½ºÆ®°¡ »ý¼ºÇÑ µµ¸ÞÀÎ À̸§µéÀÇ ¸ñ·ÏÀ» °ø°³Çß´Ù. ¿¶÷Àº ¿©±â(https://github.com/bambenek/research/blob/main/sunburst/uniq-hostnames.txt)¼ °¡´ÉÇÏ´Ù.
ÀÌ·± ³ë·Âµé¿¡ ÈûÀÔ¾î Ä«½ºÆÛ½ºÅ°´Â 964°³ÀÇ °íÀ¯ UID¸¦ ÆľÇÇÒ ¼ö ÀÖ¾ú´Ù°í ÇÑ´Ù. Ä«½ºÆÛ½ºÅ°´Â ºí·Î±×¸¦ ÅëÇØ ¿©·¯ Á¤º¸¸¦ ÃëÇÕÇÏ°í ºÐ¼®ÇØ central.****.gov, ***.net, ***.com°ú °°Àº µµ¸ÞÀÎÀ» ¾ò¾î³¾ ¼ö ÀÖ¾ú°í ÀÌ Áß .net°ú .com ÁÖ¼Ò´Â ¹Ì±¹ÀÇ ´ëÇü Åë½Å»çÀÇ µµ¸ÞÀÎÀÎ °ÍÀ» È®ÀÎÇß´Ù°í ÇÑ´Ù. .gov´Â ¹Ì±¹ÀÇ ¿¬¹æ Á¤ºÎ ±â°üÀ̾ú´Ù°í ÇÑ´Ù. Áï °ø°ÝÀÚµéÀÌ ÀÌ µÎ °³ Á¶Á÷¿¡(ÇöÀç±îÁöÀÇ Á¤º¸¸¸À» Åä´ë·Î ÇÑ´Ù¸é) Ưº°ÇÑ °ü½ÉÀÌ ÀÖ¾ú´Ù´Â ¶æÀÌ´Ù.
±×·³¿¡µµ Ä«½ºÆÛ½ºÅ°´Â ¡°¾ÆÁ÷ ÀÌ °ø°Ý°ú °ø°ÝÀڵ鿡 ´ëÇØ ¾Ë¾Æ³»¾ß ÇÒ °ÍµéÀÌ ´õ ¸¹ÀÌ ÀÖ´Ù¡±°í ¸»ÇÑ´Ù. ¡°Áö±Ý±îÁö ¾Ë¾Æ³½ °ÍÀ¸·Î´Â ÇÇÇØÀÚ·Î ÃßÁ¤µÇ´Â ´Üü¸¦ ÆľÇÇϱ⵵ Èûµì´Ï´Ù. µû¶ó¼ ´çºÐ°£ ÀÌ °ø°Ý¿¡ ´ëÇÑ »õ·Î¿î ¼Ò½ÄµéÀÌ Á¶°¢Á¶°¢ °è¼ÓÇؼ ³ª¿Ã °ÍÀÔ´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. ¼Ö¶óÀ©Áî °ø°Ý¿¡ ´ëÇÑ ºÐ¼®, ÇϳªÇϳª ÀÌ·ïÁ® °¡°í ÀÖÀ½.
2. ¼±¹ö½ºÆ® ¸Ö¿þ¾î ºÐ¼®À» ÅëÇØ °ø°ÝÀÚµéÀÌ Æ¯º°ÇÑ °ü½ÉÀ» µÎ°í ÀÖ´ø ÇÇÇØÀÚµéÀ» ÆľÇÇÒ ¼ö ÀÖ¾úÀ½.
3. ÇÏÁö¸¸ ¿©ÀüÈ÷ °ø°ÝÀÚµéÀÇ ¹èÈÄ ¼¼·Â¿¡ ´ëÇؼ´Â ¾Ë ¼ö ¾øÀ½.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>