Home > Àüü±â»ç

¼Ò½ºÄÚµå À¯ÃâµÈ ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ©·Î Çѱ¹ ±â¾÷ ³ë¸°´Ù

ÀÔ·Â : 2021-03-18 11:22
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
2020³â 11¿ù »ó¿ë ħÅõ Å×½ºÆ® µµ±¸ ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ© ¼Ò½ºÄÚµå À¯Ãâ... ¾Ç¼ºÄÚµå·Î ¾Ç¿ë

[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] Áö³­ÇØ ¼Ò½ºÄڵ尡 ³ëÃâµÇ¾î ¾Ç¼ºÄÚµå·Î ¾Ç¿ëµÇ´Â ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ©(Cobalt Strike)·Î Çѱ¹±â¾÷À» ³ë¸®´Â °ø°ÝÀÌ ¹ß°ßµÆ´Ù. ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ©´Â ±â¾÷À̳ª ±â°üÀÇ ³×Æ®¿öÅ© ¹× ½Ã½ºÅÛ¿¡ ´ëÇÑ º¸¾È Ãë¾àÁ¡À» Á¡°ËÇϱâ À§ÇÑ ¸ñÀûÀ¸·Î »ç¿ë °¡´ÉÇÑ µµ±¸·Î¼­ ħÅõ Å×½ºÆ® °¢ ´Ü°èº°·Î ´Ù¾çÇÑ ±â´ÉµéÀ» Áö¿øÇÑ´Ù. ÇÏÁö¸¸ Å©·¢ ¹öÀüÀÌ °ø°³µÊ¿¡ µû¶ó ´Ù¾çÇÑ °ø°ÝÀڵ鿡 ÀÇÇØ ¾Ç¼ºÄÚµå·Î¼­ »ç¿ëµÇ°í ÀÖÀ¸¸ç, ƯÈ÷, ´Ù¼öÀÇ ·£¼¶¿þ¾î °ø°ÝÀÚµéÀÌ ³»ºÎ ½Ã½ºÅÛ Àå¾ÇÀ» À§ÇÑ Áß°£ ´Ü°è·Î½á »ç¿ëÇÏ°í ÀÖ´Â »ç·Ê°¡ ´Ã°í ÀÖ´Ù. 2020³â 11¿ù, ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ©ÀÇ ¼Ò½ºÄڵ尡 À¯ÃâµÆ°í ÃֽŠũ·¢ ¹öÀüµµ À¯Æ÷µÊ¿¡ µû¶ó ´õ ¸¹Àº °ø°ÝÀڵ鿡°Ô »ç¿ëµÉ °ÍÀ¸·Î º¸¿© ±¹³»µµ °¢º°È÷ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù.

¡ãÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ©¸¦ ÀÌ¿ëÇÑ °ø°Ý È帧[ÀÚ·á=¾È·¦]


ÃÖ±Ù ¾È·¦ÀÇ ASEC ºÐ¼®ÆÀÀº ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ© ÇØÅ· Åø¿¡ ÀÇÇÑ °ø°ÝÀ» ¸ð´ÏÅ͸µÇÏ´ø Áß, 3¿ù 11ÀÏ¿¡ ±¹³» ±â¾÷¿¡¼­ ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ©°¡ À¯Æ÷µÈ °ÍÀ» È®ÀÎÇß´Ù. ÇÇÇØ ±â¾÷Àº ƯÁ¤ ¼Ö·ç¼ÇÀ» °³¹ß ¹× °ø±ÞÇÏ´Â Áß¼Ò±â¾÷À¸·Î, Ãʱ⠰¨¿° ¹æ¹ýÀº È®ÀεÇÁö ¾Ê¾ÒÁö¸¸ ÆÄ¿ö½©(powershell) ÇÁ·Î¼¼½º°¡ °ø°ÝÀÚ ¼­¹ö(5.34.178.203)¿¡¼­ ¡®0a3b4f.css¡¯¶ó´Â ÆÄÀÏÀ» ´Ù¿î·Îµå ÇÏ´Â °ÍÀ» È®ÀÎÇß´Ù.

¡ãÀÎÄÚµùµÈ ÆÄ¿ö½© ½ºÅ©¸³Æ® ÆÄÀÏ(0a3b4f.css)[ÀÚ·á=¾È·¦]


ÀÌ ¡®0a3b4f.css¡¯¶ó´Â ÆÄÀÏÀº ÆÄ¿ö½© ½ºÅ©¸³Æ®·Î SecureStringÀ¸·Î ÀÎÄÚµùµÈ ½ºÅ©¸³Æ®À̸ç, µðÄÚµù ½Ã ´ÙÀ½°ú °°´Ù.

¡ãµðÄÚµùµÈ ÆÄ¿ö½© ½ºÅ©¸³Æ®(ÀϺÎ)[ÀÚ·á=¾È·¦]


ÇØ´ç ½ºÅ©¸³Æ®´Â ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ© Ŭ¶óÀ̾ðÆ®¿¡¼­ ¡®Stager¡¯¶ó ºÒ¸®´Â ÆäÀÌ·Îµå »ý¼º ¹æ¹ýÀ» ¼±ÅÃÇÒ ½Ã ±âº»À¸·Î Á¦°øµÇ´Â ½ºÅ©¸³Æ® ÇüÅÂÀÌ´Ù. ÀÌ´Â Base64¿Í XOR(0x35) ÀÎÄÚµùÀ» »ç¿ëÇÏ¸ç µðÄÚµùµÈ ½©Äڵ带 ¸Þ¸ð¸®¿¡ ·ÎµåÇÑ´Ù.

¡ã64bit ½©ÄÚµå(³»ºÎ C2 È®ÀÎ °¡´É)[ÀÚ·á=¾È·¦]


È®ÀÎµÈ ½©ÄÚµå´Â 64bit ½©ÄÚµå·Î wininet api¸¦ »ç¿ëÇØ °ø°ÝÀÚ ÁÖ¼Ò¿¡ Á¢¼ÓÇÏ¿© ¹éµµ¾î ¿ªÇÒÀÎ ºñÄÁ(beacon)À» ´Ù¿î·ÎµåÇÑ´Ù. ´Ù¿î·ÎµåµÈ ºñÄÁÀº ÆÄÀÏ·Î »ý¼ºµÇÁö ¾Ê°í Reflective DLLÀ» »ç¿ëÇØ ¸Þ¸ð¸®¿¡ ·ÎµåµÇ¾î ¹éµµ¾î ±â´ÉÀ» ¼öÇàÇÑ´Ù.

¡ã´Ù¿î·Îµå ¹ÞÀº ºñÄÁ(¹éµµ¾î)¿¡¼­ È®ÀÎµÈ Á¤º¸[ÀÚ·á=¾È·¦]


À§ À̹ÌÁö´Â ºñÄÁÀÇ ¼³Á¤ Á¤º¸·Î ¸Þ¸ð¸®¿¡ ·ÎµåµÈ PE¸¦ ÃßÃâÇØ SentinelOneÀÇ ÆÄ½Ì µµ±¸¸¦ »ç¿ëÇÑ °á°úÀÌ´Ù. ÀÌ´Â Æ÷Æ® ¹øÈ£, C2(C&C) ÁÖ¼Ò, Á¢¼Ó ÁÖ±â, Malleable C2 ±â´ÉÀ¸·Î À§ÀåÇÒ Host, ÀÎÁ§¼Ç ±â´ÉÀ» ¼öÇàÇÒ ½Ã ´ë»ó ÇÁ·Î±×·¥ µîÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.

°ø°ÝÀÚ´Â Malleable C2 ±â´ÉÀ» »ç¿ëÇØ HTTP ÇÁ·ÎÅäÄÝÀÇ È£½ºÆ®(Host) µµ¸ÞÀÎÀ» ¡®¸¶ÀÌÅ©·Î¼ÒÇÁÆ®´åÄÄ¡¯À¸·Î ¼³Á¤Çß´Ù. ÀÌ´Â Á¤»óÀûÀΠȣ½ºÆ®·Î À§ÀåÇØ ³×Æ®¿öÅ© °ü¸®ÀÚÀÇ ´«À» ÇÇÇϱâ À§ÇÑ °ÍÀ¸·Î º¸ÀδÙ.

¡ãĸóÇÑ ÆÐŶ Á¤º¸[ÀÚ·á=¾È·¦]


ÇØ´ç C2 Á¤º¸´Â ¡®¹ÙÀÌ·¯½ºÅäÅ»(Virustotal)¡¯¿¡¼­ È®ÀÎ ½Ã ¾î´À °÷µµ Â÷´ÜÇÏ°í ÀÖÁö ¾ÊÀ½À» È®ÀÎÇÒ ¼ö ÀÖ´Ù.

¡ã¡®Virustotal¡¯ °ø°ÝÀÚ C2 °Ë»ö °á°ú[ÀÚ·á=¾È·¦]


ÀÌ¿Í °ü·ÃÇØ ¾È·¦Àº ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ©¸¦ È°¿ëÇÑ Ã¹ ħÅõ ´Ü°èºÎÅÍ ³»ºÎ È®»ê ½Ã »ç¿ëµÇ´Â ºñÄÁ ¹éµµ¾î¿¡ ´ëÇØ ÇÁ·Î¼¼½º ¸Þ¸ð¸® ±â¹ÝÀÇ Å½Áö ¹æ½Ä°ú ÇàÀ§ ±â¹ÝÀÇ Å½Áö ±â¼úÀ» º¸À¯ÇÏ°í ÀÖ´Ù°í ¹àÇû´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)