¸ÆOS¸¦ À§ÇÑ ÀÎÅÍ·¢Æ¼ºê ºÐ¼® ¹× 40¿©°³ÀÇ ½Å±Ô ¸Ö¿þ¾î ±¸¼º ÃßÃâ ÆÄÀϵµ Ãß°¡
[º¸¾È´º½º ÀÌ»ó¿ì ±âÀÚ] Àμ½½ÃÅ¥¸®Æ¼(´ëÇ¥ ±èÁ¾±¤)°¡ Á¶½ÃÅ¥¸®Æ¼(JoeSecurity)ÀÇ ¾Ç¼ºÄÚµå Á¤¹Ð ºÐ¼® ¼Ö·ç¼Ç ¡®Á¶»÷µå¹Ú½º(JoeSandbox)¡¯ ÃֽŠ¹öÀüÀÎ v32¸¦ Ãâ½ÃÇß´Ù°í ¹àÇû´Ù.
[À̹ÌÁö=Àμ½½ÃÅ¥¸®Æ¼]
Á¶»÷µå¹Ú½ºÀÇ ÇàÀ§ ½Ã±×´Ïó(Behavior Signature)´Â »÷µå¹Ú½º Á¦Ç°¿¡¼ °¡Àå Áß¿äÇÑ µ¿Àû ºÐ¼® ½Ã ¹ß»ýÇÏ´Â ÇàÀ§¿¡ ´ëÇÑ Á¤ÀÇ´Ù. ¾Ç¼ºÄÚµå ºÐ¼® ½Ã ¾Ç¼ºÄڵ尡 µ¿ÀÛÇÏ´Â ¸ðµç ÇàÀ§¿¡ ´ëÇÑ Á¤º¸¸¦ ½Äº°ÇÏ°í °¢ ÇàÀ§ º° Á¤»ó/ÀǽÉ/¾Ç¼ºÀ¸·Î ÆÇ°áÇÒ ¼ö ÀÖ´Â ½Ã±×´Ïó´Ù. Á¶»÷µå¹Ú½º´Â ¾÷°è ÃÖ´Ù ÇàÀ§ ½Ã±×´Ïó¸¦ Á¦°øÇÏ°í ÀÖ´Ù.
Á¶»÷µå¹Ú½º ºí·¢ ´ÙÀ̾ƸóµåÀÇ °¡Àå ÁÖ¿äÇÑ ¾÷µ¥ÀÌÆ®´Â À©µµ¿ì¿¡ Áö¿øµÇ´Â ÀÎÅÍ·¢Æ¼ºê ºÐ¼®¿¡ Ãß°¡µÈ ¶óÀÌºê µ¥ÀÌÅÍ ±â´ÉÀÌ´Ù. 2018³â¿¡ ¶óÀ̺ê ÀÎÅÍ·¢Æ¼ºê°¡ Ãß°¡µÈ ÀÌÈÄ, À̹ø ¹öÀü¿¡¼ºÎÅÍ´Â ÇàÀ§ ½Ã±×´Ïó(Behavior Signature) ¹× ¾ß¶ó(Yara), ½Ã±×¸¶(Sigma)¿¡ ´ëÇÑ ½Ç½Ã°£ Á¤º¸¸¦ ÅëÇØ È®Àå Á¦°øµÈ´Ù.
¾Ç¼ºÄÚµå ºÐ¼® ´ã´çÀÚ´Â ¶óÀÌºê µ¥ÀÌÅÍ ±â´ÉÀ» ÅëÇØ µå·Ó ÆÄÀÏ ¹× ¸Þ¸ð¸® ´ýÇÁ¸¦ ºñ·ÔÇÑ ¸ðµç ¾ÆƼÆÑÆ®¿¡ Àû¿ëµÇ´Â ¾ß¶ó ·ê ¹× ½Ã±×¸¶¿Í ÇàÀ§ ½Ã±×´Ïó¿¡ ´ëÇØ ½Ç½Ã°£À¸·Î ŽÁö °á°ú¸¦ Á¶È¸ÇÒ ¼ö ÀÖ´Ù. ½Ã±×´Ïó ¿Ü¿¡µµ µµ¸ÞÀÎ, URL ¹× IP¿Í °°Àº IOC¿¡ ´ëÇÑ ½Ç½Ã°£ µ¥ÀÌÅÍ°¡ Á¦°øµÈ´Ù. µ¿ÀÛ ºÐ¼® Áß¿¡µµ ŽÁö, Æò°á ¹× ÇÁ·Î¼¼½º Æ®¸® ±¸Á¶ Á¤º¸°¡ ¾÷µ¥ÀÌÆ®µÇ¹Ç·Î, ½Ã±×´Ïó ¹× IOC °á°ú¸¦ ±â´Ù¸± ÇÊ¿ä ¾øÀÌ ¾ðÁ¦µçÁö ºÐ¼®À» È®ÀåÇϰųª Áß´ÜÇÒ ¼ö ÀÖ´Ù. ÀÌ¿Í ÇÔ²² ±âÁ¸ÀÇ À©µµ, ¾Èµå·ÎÀ̵å, ¸®´ª½º¿¡¼ Áö¿øÇÏ´ø ÀÎÅÍ·¢Æ¼ºê ºÐ¼®À» ¸ÆOS(macOS)¿¡¼µµ Áö¿øÇÑ´Ù.
¶ÇÇÑ, À©µµ EVTX ¹× À̺¥Æ® ºä¾î ·Î±×¸¦ »ç¿ëÇϴ ŽÁö ÅøÀÌ ´Ã¾î³ª°í ÀÖ´Â ¸¸Å ºí·¢ ´ÙÀ̾Ƹóµå¿¡µµ EVTX ÆÄÀÏ ´Ù¿î·Îµå ¿É¼ÇÀÌ Ãß°¡µÆ´Ù. Àüü EVTX ÆÄÀÏ ´Ù¿î·Îµå¸¦ Áö¿øÇϸç, ´Ù¸¥ Åø·Î ¿¬µ¿ÇØ È°¿ëÇÒ ¼ö ÀÖ´Ù.
ºí·¢ ´ÙÀ̾Ƹóµå´Â Á¶»÷µå¹Ú½º¿Í ¾ß¶ó ·êÀ» ÇÔ²² »ç¿ëÇÏ´Â °í°´µé¿¡°Ô Ãß°¡ÀûÀÎ ÀÌÁ¡À» Á¦°øÇÑ´Ù. µå·Ó ÆÄÀÏ, ¸Þ¸ð¸® ´ýÇÁ, HTML DOM, PCAP, PE ¾ðÆÑ ÆÄÀÏ µî ¸ðµç ¾ÆƼÆÑÆ®¿¡ ¾ß¶ó ·êÀ» Àû¿ëÇÒ ¼ö ÀÖÀ¸¸ç, ÀÌ·¯ÇÑ ¸ÂÃãÇü ¾ß¶ó ·êÀ» ÅëÇØ ½ºÄÚ¾î, À§Çù À̸§À» ŽÁöÇÒ ¼ö ÀÖ´Ù. ¸ÞŸ ű׸¦ »ç¿ëÇϸé Yara Rule¿¡ ´ëÇÑ MITRE ATT&CK ¸ÅÇεµ °¡´ÉÇÏ´Ù.
ÀÌ ¹Û¿¡µµ Á¶»÷µå¹Ú½º ºí·¢ ´ÙÀ̾Ƹóµå´Â ¡âPDF·Î ½ÃÀÛÇÏ´Â URL ÇÇ½Ì °ø°Ý¿¡ ´ëÇÑ AI ÇÇ½Ì Å½Áö ¡âDLL Re-load ŽÁö ¡âºê¶ó¿ìÀú/À̸ÞÀÏ ¾Ë¸²¿¡ À§Çù À̸§ Á¦°ø ¡âSSL Å° ·Î±× ´Ù¿î·Îµå ¡âPDF Execute ¸®Æ÷Æ® ¡â¸®Æ÷Æ® ³» Á¤º¸ ¾ÆÀÌÄÜ Á¦°ø ¡âPDF ÇÇ½Ì °¨Áö¿¡ ´ëÇÑ À¯»ç¼º °Ë»ç ¡âÀ̹ÌÁö ¼¦ Çؽà ÇÇ½Ì Å½Áö ¡âÁ¾·áµÈ ÇÁ·Î¼¼½º¿¡ ´ëÇÑ Å½Áö ¡â#UD ¿¹¿Ü °¨Áö ¡â½Ã±×¸¶ ÅëÇÕ °È µîÀÇ ±â´ÉÀÌ Ãß°¡µÆ´Ù.
Á¶»÷µå¹Ú½º °ø½Ä ÃÑÆÇ»çÀÎ Àμ½½ÃÅ¥¸®Æ¼ ±èÁ¾±¤ ´ëÇ¥´Â ¡°À§Çù ÁöÇüÀÌ ºü¸£°Ô ¹Ù²î¾î °¨¿¡ µû¶ó ¸Ö¿þ¾î ºÐ¼®¿¡ µå´Â ½Ã°£À» ´ÜÃàÇÏ°í º¸´Ù Á¤¹ÐÇÏ°Ô Å½ÁöÇØ¾ß ÇÒ Çʿ伺ÀÌ ³ô¾ÆÁ³´Ù¡±¸ç, ¡°Á¶»÷µå¹Ú½º¸¦ ¸¶¿¡½ºÆ®·Î ½ÃÅ¥¸®Æ¼ ¿ÀÄɽºÆ®·¹ÀÌÅÍ(Maestro Security Orchestrator) °°Àº ÀÎÅÚ¸®Àü½º Ç÷§Æû°ú ¿¬µ¿ÇØ °·ÂÇÑ º¸¾È ȯ°æÀ» ±¸ÃàÇÏ´Â µîÀÇ ÅëÇÕ Àü·«À» ±¸ÃàÇÏ°í, ±¹³» °í°´µéÀº Àü¹æÀ§·Î Áö¿øÇÒ °èȹ¡±À̶ó°í ¸»Çß´Ù.
[ÀÌ»ó¿ì ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>