ÆÄÀ̾î¾ÆÀÌ(Áö»çÀå Àü¼öÈ« www.fireeye.com/kr/ko)¿Í ¸Çµð¾ðÆ®(Mandiant)ÀÇ ¿¬±¸¿øµéÀº ÃÖ±Ù ½Ã½ºÅÛ ¿î¿µÃ¼Á¦°¡ ºÎÆõDZâ Àü ½ÇÇàµÇ´Â ºÎƮŶ ¸Ö¿þ¾î¸¦ ÀÌ¿ëÇØ °áÁ¦Ä«µå µ¥ÀÌÅ͸¦ ³ë¸®´Â ½ÅÁ¾ »çÀ̹ö ¹üÁË ¼ö¹ýÀ» ¹ß°ßÇß´Ù°í 22ÀÏ ÀüÇß´Ù.
»çÀ̹ö ħÇØ ´ëÀÀ Àü¹® ±â¾÷ ¸Çµð¾ðÆ®°¡ ¹ß°ßÇÑ ºÎƮŶ ¸Ö¿þ¾î ‘ºÎÆ®·¡½Ã(Bootrash)’´Â ¿î¿µÃ¼Á¦ÀÇ ÇÏÀ§ °èÃþÀ» °¨¿°½ÃÄÑ Å½Áö ¹× Á¦°Å°¡ ¾î·Æ´Ù´Â Á¡¿¡¼ °¢º°ÇÑ ÁÖÀÇ°¡ ¿ä±¸µÈ´Ù.
¸Çµð¾ðÆ®¿¡ µû¸£¸é, ÇØ´ç »çÀ̹ö ¹üÁË´Â °æÁ¦Àû ÀÌÀ±À» ³ë¸®´Â ·¯½Ã¾Æ ±â¹Ý ÃßÁ¤ »çÀ̹ö ¹üÁË Á¶Á÷, ‘FIN1'ÀÇ ¼ÒÇàÀ¸·Î ¹àÇôÁ³À¸¸ç ÁÖ·Î ±ÝÀ¶È¸»ç¸¦ ´ë»óÀ¸·Î ¼öÀÍ°ú Á÷°áµÇ´Â µ¥ÀÌÅ͸¦ ³ë·Á¿Â Á¶Á÷À̶ó°í ÀüÇß´Ù.
¸Çµð¾ðÆ®´Â ÃÖ±Ù ÇÑ ±ÝÀ¶¾÷ü¿¡ ´ëÇÑ Á¶»ç¸¦ ÇÏ´ø Áß FIN1¿¡ ÀÇÇÑ »çÀ̹ö ¹üÁË È°µ¿À» °¨ÁöÇß´Ù.
FIN1Àº ¼ÒÀ§ ‘³×¹Ì½Ã½º(Nemesis)’¶ó ÀÏÄ´ ¸Ö¿þ¾î »ýÅ°迡 ¼ÓÇÑ ´Ù¼öÀÇ ¾Ç¼º ÆÄÀÏ°ú À¯Æ¿¸®Æ¼¸¦ »ç¿ë °ø°ÝÀ» °¨ÇàÇß´Ù.
³×¹Ì½Ã½º¿¡´Â ´Ù¾çÇÑ ³×Æ®¿öÅ© ÇÁ·ÎÅäÄÝ°ú CnC¼¹ö Åë½Å ä³ÎÀ» Áö¿øÇÏ´Â Æ÷°ýÀûÀÎ ¹éµµ¾î°¡ Æ÷ÇÔµÅÀÖ´Ù.
FIN1Àº °ø°Ý ÅøÀÇ º¯Á¾À» »ý¼ºÇÏ°í, ±â´ÉÀ» Ãß°¡ÇÏ´Â µî Áö¼ÓÀûÀ¸·Î ³×¹Ì½Ã½º¸¦ ¾÷µ¥ÀÌÆ®ÇßÀ¸¸ç, ¿ÃÇØ ÃÊ¿¡´Â Á¤»óÀûÀÎ ½Ã½ºÅÛ º¼·ý ºÎÆ® ·¹ÄÚµå(VBR, Volume Boot Records)¸¦ º¯°æÇÏ´Â ‘ºÎÆ®·¡½Ã’ À¯Æ¿¸®Æ¼¸¦ Åø¼Â¿¡ Æ÷ÇÔ½ÃÄ×´Ù.
ƯÈ÷ FIN1Àº ºÎÆ®·¡½Ã¸¦ ÀÌ¿ëÇØ ½Ã½ºÅÛ ºÎÆà ÇÁ·Î¼¼½º¸¦ Àå¾ÇÇÏ°í, À©µµ ¿î¿µÃ¼Á¦ÀÇ Äڵ庸´Ù ³×¹Ì½Ã½ºÀÇ ±¸¼º ¿ä¼ÒµéÀ» ¸ÕÀú ·ÎµùÇÑ´Ù. <±×¸² ‘ºÎÆ®·¡½Ã¿¡ °¨¿°µÈ ºÎÆà °úÁ¤’ ÂüÁ¶>
ÀϹÝÀûÀÎ ºÎÆà °úÁ¤¿¡¼ MBR(Master Boot Record)Àº ¿î¿µÃ¼Á¦ Äڵ带 ºÒ·¯¿À´Â VBRÀ» ·ÎµùÇÑ´Ù.
±×·¯³ª À̹ø ¾Ç¼º Äڵ忡 °¨¿°µÉ °æ¿ì, ºÎÆ®·¡½Ã ºÎÆ®½ºÆ®·¦(bootstrap) Äڵ尡 µ¤¾î ¾²ÀÎ VBRÀ» ·ÎµùÇϸç, ÀÌ ÄÚµå´Â °¡»ó ÆÄÀÏ ½Ã½ºÅÛ¿¡ ÀúÀåµÈ ³×¸Þ½Ã½º ºÎƮŶ ¿ä¼Ò¸¦ ºÒ·¯¿Í º»·¡ÀÇ ºÎÆ® ¼½Å͸¦ Á¦¾îÇÑ´Ù.
ÀÌó·³ ºÎƮŶÀÌ ºÎÆ® ¼½Å͸¦ Á¦¾îÇÑ ÀÌÈÄ ¿î¿µ üÁ¦°¡ ·ÎµùµÇ°í ½ÇÇàµÇ±â ¶§¹®¿¡ ŽÁö ¹× Á¦°Å°¡ ¾î·Æ´Ù.
ºÎÆ®·¡½Ã¿Í °°Àº ºÎƮŶÀº À©µµ ¿î¿µÃ¼Á¦ ÇÏÀ§¿¡ ¼³Ä¡µÅ À©µµº¸´Ù ¸ÕÀú ½ÇÇàµÇ±â ¶§¹®¿¡ ¿î¿µÃ¼Á¦¿¡¼ ÁøÇàµÇ´Â ¹«°á¼º °Ë»ç¸¦ ÇÇÇØ°¥ ¼ö ÀÖ´Ù.
¶ÇÇÑ ¸Ö¿þ¾î ÆäÀ̷ε带 ºÒ·¯¿À±â À§ÇØ »ç¿ëµÇ´Â ¿ä¼ÒµéÀº À©µµ ÆÄÀϽýºÅÛ ¿ÜºÎ¿¡ ÀÖ´Â °¡»ó ÆÄÀϽýºÅÛ¿¡ ÀúÀåµÅ ¹é½Å ¼ÒÇÁÆ®¿þ¾î·Îµµ ¹ß°ßÀÌ µÇÁö ¾Ê´Â´Ù.
°Ô´Ù°¡ ¸Ö¿þ¾î ¿ä¼Òµé ÀÚü ¿ª½Ã °¡»ó ÆÄÀÏ ½Ã½ºÅÛÀ̳ª À©µµ ·¹Áö½ºÆ®¸®¿¡ ÀúÀåµÅ ¹é½Å ÇÁ·Î±×·¥ÀÇ ¿µÇâÀ» ¹ÞÁö ¾Ê´Â´Ù.
µû¶ó¼ ºÎÆ®·¡½Ã¸¦ ŽÁöÇÒ ¼ö ÀÖ´Â °÷Àº ¿ø½Ã ¸Þ¸ð¸®»ÓÀÌ´Ù.
ÀÌ¿Í °ü·Ã, ¸Çµð¾ðÆ®´Â ºÎÆ®·¡½Ã¸¦ Á¶»çÇÏ´Â °úÁ¤¿¡¼, ¿ø½Ã µð½ºÅ©¿¡ ´ëÇÑ Á¢±ÙÀ» °¡´ÉÄÉ ÇÏ´Â ¸Çµð¾ðÆ®ÀÇ ÀÚüÀûÀΠȣ½ºÆ® ±â¹Ý ±â¼ú ‘¸Çµð¾ðÆ® ÀÎÅÚ¸®ÀüÆ® ¸®½ºÆù½º(Mandiant Intelligent Response, MIR)’¸¦ »ç¿ëÇØ ¿î¿µ üÁ¦ ¿ÜºÎ¿¡ Á¸ÀçÇÏ´Â ¸Ö¿þ¾î¸¦ ¹ß°ßÇß´Ù°í ¹àÇû´Ù.
ÀÌ ÅøÀº ÆÄƼ¼ÇÀÇ ½ÃÀÛ¿¡¼ºÎÅÍ 0xE ¿µ¿ª¿¡ ÀúÀåµÈ VBR ÄÚµåÀÇ ¹é¾÷ º¹»çº»ÀÌ ÀÖ´Â ½Ã½ºÅÛµéÀ» ½Å¼ÓÇÏ°Ô ÆľÇÇÒ ¼ö ÀÖµµ·Ï ÇØ ºÎÆ®·¡½Ã °¨¿° ¿©ºÎ¸¦ Á¶»çÇß´Ù.
¶ÇÇÑ Å½ÁöµÇÁö ¾ÊÀº ºÎÆ®·¡½Ã º¯Á¾ÀÌ Á¤»ó VBR ÄÚµåÀÇ ¹é¾÷ º¹»çº»¿¡ ÀúÀåµÅ ÀÖÀ» °æ¿ì¸¦ ´ëºñÇØ ´Ù¸¥ ÆÄƼ¼ÇÀÌ ½ÃÀÛµÉ ¶§ MIR¸¦ »ç¿ëÇØ µð½ºÅ©ÀÇ ¿©·¯ À§Ä¡¿¡¼ ¹«ÀÛÀ§·Î VBR ÄÚµåÀÇ Á¸À縦 °Ë»öÇß´Ù.
ÆÄÀ̾î¾ÆÀÌ Àü¼öÈ« Áö»çÀåÀº “¿î¿µ üÁ¦ ¿ÜºÎ¿¡ Á¸ÀçÇÏ´Â ¸Ö¿þ¾î°¡ »ç¿ëµÇ´Â °æ¿ì¿¡´Â ±âÁ¸ÀÇ Å½Áö ¹× Á¦°Å ¹æ½Ä°ú´Â ´Ù¸¥ ¹æ½ÄÀ¸·Î ÀÌ¿¡ Á¢±ÙÇÒ ÇÊ¿ä°¡ ÀÖ´Ù”¸ç “ºÎÆ®·¡½Ã¿Í °°Àº ºÎƮŶ ¸Ö¿þ¾î¿¡´Â ¸Çµð¾ðÆ® ÀÎÅÚ¸®ÀüÆ® ¸®½ºÆù½º¿Í °°ÀÌ ¿ø½Ã µð½ºÅ© Æ÷·»½Ä À̹ÌÁö¿¡ Á¢±ÙÇÏ°í °Ë»öÇÒ ¼ö ÀÖ´Â ÅøÀÌ È¿°úÀû”À̶ó°í ¼³¸íÇß´Ù.
ºÎÆ®·¡½Ã¿¡ ´ëÇÑ º¸´Ù ÀÚ¼¼ÇÑ Á¤º¸´Â ÆÄÀ̾î¾ÆÀÌ °ø½Ä ºí·Î±×(https://www.fireeye.com/blog/threat-research/2015/12/fin1-targets-boot-record.html)¿¡¼ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
<±èµ¿±â ±âÀÚ>kdk@bikorea.net < ÀúÀÛ±ÇÀÚ © BI KOREA ¹«´ÜÀüÀç ¹× Àç¹èÆ÷±ÝÁö > |