ÆÄÀ̾î¾ÆÀÌ(Áö»çÀå Àü¼öÈ« www.fireeye.com/kr/ko)´Â ´ÙÃþ ³µ¶È¸¦ ÅëÇÑ ÀáÀÔÀ¸·Î ¾Æ¹«·± ÈçÀû ¾øÀÌ ³×Æ®¿öÅ©¿¡ ÀẹÇϸç Çϵåµð½ºÅ©¸¦ ¼Õ»ó½ÃÅ°´Â ¾Ç¼ºÄÚµå ·¹ÀÌÆ°Æ®º¿(LATENTBOT)À» ¹ß°ßÇß´Ù°í 28ÀÏ ¹àÇû´Ù.
ÀÌ ¾Ç¼ºÄÚµå´Â Çѱ¹À» Æ÷ÇÔÇØ ¹Ì±¹, ¿µ±¹, ½Ì°¡Æú µî ¿©·¯ ÁÖ¿ä ±¹°¡ÀÇ ±ÝÀ¶ ¼ºñ½º ¹× º¸Çè ºÐ¾ß¸¦ ÁÖ¿ä Ÿ±êÀ¸·Î °ø°ÝÀ» °¨ÇàÇØ¿Ô´Ù.
ƯÈ÷ Çѱ¹Àº ÇØ´ç ¾Ç¼ºÄÚµåÀÇ Å¸±ê±¹°¡ÀÏ »Ó ¾Æ´Ï¶ó CnC¼¹ö·Î ¾Ç¿ëµÇ±â¿¡ °¢º°ÇÑ ÁÖÀÇ°¡ ¿ä±¸µÈ´Ù.
ÆÄÀ̾î¾ÆÀÌÀÇ µ¿Àû À§Çù ÀÎÅÚ¸®Àü½º(DTI, Dynamic Threat Intelligence)¿¡ ¼öÁýµÈ Á¤º¸¿¡ ÀÇÇϸé, ·¹ÀÌÆ°Æ®º¿Àº 2013³â¿¡ »ý¼ºµÅ Çѱ¹À» Æ÷ÇÔÇÑ ¹Ì±¹, ¿µ±¹, ºê¶óÁú, UAE, ½Ì°¡Æ÷¸£, ij³ª´Ù, Æä·ç, Æú¶õµå µî ¿©·¯ ±¹°¡ÀÇ ±ÝÀ¶ ¼ºñ½º ¹× º¸Çè ºÐ¾ß¸¦ ÁÖ¿ä ´ë»óÀ¸·Î ±×µ¿¾È ¿©·¯ Â÷·Ê °ø°ÝÀ» °¨ÇàÇØ ¿Â °ÍÀ¸·Î µå·¯³µ´Ù. <±×¸²1 ‘·¹ÀÌÆ°Æ®º¿ÀÇ Å¸±ê ±¹°¡ ¹× CnC¼¹ö À§Ä¡’ ÂüÁ¶>
|
|
|
¡ã ±×¸²1 ‘·¹ÀÌÆ°Æ®º¿ÀÇ Å¸±ê ±¹°¡ ¹× CnC¼¹ö À§Ä¡’ |
ÇØ´ç ¾Ç¼ºÄڵ尡 ‘·¹ÀÌÆ°Æ®º¿(LATENTBOT)’À̶ó°í ¸í¸íµÈ ÃÖÁ¾ ÆäÀ̷εå(payload)¸¦ ÅëÇØ Å¸±ê ÄÄÇ»ÅÍ¿¡ °¨¿° ½ÃÅ°´Â ÈçÇÑ ¼ö¹ýÀ» ÀÌ¿ëÇßÁö¸¸, ÆäÀ̷ε尡 ¿©·¯ ´Ü°è·Î ÁÖÀԵǴ ´ÙÃþ ³µ¶È °úÁ¤À¸·Î ÀÎÇØ Å½Áö°¡ ¾î·Æ´Ù´Â Á¡ÀÌ Æ¯±âÇÒ ¸¸ ÇÏ´Ù°í ÆÄÀ̾î¾ÆÀÌ´Â ÀüÇß´Ù.
Àº¹ÐÇÑ ÀáÀÔÀÌ Æ¯Â¡ÀÎ ·¹ÀÌÆ°Æ®º¿ ¾Ç¼ºÄÚµåÀÇ ½ÇÁ¦ ‘¾Ç¼º’ ÄÚµå´Â ÇÊ¿äÇÑ ÃÖ¼ÒÇÑÀÇ ±â°£ µ¿¾È¸¸ ¸Þ¸ð¸®¿¡ ³²¾ÆÀÖ´Ù »ç¶óÁø´Ù.
¶ÇÇÑ ´ëºÎºÐÀÇ °¨¿°µÈ µ¥ÀÌÅÍ´Â ÇÁ·Î±×·¥ ¸®¼Ò½º³ª ·¹Áö½ºÆ®¸®¿¡¼ ¹ß°ßµÇ¸ç, CnC (C2, Command and Control) Åë½ÅÀÇ ¾Ïȣȿ¡ Æ÷ÇԵǴ °³º°ÈµÈ ¾ÏÈ£ ¾Ë°í¸®ÁòÀÌ °¢±â ´Ù¸¥ ¿ä¼Òµé¿¡ ³ª´µ¾îÁ® Á¸ÀçÇϱ⠶§¹®¿¡ ÇØ´ç ¾Ç¼ºÄÚµåÀÇ ¹ÙÀ̳ʸ®´Â ¾ÈƼ¹ÙÀÌ·¯½º(AV) ¼ÒÇÁÆ®¿þ¾î·Î ŽÁöÇϱⰡ ¾î·Æ´Ù. <±×¸²2 ‘·¹ÀÌÆ°Æ®º¿ °¨¿° °úÁ¤’ ÂüÁ¶>
|
|
|
¡ã ±×¸²2 ‘·¹ÀÌÆ°Æ®º¿ °¨¿° °úÁ¤’ |
ÀáÀÔ ½Ã¿¡µµ ÀÌ ¾Ç¼ºÄÚµå´Â ¿©·¯ ´Ü°è¿¡ °ÉÃÄ ½Ã½ºÅÛÀ» Àå¾ÇÇÏ¸ç ´õ¿í ŽÁö¸¦ ¾î·Æ°Ô ÇÑ´Ù. ÃÖÃʽýºÅÛ Ä§ÀÔ ½Ã, °ø°Ý ±×·ìÀº ¾Ç¼º ¿öµå ÆÄÀÏÀÌ Ã·ºÎµÈ À̸ÞÀÏÀ» Ÿ±ê¿¡°Ô ¼ÛºÎÇÑ´Ù.
ÇØ´ç ¿öµå ÆÄÀÏÀÌ ½ÇÇàµÇ¸é °ø°Ý ±×·ìÀÇ ¼¹ö·ÎºÎÅÍ µÎ ¹ø° ·ç¹Ì³ë½ÃƼ¸µÅ©(LuminosityLink)¶ó´Â ¾Ç¼ºÄڵ带 ´Ù¿î·ÎµåÇϴµ¥, ÀÌ´Â ¿ø°ÝÁ¦¾î (RAT, Remote Access Tool) ¾Ç¼ºÄÚµå·Î, ÀÌ ¾Ç¼ºÄÚµå ¸¸À¸·Îµµ °ø°Ý ±×·ìÀº Æнº¿öµå¸¦ Å»ÃëÇÏ°í Å°º¸µå ÀÔ·Â °ªÀ» À¯ÃâÇÏ°í, PC¿¡ ºÎÂøµÈ ¸¶ÀÌÅ©¿Í À¥Ä·ÀÇ È°¼ºÈ½ÃÅ°´Â µî Ÿ±ê ½Ã½ºÅÛÀÇ ÅëÁ¦±ÇÀ» ¿ÏÀüÈ÷ ¼ÒÀ¯ÇÒ ¼ö ÀÖ´Ù.
±× ÀÌÈÄ¿¡µµ °ø°Ý ±×·ìÀº °è¼ÓÀûÀ¸·Î CnC ¼¹ö·ÎºÎÅÍ .NET ¹ÙÀ̳ʸ®·Î À§ÀåÇÑ ·¹ÀÌÆ°Æ®º¿À» ÀáÀÔ½ÃÅ°´Âµ¥, ÀÌÀü ´Ü°è´Â ·¹ÀÌÆ°Æ®º¿À» ÀáÀÔ½ÃÅ°·Á´Â °úÁ¤À̶ó°í ÆÄÀ̾î¾ÆÀÌ´Â Ãß·ÐÇß´Ù.
·¹ÀÌÆ°Æ®º¿¿¡´Â ½Ã½ºÅÛ ¸Þ¸ð¸®¿¡ ¾Ç¼º Äڵ带 ÁÖÀÔÇÏ´Â ÆäÀ̷ε带 Æ÷ÇÔÇÏ°í ÀÖÀ¸¸ç, ÀÌÈÄ ´Ù¼¸ ¹ø°¿Í ¿©¼¸ ¹ø° ÆäÀ̷ε带 CnC ¼¹ö·ÎºÎÅÍ Â÷·Ê·Î Àü¼Û ¹Þ¾Æ °ø°Ý ±×·ìÀº Ÿ±ê ½Ã½ºÅÛÀ» °¨¿°½ÃŲ´Ù.
ÀÌó·³ ·¹ÀÌÆ°Æ®º¿ ¾Ç¼ºÄÚµå´Â ¿©·¯ ´Ü°èÀÇ ÁÖÀÔÀ» ÅëÇØ °¨¿°ÀÌ ÀÌ·ïÁö±â ¶§¹®¿¡ ŽÁö°¡ »ó´çÈ÷ ¾î·ÆÁö¸¸, ÀûÀýÇÑ ÇàÀ§ ±â¹Ý ŽÁö ¼Ö·ç¼ÇÀ̶ó¸é ¸Þ¸ð¸® ³»¿¡¼ÀÇ È°µ¿ ¸¸À¸·Î À̸¦ ŽÁöÇÒ ¼ö ÀÖ´Ù.
¶ÇÇÑ ¾Ç¼ºÄڵ尡 º¸¾È ¼Ö·ç¼ÇÀ» ¿ìȸÇÒ ¼ö Àֱ⠶§¹®¿¡ ¾Æ¿ô¹Ù¿îµå Äݹé ÃßÀû ¹× Â÷´ÜÇÒ ¼ö ÀÖ´Â ±â´ÉÀ» °®Ãá º¸¾È ¼Ö·ç¼ÇÀÌ ÇʼöÀûÀÌ´Ù.
ÆÄÀ̾î¾ÆÀÌ Àü¼öÈ« Áö»çÀåÀº “APT °ø°ÝÀÌ Áö´ÉÈµÇ¸é¼ ±âÁ¸ AV ÇÁ·Î±×·¥À¸·Î ŽÁöÇϱ⠾î·Á¿î ¾Ç¼ºÄÚµåµéÀÌ µîÀåÇÏ°í ÀÖ´Ù. ·¹ÀÌÆ°Æ®º¿°ú °°ÀÌ ´ÙÃþ ³µ¶È¸¦ ÅëÇØ ±âÁ¸ ŽÁö ½Ã½ºÅÛÀ» ¿ìȸÇÏ´Â ¾Ç¼ºÄڵ带 ŽÁö ¹× ´ëÀÀÇϱâ À§Çؼ´Â Çൿ ±â¹Ý ¼Ö·ç¼Ç ÇÊ¿äÇÏ´Ù”¸ç “ÆÄÀ̾î¾ÆÀÌ´Â Çൿ ±â¹Ý ºÐ¼® ½Ã½ºÅÛÀ¸·Î ¾Ë·ÁÁöÁö ¾ÊÀº ¾Ç¼ºÄÚµå±îÁö È¿°úÀûÀ¸·Î ŽÁö ¹× ´ëÀÀÀÌ °¡´ÉÇÑ ¼Ö·ç¼ÇÀ» Á¦°øÇÏ°í ÀÖÀ¸¸ç, ÆäÀ̷ε带 ħÀÔÀ» °¡´ÉÄÉÇÏ´Â Äݹé ÃßÀû ¹× Â÷´Ü¿¡ À־µ µ¶º¸ÀûÀÎ ±â¼ú·ÂÀ» È®º¸ÇÏ°í ÀÖ´Ù”°í µ¡ºÙ¿´´Ù.
·¹ÀÌÆ°Æ®º¿¿¡ ´ëÇÑ º¸´Ù ÀÚ¼¼ÇÑ Á¤º¸´Â ÆÄÀ̾î¾ÆÀÌ °ø½Ä ºí·Î±×(https://www.fireeye.com/blog/threat-research/2015/12/latentbot_trace_me.html)¿¡¼ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
<±èµ¿±â ±âÀÚ>kdk@bikorea.net < ÀúÀÛ±ÇÀÚ © BI KOREA ¹«´ÜÀüÀç ¹× Àç¹èÆ÷±ÝÁö > |