Á¦·Î¸¶ÀÌ³Ê °ø°ÝÀÚ, À¥½©¡¤FRP¡¤¿ø°ÝÄÚµå ½ÇÇà Ãë¾àÁ¡ ¾Ç¿ëÇØ °ø°Ý °¨Çà
À¥·ÎÁ÷ ¼ºñ½º ÃֽŠ¹öÀü À¯ÁöÇÏ°í º¸¾È ¾÷µ¥ÀÌÆ®¸¦ È®ÀÎÇؾß
[º¸¾È´º½º ¹ÚÀºÁÖ ±âÀÚ] ÃÖ±Ù ±¹³» Ãë¾àÇÑ À¥·ÎÁ÷(WebLogic) ¼¹ö¸¦ Àå¾ÇÇØ ¾Ç¼ºÄÚµå ¹èÆ÷ ¼¹ö·Î »ï´Â °ø°Ý »ç·Ê°¡ ¹ß°ßµÆ´Ù. °ø°ÝÀÚ´Â Á¦·Î¸¶À̳Ê(z0Miner) °ø°ÝÀÚ·Î º¸À̸ç, Á¤º¸¸¦ Å»ÃëÇϰųª ·£¼¶¿þ¾î¸¦ ¼³Ä¡ÇÒ ¼ö ÀÖ¾î °ü¸® µÇÁö ¾ÊÀº Æ÷Æ®³ª ¼¹ö¿¡ ´ëÇÑ Á¡°ËÀÌ ÇÊ¿äÇÑ »óȲÀÌ´Ù.
¡ã¾Ç¿ëµÈ ±¹³» À¥ ¼¹ö[À̹ÌÁö=ASEC]
Á¦·Î¸¶ÀÌ³Ê °ø°ÝÀÚ´Â Áß±¹ IT ±â¾÷ ÅÙ¼¾Æ®ÀÇ º¸¾ÈÆÀ(Tencent Security)¿¡ ÀÇÇØ Ã³À½ ¼Ò°³µÆ´Ù. °ø°ÝÀÚ´Â °ú°Å ±¹³»¿Ü º¸¾ÈÀÌ Ãë¾àÇÑ ¼¹öÀÎ Atlassian Confluence, Apache ActiveMQ, Log4J µîÀ» ´ë»óÀ¸·Î ¸¶ÀÌ³Ê ¾Ç¼ºÄڵ带 À¯Æ÷Çϱ⵵ Çß´Ù.
¾È·¦ ½ÃÅ¥¸®Æ¼ ÀÎÅÚ¸®Àü½º ¼¾ÅÍ(ASEC)¿¡ µû¸£¸é °ø°ÝÀÚ´Â ¿ì¼± Á¤»óÀûÀ¸·Î »ç¿ëµÇ´Â À¥ ¼¹ö¸¦ Àå¾ÇÇß´Ù. ÀÌÈÄ ¸¶ÀÌ³Ê ¹× ³×Æ®¿öÅ© µµ±¸ µî ¾Ç¼ºÄڵ带 ¹èÆ÷ÇÏ´Â ´Ù¿î·Îµå ¼¹ö·Î ¾Ç¿ëÇß´Ù. ÇöÀç±îÁö °ø°Ý´çÇÑ ±¹³» ¼¹ö´Â ¾à 3°³ÀÌ¸ç ¸ðµÎ ¼¹ö Á¤º¸(Apache-Coyote/1.1)°¡ ³ëÃâµÅ Àִٴ Ư¡ÀÌ ÀÖ´Ù. ¶ÇÇÑ 2020³â ¿À¶óŬ(Oracle)¿¡¼ ¹ß°ßµÈ ¿ø°ÝÄÚµå ½ÇÇà Ãë¾àÁ¡(CVE-2020-14882, CVE-2020-14883)À» °ø·«ÇØ À¥·ÎÁ÷ ¼¹ö¸¦ °ø°ÝÇß´Ù.
À̵éÀº À©µµ¿ì¿¡¼ powershell.exe°ú certutil.exeÀ» »ç¿ëÇßÀ¸¸ç, ¸®´ª½ºÀÇ °æ¿ì curl ¸í·É¾î¸¦ ÅëÇØ ¾Ç¼º ÆÄÀÏÀ» ¼³Ä¡Çß´Ù. Áö³ 1¿ù 26ÀÏ ±¹³» Ãë¾àÇÑ À¥ ¼¹ö¸¦ ´ë»óÀ¸·Î ¾Ç¼ºÄڵ带 ¹èÆ÷ÇÑ »ç·Ê°¡ ¹ß°ßµÆ´Ù. °ø°ÝÀÚ´Â FRP(Fast Reverse Proxy), NetCat, AnyDesk µî ³×Æ®¿öÅ© µµ±¸¸¦ »ç¿ëÇÑ Á¤È²ÀÌ µå·¯³ª¸ç ÇØ¿Ü »ç·Ê¿Í ºñ±³ÇØ ¶Ñ·ÇÇÑ Â÷À̸¦ º¸¿´´Ù.
¡ã°ø°ÝÀÚ°¡ »ç¿ëÇÑ À¥½©[ÀÚ·á=ASEC]
À©µµ¿ì¸¦ ´ë»óÀ¸·Î ÇÑ °ø°ÝÀ» »ìÆ캸¸é ½Ã½ºÅÛ¿¡ À¥·ÎÁ÷ Ãë¾àÁ¡À» ¾Ç¿ëÇØ jsp À¥½©À» ¾÷·ÎµåÇß´Ù. ½Ã½ºÅÛ¿¡ À¥¼¿ÀÌ ¼³Ä¡µÇ¸é Áö¼Ó¼ºÀ» À¯ÁöÇÏ°í ½Ã½ºÅÛÀ» Á¦¾îÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ JSP File Browser, Shack2, Behinder µî 3°¡Áö À¥½©À» »ç¿ëÇØ ¹é½Å¿¡ ŽÁö¸¦ ȸÇÇÇß´Ù.
¡ã¸¶ÀÌ³Ê ¾Ç¼ºÄڵ带 ³»·Á¹Þ´Â ÆÄ¿ö½© ÄÚµå[ÀÚ·á=ASEC]
°ø°ÝÀÚ´Â RDP(Remote Desktop Protocol) Åë½ÅÀ» Çϱâ À§ÇØ ÇÁ·Ï½Ã(Proxy) µµ±¸¸¦ »ç¿ëÇϱ⵵ Çß´Ù. »ç¿ëÇÑ µµ±¸´Â FRP(Fast Reverse Proxy)·Î Á÷Á¢ Åë½ÅÇÒ ¼ö ¾ø´Â ÀÎÆ®¶ó³Ý PC¿¡ ¿ÜºÎ Á¢±ÙÇÒ ¼ö ÀÖµµ·Ï Áß°è±â¸¦ µÖ ±¸¼ºÇÏ´Â ¿ÀǼҽº µµ±¸ÀÌ´Ù. ¶ÇÇÑ ¹æȺ®À» ¿ìȸÇÏ°í °ø°Ý ´ë»ó ½Ã½ºÅÛÀ» Á¦¾îÇÒ ¼ö ÀÖ´Â ¿ø°Ý ½© ±â´ÉÀ» Á¦°øÇϱâ À§ÇØ ³ÝĹ(Netcat) µµ±¸¸¦ »ç¿ëÇß´Ù. ÀÌ ¹Û¿¡µµ ¾Ö´Ïµ¥½ºÅ©(AnyDesk)¸¦ ¼³Ä¡Çϰųª ¸¶À̳Ê(Miner) ¾Ç¼ºÄڵ带 À¯Æ÷Çϱ⵵ Çß´Ù.
ASEC ÃøÀº ¡°°ø°ÝÀÚµéÀº ÆÐÄ¡µÇÁö ¾ÊÀº Ãë¾àÇÑ WebLogic ¼¹ö¸¦ ´ë»óÀ¸·Î Áö¼ÓÀûÀ¸·Î °ø°ÝÀ» ¼öÇàÇÏ°í ÀÖ´Ù¡±¸ç ¡°¶ÇÇÑ °¨¿° ½Ã½ºÅÛÀ» Àå¾ÇÇÑ ÀÌÈÄ Á¤º¸¸¦ Å»ÃëÇϰųª ·£¼¶¿þ¾î¸¦ ¼³Ä¡ÇÒ ¼ö ÀÖ¾î °ü¸®µÇÁö ¾Ê´Â Æ÷Æ®³ª ¼¹ö¿¡ ´ëÇÑ Á¡°ËÀÌ ÇÊ¿äÇÏ´Ù¡±°í ¼³¸íÇß´Ù. ÀÌ¾î ¡°½Ã½ºÅÛ °ü¸®ÀÚ´Â »ç¿ë ÁßÀÎ À¥·ÎÁ÷ ¼ºñ½º°¡ ÃֽŠ¹öÀüÀÎÁö Á¡°ËÇÏ°í, ³·Àº ¹öÀüÀÏ ¶§´Â ÆÐÄ¡ÇØ ±âÁ¸¿¡ ¾Ë·ÁÁø Ãë¾àÁ¡À¸·ÎºÎÅÍ °ø°ÝÀ» ¹æÁöÇØ¾ß ÇÑ´Ù¡±°í °Á¶Çß´Ù.
[¹ÚÀºÁÖ ±âÀÚ(boan5@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>