¿£ÅÍÅ×ÀθÕÆ® ¾÷°è°¡ À̹ø µðµµ½º °ø°Ý Ç¥ÀûÀÇ ÁÖ¿ä ´ë»ó
[º¸¾È´º½º Á¤±Ô¹®] ¿Â¶óÀÎ ÄÜÅÙÃ÷ ¹× ºñÁî´Ï½º ¾ÖÇø®ÄÉÀ̼ÇÀ» Àü¼Û, ÃÖÀûÈ ¹× º¸È£Çϴ Ŭ¶ó¿ìµå ¼ºñ½º ¼±µÎ ±â¾÷ ¾ÆÄ«¸¶ÀÌ(ºÏ ÅÂÆò¾çÁö¿ª ÃÑ°ý ´ëÇ¥ Æȸ®¸» Æǵå¾ß, www.akamai.com/kr)´Â ÇÁ·Î·º½Ä º¸¾È ¿£Áö´Ï¾î¸µ ¹× ¸®¼Ä¡ ÆÀ(Security Engineering & Research Team)ÀÇ ¿¬±¸¸¦ ÅëÇØ »õ·Î¿î »çÀ̹ö º¸¾È À§Çù¿¡ ´ëÇÑ ´ëó¹æ¾ÈÀ» Á¦½ÃÇß´Ù.
¸®´ª½º ½Ã½ºÅÛ(Linux System)ÀÇ lptabLes¿Í lptabLex °¨¿°ÀÌ ±â¾÷º¸¾È¿¡ À§ÇùÀ» °¡ÇÒ ¼ö ÀÖÀ¸¸ç, ÁÖ¿ä Ç¥Àû ´ë»óÀ¸·Î ¿£ÅÍÅ×ÀθÕÆ® »ê¾÷À» ²Å¾Ò´Ù. À̹ø¿¡ ¹ßÇ¥µÈ º¸¾È °æ°í´Â ¾ÆÄ«¸¶ÀÌ°¡ ÃÖ±Ù Àμö ¿Ï·áÇÑ µðµµ½º(DDoS) º¸È£ ¼ºñ½º ¾÷üÀÎ ÇÁ·Î·º½Ä Å×Å©³î·ÎÁö(Prolexic Technologies)»çÀÇ È¨ÆäÀÌÁö¿¡¼ º¸´Ù ´õ ÀÚ¼¼È÷ »ìÆ캼 ¼ö ÀÖÀ¸¸ç, www.prolexic.com/iptablex ¹«·á PDF ÆÄÀÏÀÇ ´Ù¿î·Îµå°¡ °¡´ÉÇÏ´Ù.
½ºÆ©¾îÆ® ½ºÄݸ®(Stuart Scholly) ¾ÆÄ«¸¶ÀÌ ¼ö¼® ºÎ»çÀå °â º¸¾È ºÎ¹® Á¦³Ê·² ¸Å´ÏÀú´Â ¡°IptabLes¿Í IptabLex ¾Ç¼ºÄڵ忡 ÀÇÇÑ ¸®´ª½º ½Ã½ºÅÛ °¨¿°Àº 2014³â µðµµ½º Ä·ÆäÀο¡¼ °üÃøµÈ µðµµ½º °ø°Ý Áß °¡Àå ÁÖ¸ñÇÒ ¸¸ÇÑ °ø°ÝÀÌ´Ù¡±¶ó°í Çß´Ù.
ÀÌ¾î ¡°¸®´ª½º ¿î¿µ üÁ¦´Â µðµµ½º º¿³ÝÀÌ ÁÖ·Î °ø°ÝÇÏ´ø ´ë»óÀÌ ¾Æ´Ï¾ú±â ¶§¹®¿¡ ´õ¿í ±×·¯ÇÏ´Ù. °ø°ÝÀÚµéÀº ÆÐÄ¡°¡ Àß ÀÌ·ç¾îÁöÁö ¾Ê´Ù°í ¾Ë·ÁÁ® ÀÖ´Â ¸®´ª½º ½Ã½ºÅÛÀ» ¾ÇÀÇÀûÀ¸·Î ÀÌ¿ëÇÏ¿© µðµµ½º °ø°ÝÀ» °¨ÇàÇÏ·Á ÇÑ´Ù. µû¶ó¼ ¸®´ª½º °ü¸®ÀÚµéÀº À̹ø º¸¾È À§Çù¿¡ ´ëÇØ Àß ¾Ë°í ÀÌ¿¡ ´ëºñÇØ¾ß ÇÑ´Ù¡±°í ¸»Çß´Ù.
µðµµ½º º¿³ÝÀÌ ¸®´ª½º ½Ã½ºÅÛÀ» À§Çù
¸®´ª½º »ó¿¡¼ µðµµ½ºº¿³Ý(DDoS Botnet)À¸·Î ÀÎÇÑlptabLes¿Í lptabLex ´ë±Ô¸ð °¨¿°Àº ¾ÆÆÄÄ¡ ½ºÆ®·µÃ÷(Apache Struts), ÅèĹ(Tomcat) ¹× ¿¤¶ó½ºÆ½¼Ä¡(Elasticsearch) ³» Ãë¾àÁ¡À» ÀÌ¿ëÇØ ¹ß»ýÇÏ´Â °ÍÀ¸·Î º¸ÀδÙ.
°ø°ÝÀÚµéÀº ÀϹÝÀûÀ¸·Î ÆÐÄ¡¾÷µ¥ÀÌÆ® µî »ó´ëÀûÀ¸·Î °ü¸®°¡ Çã¼úÇÑ ¼¹öµé »óÀÇ ¸®´ª½º ¿î¿µÃ¼Á¦°¡ °¡Áø Ãë¾àÁ¡µéÀ» ÀÌ¿ëÇÏ¿© ½Ã½ºÅÛ¿¡ Á¢±ÙÇÏ°í ¿ø°ÝÀ¸·Î Á¶Á¾ÇÏ¿© ½Ã½ºÅÛ¿¡ ¾Ç¼ºÄڵ带 À¯Æ÷ÇØ ¿Ô´Ù. µû¶ó¼ °¨¿°ÀÌ µÈ ½Ã½ºÅÛµéÀº µðµµ½º º¿³ÝÀÇ ÀϺημ ¿ø°Ý ÅëÁ¦°¡ °¡´ÉÇÏ´Ù.
°¨¿° ÀÌÈÄÀÇ Áõ»óÀº ´ÙÀ½°ú °°´Ù. ÀÏ´Ü ½Ã½ºÅÛ¿¡ °¨¿°ÀÌ µÇ¸é ÆäÀ̷εå(payload) ½ºÅ©¸³Æ®¸íÀÌ ºÎÆ®µð·ºÅ丮(/boot directory)¿¡¼ .IptabLes ȤÀº .IptabLex·Î ³ªÅ¸³´Ù. ÀÌ ½ºÅ©¸³Æ® ÆÄÀϵéÀº ÀçºÎÆýÿ¡ .IptabLes ¹ÙÀ̳ʸ®¸¦ ½ÇÇàÇÑ´Ù.
¶ÇÇÑ ÀÌ ¾Ç¼ºÄÚµå´Â ÀÚü¾÷µ¥ÀÌÆ®°¡ µÇ¾î °¨¿°µÈ ½Ã½ºÅÛÀÌ È£½ºÆ®¿¡ Á¢¼ÓÇÏ¿© ÆÄÀÏÀ» ´Ù¿î·Îµå ÇÒ ¼ö ÀÖ°Ô ÇÑ´Ù. ÀÚü ½ÇÇè °á°ú °¨¿°µÈ ½Ã½ºÅÛÀÌ ¾Æ½Ã¾Æ Áö¿ªÀÇ µÎ °³ÀÇ ¼·Î ´Ù¸¥ IPÁÖ¼Ò·Î Á¢¼ÓÇÏ·Á ½ÃµµÇÏ´Â °ÍÀ» È®ÀÎ ÇÒ ¼ö ÀÖ¾ú´Ù.
µðµµ½º °ø°ÝÀÇ ´ëºÎºÐÀÇ Áø¿øÁö´Â ¾Æ½Ã¾Æ
IptabLes¿Í IptabLexÀÇ ¸í·É ¹× Á¦¾î ¼¾ÅÍ(command and control center)´Â ÇöÀç ¾Æ½Ã¾Æ¿¡ À§Ä¡ÇØ ÀÖ´Ù. ºñ·Ï ¾Æ½Ã¾Æ¿¡¼ ½ÃÀÛµÈ °ÍÀ¸·Î ¾Ë·ÁÁ³Áö¸¸, ÀÌ °¨¿° ½Ã½ºÅÛÀº ÇöÀç ¹Ì±¹À» ºñ·ÔÇÑ ¿©·¯ Áö¿ªÀÇ ¼¹ö¿¡¼ ¹ß»ýÇÏ°í ÀÖ´Ù. °ú°Å µðµµ½ºº¿ °¨¿°ÀÌ ÁÖ·Î ·¯½Ã¾Æ¿¡¼ ½ÃÀ۵Ǿú´ø °Í°ú ´Þ¸® ÇöÀç´Â ´ëºÎºÐÀÇ µðµµ½º °ø°ÝÀÌ ¾Æ½Ã¾Æ¿¡¼ ¹ß»ýÇÏ°í ÀÖ´Ù.
µðµµ½º °ø°ÝÀÇ ¹ß°ß, ¹æÁö ¹× ¿ÏÈ
¸®´ª½º ½Ã½ºÅÛ »ó¿¡¼ ¹ß»ýÇÏ´Â IptabLes¿Í IptabLex °¨¿°À» ¹ß°ßÇÏ°í ¹æÁöÇϱâ À§Çؼ´Â ¸®´ª½º ¼¹ö¿Í ¾ÈƼ¹ÙÀÌ·¯½º Áø´Ü(antivirus detection) ÇÁ·Î±×·¥À» ÆÐÄ¡¹Þ°í °ÈÇØ¾ß ÇÑ´Ù. ÇÁ·Î·º½Ä º¸¾È ¿£Áö´Ï¾î¸µ ¹× ¸®¼Ä¡ ÆÀÀº º¸¾È °æ°í Àü¹®À» ÅëÇØ °¨¿°µÈ ½Ã½ºÅÛÀ» Ä¡·áÇϱâ À§ÇÑ ¹è½¬ ¸í·É¾î(Bash command)¸¦ Á¦°øÇÑ´Ù.
ÇÁ·Î·º½ÄÀº ·¹ÀÌÆ® ¸®¹ÌÆÃ(Rate Limiting) ±â¼úÀ» Á¦°øÇØ DDoS °ø°Ý¿¡ ´ëÇÑ ´ëÀÀ ´É·ÂÀ» °ÈÇß´Ù. ¶ÇÇÑ ¾ß¶ó(YARA)¹æ½Ä(Yara rule: ¾Ç¼ºÄÚµå À§ÇùÀ» È®ÀÎÇÏ°í Á¤¸®Çϱâ À§ÇØ °í¾ÈµÈ ¿ÀǼҽº Åø)À» °øÀ¯ÇÏ¿© ELF IptabLes Payload¸¦ È®ÀÎÇÒ ¼ö ÀÖµµ·Ï ÇÏ¿´´Ù.
¾ÆÄ«¸¶ÀÌÀÇ ÇÁ·Î·º½Ä ¿£Áö´Ï¾î¸µ ¹× ¸®¼Ä¡ ÆÀÀº ¾Ç¼ºÄڵ尡 È®»êµÇ¾î Ãß°¡ÀûÀÎ °¨¿°ÀÌ ÀϾ °ÍÀ¸·Î ¿¹»óÇÏ°í ÀÖ´Ù.
[Á¤±Ô¹® ±âÀÚ(kmj@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>