Ç÷¡½Ã Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ ÀÌ¿ëÇÑ Magnitude EK ±â½Â...Áö³ ÁÖ¸»ºÎÅÍ ±ÞÁõ Ãß¼¼
[º¸¾È´º½º ±è°æ¾Ö] Á¦·Îº¸µå¸¦ ÀÌ¿ëÇÑ ¾Ç¼ºÄÚµå¿Í CK VIP EK µî ÇÑÁÖ°£ ¾Ç¼ºÄÚµå À¯Æ÷°¡ È°¹ßÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ¶ÇÇÑ, Ç÷¡½Ã Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ¸Å±×´ÏÆ©µå ÀͽºÇ÷ÎÀÕ Å¶(Magnitude Exploit Kit, ÀÌÇÏ ¸Å±×´ÏÆ©µå EK)ÀÌ ±â½ÂÀ» ºÎ·È´Ù. »Ó¸¸ ¾Æ´Ï¶ó »ç¿ëÀÚ ÇൿÀ» °¨½ÃÇÏ´Â ¾Ç¼ºÄڵ尡 ³ªÅ¸³µÀ¸¸ç, ÆÄ¹Ö »çÀÌÆ®´Â ÀÌ¿ëÀÚÀÇ ±ÝÀ¶Á¤º¸ Å»Ã븦 À§ÇØ ´õ¿í Á¤±³ÇÏ°Ô ¸®´º¾óµÆ´Ù.
¡ãÁ¦·Îº¸µå¸¦ ÀÌ¿ëÇÑ ¾Ç¼ºÄڵ尡 »ðÀÔµÈ XXXX ¿¬±¸¿ø »çÀÌÆ®
Á¦·Îº¸µå ÀÌ¿ëÇÑ ¾Ç¼ºÄÚµå À¯Æ÷ È°¹ß
11ÀÏ¿¡´Â Á¦·Îº¸µå¸¦ ÀÌ¿ëÇÑ ¾Ç¼ºÄÚµå À¯Æ÷°¡ È°¹ßÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ƯÈ÷, Á¦·Îº¸µå °Ô½ÃÆÇ ¼Ò½º¿¡ ´ÜÃàURL °æÀ¯Áö°¡ »ðÀԵǾî ÀÖ¾î ÀÌ¿ëÀÚµéÀÇ À¥»çÀÌÆ® ÀÌ¿ë½Ã ÁÖÀÇ°¡ ¿ä±¸µÈ´Ù. ´ÜÃà URLÀº http://url[.]ms/xxxxx, http://url[.]cn/xxxxxxx ÇüÅ µîÀ¸·Î È®ÀεÆÀ¸¸ç, ´ÜÃàURL¸¦ »ç¿ëÇÏÁö ¾Ê´Â °æ¿ìµµ ÀÖ´Â °ÍÀ¸·Î ºÐ¼®µÆ´Ù.
ÀÌ¿¡ ´ëÇØ Á¦·Î¼Æ® ÃøÀº ¡°°ø°³ °Ô½ÃÆÇÀÎ Á¦·Îº¸µå(±¸ ¹öÀü)¸¦ ÀÌ¿ëÇÑ È¨ÆäÀÌÁöÀÇ ¾Ç¼ºÄÚµå À¯Æ÷ È°µ¿ÀÌ È°¹ßÇØÁö°í ÀÖ´Ù¡±¸ç ¡°¿©ÀüÈ÷ ±¹³» ´Ù¼ö ȨÆäÀÌÁö¿¡¼´Â Á¦·Îº¸µå °Ô½ÃÆÇÀ» ÀÌ¿ëÇÏ°í ÀÖÀ¸¸ç, °ú°Åó·³ Á¦·Îº¸µå °Ô½ÃÆÇ ¼Ò½º¿¡ ´ÜÃà URL °æÀ¯Áö°¡ »ðÀԵǾî ÀÖ´Â °æ¿ì°¡ ¸¹¾Ò´Ù¡±°í ¹àÇû´Ù.
Ç÷¡½Ã Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ ÀÌ¿ëÇÑ Magnitude EK ±â½Â
ÃÖ±Ù Ç÷¡½Ã Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ¸Å±×´ÏÆ©µå EK°¡ ±¹³»·Î À¯ÀÔµÇ¾î ±â½ÂÀ» ºÎ¸®°í ÀÖ´Ù.
¡ãÇ÷¡½Ã Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ¸Å±×´ÏÆ©µå EK( Magnitude EK) À¯Æ÷ ÇöȲ
ÇϿ츮°¡ ¹ßÇ¥ÇÑ ¡®±¹³» À¯ÀÔµÈ Ç÷¡½Ã Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ¸Å±×´ÏÆ©µå EK ÇöȲ¡¯À» »ìÆ캸¸é Áö³ 3¿ù 27ÀϺÎÅÍ 28ÀϱîÁö ¸Å±×´ÏÆ©µå EK°¡ Áõ°¡ÇßÀ¸¸ç, 28ÀϺÎÅÍ 30ÀϱîÁö´Â Àá½Ã °¨¼ÒÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ±×·¯´Ù 30ÀϺÎÅÍ 31ÀϱîÁö ´Ù½Ã Áõ°¡, 31ÀϺÎÅÍ 4¿ù 2ÀϱîÁö´Â °¨¼Ò, 3ÀÏ Áõ°¡Çß´Ù°¡ 4ÀÏ °¨¼ÒÇÏ´Â µî Áõ°¡¿Í °¨¼Ò¸¦ ¹Ýº¹ÇÏ´Â È帧À» º¸¿´´Ù.
Áö³ 3ÀÏ¿¡´Â Ç÷¡½Ã Á¦·Îµ¥ÀÌ Ãë¾àÁ¡(CVE-2016-1019)À» ¾Ç¿ëÇÑ °ø°ÝÀÌ ±¹³» ÃÖÃÊ·Î À¯ÀÔµÆÀ¸¸ç, 4ÀϺÎÅÍ 6ÀÏ Á¦·Îµ¥ÀÌ ÀÎÁö ½ÃÁ¡±îÁö ¸Å±×´ÏÆ©µå EK´Â °è¼Ó Áõ°¡ÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. À̾î 7ÀÏ ÆÐÄ¡°¡ °ø°³µÊ¿¡ µû¶ó Àá½Ã °¨¼ÒÇϴ°¡ ½Í´õ´Ï 8ÀÏ ´Ù½Ã Áõ°¡Çß°í, 9ÀϺÎÅÍ 10ÀÏ ÁÖ¸»¿¡ ¸Å±×´ÏÆ©µå EK À¯Æ÷´Â ±ÞÁõÇØ ÃÖ´ëÄ¡¸¦ ±â·ÏÇß´Ù.
»ç¿ëÀÚ ÇൿÀ» °¨½ÃÇÏ´Â ¾Ç¼ºÄÚµå
¶ÇÇÑ, ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®(Microsoft)ÀÇ procexp.exe ÆÄÀÏÀ» »çĪÇÑ ¾Ç¼ºÄڵ尡 ¹ß°ßµÆ´Ù. ÇØ´ç ¾Ç¼ºÆÄÀÏÀº °³ÀÎ »çÀÌÆ® http://m****e****u**.**t****s**.org/procexp.exe ¿¡¼ À¯Æ÷µÆÀ¸¸ç, »ç¿ëÀÚ ÇൿÀ» °¨½ÃÇÏ´Â ±â´ÉÀ» °®Ãè´Ù. ÆÄÀϸíÀÌ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®»çÀÇ À¯Æ¿¸®Æ¼¿Í °°¾Æ »ç¿ëÀÚµéÀÌ ½ÇÁ¦ À¯Æ¿¸®Æ¼¿Í È¥µ¿Çϱ⠽±´Ù.
¡ã½ÇÁ¦ Microsoft¿¡¼ ¹èÆ÷ÇÏ°í ÀÖ´Â Á¤»ó procexp.exe(Ãâó: À×Ä«ÀÎÅͳÝ)
ÀÌ¿Í °ü·Ã 7ÀÏ À×Ä«ÀÎÅÍ³Ý ÃøÀº ¡°ÇØ´ç ¾Ç¼ºÆÄÀÏÀº À©µµ¿ì¿¡¼ Á¦°øÇÏ´Â ±âº»ÀûÀÎ °ü¸® À¯Æ¿¸®Æ¼ ÇÁ·Î±×·¥µéÀ» »ç¿ëÇÏÁö ¸øÇÏ°Ô µ¿ÀÛÀ» ¹æÇØÇÏ°í ¹æȺ® »ç¿ëÀ» ÇØÁ¦ÇÏ¸ç º¸¾È¼³Á¤À» º¯°æÇÒ »Ó¸¸ ¾Æ´Ï¶ó À©µµ¿ì ½ÃÅ¥¸®Æ¼ ¼¾ÅÍ¡¯ ¼ºñ½ºµµ ÁßÁö½ÃŲ´Ù(wscsvc ¼ºñ½º »ç¿ë ¾ÈÇÔÀ¸·Î º¯°æ)¡±°í ¹àÇû´Ù. ÀÌ·Î ÀÎÇØ »ç¿ëÀÚ´Â °¨¿° »ç½ÇÀ» ¾Ë¾Æä±â Èûµé°í, °ø°ÝÀÚ´Â °¨¿°µÈ PC¸¦ ´õ¿í Ãë¾àÇÏ°Ô ¸¸µé ¼ö ÀÖ´Ù´Â °Í.
¶ÇÇÑ, ÇØ´ç ¾Ç¼ºÄÚµå´Â ½ÇÇà ÇÁ·Î¼¼½º °¨½Ã¿Í Å°-·Î±× ±â´É(RAT: Remote Administration Tool)µµ °®Ãá °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù. explorer.exe¸¦ ÅëÇØ ½ÇÇàµÈ ¾Ç¼ºÄÚµå´Â RAT ±â´ÉÀ¸·Î »ç¿ëÀÚ ÄÄÇ»ÅÍ Á¦¾î°¡ °¡´ÉÇØÁø´Ù. ÈçÈ÷ ¹éµµ¾î(Backdoor)¶ó°í ºÒ¸®´Â µ¿ÀÛ°ú °°°í, ¾Ç¿ëµÉ ¼ÒÁö°¡ ÀÖ¾î ƯÈ÷ ÁÖÀÇÇØ¾ß ÇÑ´Ù. ÇØ´ç ¾Ç¼ºÄڵ尡 ¼¹ö¿Í Åë½ÅÇϸé Ãß°¡ÀûÀÎ ÇÇÇØ°¡ ÀÖÀ» ¼ö ÀÖ°í, ¼¹ö ¿¬°áÀÌ µÇÁö ¾Ê¾Æµµ ±âº»ÀûÀ¸·Î »ç¿ëÀÚÀÇ ½ÇÇà ÇÁ·Î¼¼½º¸¦ °¨½ÃÇÏ°í Å°º¸µå ÀÔ·ÂÀ» ±â·ÏÇÏ´Â µ¿ÀÛÀ» ¼öÇàÇÒ ¼ö ÀÖ´Ù.
ÆÄ¹Ö »çÀÌÆ®, ´õ Á¤±³ÇÏ°Ô ¸®´º¾ó
Áö³ 6ÀÏ¿¡´Â ÆÄ¹Ö »çÀÌÆ®°¡ ¸®´º¾ó µÈ Á¡ÀÌ Æ÷ÂøµÆ´Ù. À̸¦ ¹ß°ßÇÑ ºû½ºÄµ ÃøÀº ¡°¾Ç¼ºÄÚµå À¯Æ÷Áö¸¦ ÅëÇØ ´Ù¿î·ÎµåµÇ´Â ÆÄ¹Ö ¹ÙÀ̳ʸ®¸¦ È®ÀÎÇÑ °á°ú ÆÄ¹Ö »çÀÌÆ®°¡ ¸®´º¾óµÆ´Ù¡±¸ç ¡°¸®´º¾óÀÌ µÈ ÆÄ¹Ö »çÀÌÆ®´Â Æ÷ÅлçÀÌÆ® ³×À̹ö¸¦ »çĪÇÏ°í ÀÖÀ¸¸ç, ¡®¹Î»ýħÇØ 5´ë ±ÝÀ¶¾ÇÀ» ô°áÇϱâ À§ÇÑ Æ¯º°´ëÃ¥¡¯ ¹®±¸¸¦ »ç¿ëÇØ »ç¿ëÀڵ鿡°Ô Ç÷ÎÆà ¹è³Ê·Î °¡Â¥ ÀºÇà »çÀÌÆ® Á¢¼ÓÀ» À¯µµÇß´Ù¡±°í ¹àÇû´Ù.
¡ã(ÁÂÃø)Á¤»ó ±ÝÀ¶°¨µ¶¿ø »çÀÌÆ®¿Í (¿ìÃø)ÆÄ¹Ö »çÀÌÆ® ºñ±³È¸é(Ãâó: ºû½ºÄµ)
ƯÈ÷, °ø°ÝÀÚ´Â ±ÝÀ¶Á¤º¸¸¦ Å»ÃëÇϱâ À§ÇØ ÇØ´ç ±Ý°¨¿ø¿¡¼ »ç¿ëÇÏ´Â ±×¸²°ú ¹®±¸¸¦ ³Ö¾î Ä¡¹ÐÇÔ°ú Á¤±³ÇÔÀ» °®Ãè´Ù. µû¶ó¼ ÀÌ¿ëÀÚ´Â ÆÄ¹Ö »çÀÌÆ®¿¡ °¢º°È÷ ÁÖÀÇÇØ¾ß ÇÑ´Ù.
CK VIP µî ¾Ç¼ºÄÚµå À¯Æ÷ È°¹ß
±¹³» À¥»çÀÌÆ®¸¦ ´ë»óÀ¸·Î ÇÑ ¾Ç¼ºÄÚµå À¯Æ÷°¡ ´Ù½Ã±Ý È°¹ßÇØÁø °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ƯÈ÷, ÀÚµ¿È °ø°Ý µµ±¸(CK VIP, Gongda, Sweetorange, Rig µî)¸¦ È°¿ëÇÑ ¾Ç¼ºÄÚµå¿Í ºÐ¼® ½Ã½ºÅÛ, PC³» ¼³Ä¡µÈ ¾ÈƼ¹ÙÀÌ·¯½º ŽÁö¸¦ ¿ìȸÇØ °íµµÈ ÇÏ´Â ¹æ½ÄÀ¸·Î ¸¹Àº ÇÇÇظ¦ ¹ß»ý½ÃŲ °ÍÀ¸·Î ºÐ¼®µÆ´Ù. ¶ÇÇÑ, CK VIP°¡ ÀæÀº ¾÷µ¥ÀÌÆ®¸¦ ÁøÇàÇÏ´Â °ÍÀ¸·Î º¸¾Æ »õ·Î¿î Ãë¾àÁ¡À» Ãß°¡ÇÒ °¡´É¼ºÀÌ ³ô´Ù´Â ºÐ¼®ÀÌ´Ù.
º¸¾È Ãë¾àÇÑ À¥»çÀÌÆ®, ¾Ç¼ºÄÚµå À¯Æ÷ ¹× °æÀ¯Áö·Î ¾Ç¿ë
±¹³» ¾î¸°ÀÌ¿Í ¿µÀ¯¾Æ °ü·Ã ÀÚ¼± »ç¾÷ ´Üü ȨÆäÀÌÁö¿¡¼ ¾Ç¼ºÄÚµå ÆÄÀÏÀÌ ¾÷·ÎµåµÇ¾î ÆÄÀÏ º¸°ü¼Ò·Î ÀÌ¿ëµÇ´Â Á¤È²µµ Æ÷ÂøµÆ´Ù. ÇØ´ç ȨÆäÀÌÁö¿¡ ¾Ç¼ºÄڵ尡 ¾÷·ÎµåµÇ±â ½ÃÀÛÇÑ ½ÃÁ¡Àº 9ÀϺÎÅÍ·Î ºÐ¼®µÆÀ¸¸ç, Àü»ê ´ã´çÀÚ°¡ ¾÷¹«°¡ ½ÃÀ۵DZâ Àü ¾Ç¼ºÄÚµå ÆÄÀÏÀ» »èÁ¦ÇßÀ» °¡´É¼ºÀÌ Å©´Ù.
¡ã¾Ç¼ºÄڵ尡 ¾÷·ÎµåµÈ ±¹³» ¾î¸°ÀÌ¿Í ¿µÀ¯¾Æ °ü·Ã ÀÚ¼± »ç¾÷ ´Üü ȨÆäÀÌÁö(ÀÚ·áÁ¦°ø: MDsoft)
ÀÌ¿¡ ´ëÇØ MDsoft(´ëÇ¥ ¹éÁø¼º) ÃøÀº ¡°ÇØ´ç ȨÆäÀÌÁö´Â ¾Ç¼ºÄÚµå À¯Æ÷¿¡ Á÷Á¢ÀûÀ¸·Î È°¿ëµÇÁø ¾Ê¾ÒÁö¸¸, °£Á¢ÀûÀ¸·Î ¾Ç¼ºÄÚµå ÆÄÀÏÀÌ ¾÷·Îµå µÇ¾î ÀÖ´Ù¡±¸ç ¡°¾Ç¼º¸µÅ©°¡ »ðÀÔµÈ È¨ÆäÀÌÁö Á¢¼Ó ½Ã ÇØ´ç ´ÜüÀÇ È¨ÆäÀÌÁö¿¡¼ ¾Ç¼ºÄڵ尡 ´Ù¿î·Îµå µÇ¾î »ç¿ëÀÚ PC¸¦ °¨¿°½ÃŲ´Ù¡±°í ¹àÇû´Ù.
¡ãÁö³ 7ÀÏ ¾Ç¼ºÄÚµå °æÀ¯Áö·Î ¾Ç¿ëµÈ ÆÄÀÏ °ü·Ã »çÀÌÆ®ÀÇ ¾Ç¼ºÄÚµå »ðÀÔ È¸é
Áö³ 7ÀÏ¿¡´Â XXXÄÚÆä·¹À̼ÇÀÌ ¾Ç¼ºÄÚµå °æÀ¯Áö·Î ¾Ç¿ëµÆÀ¸¸ç, À̺¸´Ù ¾Õ¼ 6ÀÏ¿¡´Â ÆÄÀÏ °ü·Ã »çÀÌÆ®°¡ µðÆäÀ̽º ÇØÅ·À» ´çÇß´Ù.
¡ãÁö³ 6ÀÏ ¹ß°ßµÈ µðÆäÀ̽º ÇØÅ· ȸé
ÀÌ¿¡ ´ëÇØ º¸¾ÈÀü¹®°¡ AuditorLee´Â º¸¾ÈÀÌ Ãë¾àÇÑ À¥»çÀÌÆ®°¡ ¿©ÀüÈ÷ ¾Ç¼ºÄÚµå À¯Æ÷Áö ¹× °æÀ¯Áö·Î ¾Ç¿ëµÇ°í ÀÖ´Ù¸ç À¥»çÀÌÆ® °ü¸®¸¦ öÀúÈ÷ ÇØ¾ß ÇÑ´Ù°í °Á¶Çß´Ù.
Áö³ 1ÀÏ¿¡´Â °ø°ø¡¤¹Î°£ÀÇ ½Ã½ºÅÛ¿¬°è¸¦ ÅëÇÑ ¼ºñ½º Á¦°ø¾÷ü XXÀ¯½ÃƼÀÇ È¨ÆäÀÌÁö¿¡¼ ¾Ç¼º¸µÅ©°¡ ¹ß°ßµÆ´Ù.
¡ã¾Ç¼º¸µÅ©°¡ ¹ß°ßµÈ XXÀ¯½ÃƼÀÇ È¨ÆäÀÌÁö(ÀÚ·áÁ¦°ø: ºû½ºÄµ)
ÀÌ¿¡ ´ëÇØ ºû½ºÄµ(´ëÇ¥ ¹®ÀÏÁØ) ÃøÀº ¡°°ø°ÝÀÚ°¡ À¥»çÀÌÆ®¿¡ ¾Ç¼º¸µÅ©¸¦ »ðÀÔÇß´Ù´Â °ÍÀº ÇØ´ç »çÀÌÆ®¿¡ ´ëÇÑ ±ÇÇÑÀ» °¡Áö°í ÀÖ´Ù´Â °Í¡±À̶ó¸ç ¡°³»ºÎ PC°¡ °¨¿°µÆ±â ¶§¹®¿¡ 2Â÷ÀûÀÎ ÇÇÇØ°¡ ¿ì·ÁµÉ ¼ö ÀÖ´Â »óȲ¡±À̶ó°í ¹àÇû´Ù.
ƯÈ÷, ÇØ´ç »çÀÌÆ®´Â ´Ù¾çÇÑ Á¤º¸¸¦ ¹Î°£°ú °ø°ø¿¡ Á¦°øÇÏ°í ÀÖ¾î º¸´Ù Å« ÇÇÇØ°¡ ¿ì·ÁµÇ´Â »óȲÀÌ´Ù. µû¶ó¼ À¥»çÀÌÆ® °ü¸® »Ó¸¸ ¾Æ´Ï¶ó ³»ºÎ º¸¾È´ëÃ¥µµ °±¸ÇØ¾ß ÇÒ °ÍÀ¸·Î º¸ÀδÙ.
º¥´õº° Ãë¾àÁ¡, ÃÑ15°³ ¹ß°ß
4¿ù 1ÁÖÂ÷ º¥´õº° Ãë¾àÁ¡À¸·Î´Â ½Ã½ºÄÚ°¡ °¡Àå ¸¹ÀÌ ¹ß°ßµÆ´Ù. SKÀÎÆ÷¼½ ºí·Î±×¿¡ µû¸£¸é ÃÑ 15°ÇÀÇ º¥´õº° Ãë¾àÁ¡ °¡¿îµ¥ ½Ã½ºÄÚ 7°Ç(47%), ±¸±Û 6°Ç(40%), IBM 1RJS(7%), ¾ÖÇà 1°Ç(7%) ¼øÀ¸·Î ³ªÅ¸³µ´Ù.
¡ã4¿ù 1ÁÖÂ÷ º¥´õº° Ãë¾àÁ¡(Ãâó: SKÀÎÆ÷¼½ ºí·Î±×)
¡ã4¿ù 1ÁÖÂ÷ ŽÁöµÈ °ø°ÝÀ¯Çü(Ãâó: SKÀÎÆ÷¼½ ºí·Î±×)
Áö³ ÇÑ ÁÖ°£ ŽÁöµÈ °ø°ÝÀ¯ÇüÀ¸·Î´Â Denial_Of_Service(80.87%), À¥ÇØÅ·(10.36%)°¡ ³ôÀº Á¡À¯À²À» Â÷ÁöÇß°í, ŽÁöµÈ ÆÐÅÏÀº TLS Malformed Handshake DoS°¡ 1260,039°Ç(78.83%)·Î °¡Àå ¸¹¾Ò´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>