Ãë¾àÁ¡ °ø°³´Â ¡°Ã¥ÀÓ°¨ ÀÖ°Ô¡±...±×·¸Áö ¾ÊÀ¸¸é ÇØÅ· ºñ¿ë ³·ÃçÁÖ´Â ²Ã
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] Á¦·Îµ¥ÀÌ ÀͽºÇ÷ÎÀÕÀ» ¹ß°ßÇß´Ù°í Çؼ À̸¦ ÀÚ¶û»ï¾Æ ¼Ò¼È ¹Ìµð¾î¿¡ ¿Ã·È´Ù°¡´Â ¿¹»óÄ¡ ¸øÇÑ ÀÏÀ» °ÞÀ» ¼ö ÀÖ´Ù. °¡Àå ¸ÕÀú´Â °ø°ÝÀÚµéÀÌ Äڵ带 °¡Á®´Ù°¡ ½ÇÁ¦ ÇØÅ· Ä·ÆäÀο¡ È°¿ëÇÏ´Â °Ô °¡´ÉÇÏ°Ô µÇ°í, ±×·¯¸é À̸¦ ¼Ò¼È ¹Ìµð¾î¿¡ °øÀ¯ÇÑ »ç¶÷Àº ¿øÄ¡ ¾Ê°Ô °ø¹üÀÌ µÉ ¼ö ÀÖ´Ù.
[À̹ÌÁö = iclickart]
±×·±µ¥ ÀÌ·± ÀÏÀÌ ½ÇÁ¦·Î ÀϾ´Ù. ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® À©µµ¿ìÀÇ Á¦·Îµ¥ÀÌ ¹ö±×°¡ Áö³ ÁÖ Æ®À§Å͸¦ ÅëÇØ °øÀ¯µÈ °ÍÀÌ´Ù. »Ó¸¸ ¾Æ´Ï¶ó ±êÇãºê¿¡µµ ¶È°°Àº °³³äÁõ¸íÀÌ ¿Ã¶ó¿Ô´Ù. ±×¸®°í ¹Ù·Î ÀÌƲ ÈÄ º¸¾È ¾÷ü À̼Â(ESET)ÀÇ Àü¹®°¡µéÀº ÀÌ Äڵ尡 ÆÄ¿öÇ®(PowerPool)À̶ó´Â À§Çù ±×·ìÀÇ Ä·ÆäÀο¡ È°¿ëµÇ°í ÀÖ´Â °É ¹ß°ßÇß´Ù.
¹®Á¦ÀÇ Æ®ÀÀÌ °¡Àå ¸ÕÀú ¿Ã¶ó¿Â °Ç 8¿ù 27ÀÏÀÇ ÀÏÀ̾ú´Ù. À©µµ¿ì 7°ú À©µµ¿ì 10ÀÇ °í±Þ ·ÎÄà ÇÁ·Î½ÃÀú È£Ãâ(Advanced Local Procedure Call, ALPC) ±â´É¿¡¼ ¹ß°ßµÈ ¹ö±×¿¡ °üÇÑ ³»¿ëÀ̾ú´Ù. ÀÌ ¹ö±×¸¦ ¾Ç¿ëÇÒ °æ¿ì ·ÎÄà ±ÇÇÑ »ó½ÂÀÌ °¡´ÉÇØÁö°í, ÀÌ·Î½á ±ÇÇÑÀÌ ³·Àº »ç¿ëÀÚ°¡ ÇÁ·Î¼¼½º¸¦ ¹ßµ¿½ÃÄÑ °ü¸®ÀÚ±Þ Á¦¾î±ÇÇÑÀ» °®°Ô µÈ´Ù.
ÀÌ·¯ÇÑ ³»¿ëÀ» Á¦ÀÏ ¸ÕÀú Æ®À¿¡ ¿Ã¸° °Ç Æ®À§ÅÍ »ç¿ëÀÚÀÎ »÷µå¹Ú½ºÀ̽ºÄÉÀÌÆÛ(SandboxEscaper)¿´´Ù. ±×¸®°í ÀÌ¿¡ ´ëÇÑ °³³äÁõ¸í Äڵ带 ±êÇãºê¿¡ ¿Ã¸®°í Æ®À§ÅÍ·Î ¸µÅ©¸¦ °É¾ú´Ù. ¾ó¸¶ Áö³ªÁö ¾Ê¾Æ °ø°ÝÀÚµéÀÌ ÀÌ Äڵ带 °¡Á®´Ù°¡ ÀڽŵéÀÇ ÁøÂ¥ °ø°Ý¿¡ È°¿ëÇϱ⠽ÃÀÛÇß´Ù. ÀÌ¹Ì ¿©·¯ ¸Ö¿þ¾î µµ±¸¸¦ °¡Áö°í ÀÖ°í, ½ÇÁ¦ °ø°ÝÀ» ½Ç½ÃÇÑ ÆÄ¿öÇ®À̶ó´Â ´Üü´Ù.
À̼¿¡ ÀÇÇϸé ÆÄ¿öÇ®Àº ²Ï³ª ¼Ò±Ô¸ðÀÇ ´ë»óµéÀ» Ç¥ÀûÀ¸·Î »ï°í °ø°ÝÇÏ´Â ´Üü¶ó°í ÇÑ´Ù. À̵éÀÇ ÃâÇöÀÌ ºñ±³Àû ÃÖ±ÙÀÇ ÀÏÀ̶ó ´ÜÁ¤Çϱ⿡ À̸£Áö¸¸ ¿©Å±îÁö ³ªÅ¸³ °ø°ÝµéÀ» ºÐ¼®ÇßÀ» ¶§ °ø°Ý ´ë»óÀ» Á¶½É½º·´°Ô ¼±ÅÃÇÏ´Â °ÍÀ¸·Î º¸Àδٰí À̼ÂÀº ÀÚ»ç ºí·Î±×¸¦ ÅëÇØ ¼³¸íÇß´Ù. ¿©Å±îÁö °ø°Ý´çÇÑ °ÍÀ¸·Î º¸ÀÌ´Â ±¹°¡´Â Ä¥·¹, µ¶ÀÏ, Àεµ, Çʸ®ÇÉ, Æú¶õµå, ·¯½Ã¾Æ, ¿µ±¹, ¹Ì±¹, ¿ìÅ©¶óÀ̳ª´Ù.
¡°À̵éÀÌ »ç¿ëÇÏ´Â ¹éµµ¾îµéÀ» ºÐ¼®ÇßÀ» ¶§ ÁÖ·Î Á¤ÂûÀ» À§ÇÑ °ø°ÝÀ» ÆîÄ¡´Â °ÍÀ¸·Î º¸ÀÔ´Ï´Ù.¡± À̼ÂÀÇ ¸Ö¿þ¾î ºÐ¼®°¡ÀÎ ¸¶Æ¼¿ì ÆÄ¿À¿ì(Matthieu Faou)ÀÇ ¼³¸íÀÌ´Ù. ¡°±×·¯³ª ´ë´ÜÈ÷ ¹ßÀüµÈ ¸Ö¿þ¾î¶ó°í º¼ ¼ö ¾ø½À´Ï´Ù. º¸Åë ´Ù¸¥ APT ±×·ìµéÀÌ »ç¿ëÇÏ´Â °Í°ú´Â ¼öÁØ Â÷ÀÌ°¡ Á» ³³´Ï´Ù. ÆÄ¿öÇ®ÀÇ µµ±¸µéÀÌ Á» ¶³¾îÁö´Â ÆíÀÌÁÒ.¡±
ÁַΠǥÀû °ø°ÝÀ» ÆîÄ¡±ä ÇÏÁö¸¸ ÆÄ¿öÇ®Àº ½ºÆÔ °ø°ÝÀ» ÁøÇàÇϱ⵵ ÇÑ´Ù. À̼¿¡¼´Â ÆÄ¿öÇ®ÀÌ 2017³âºÎÅÍ È°µ¿ÇÑ °ÍÀ¸·Î º¸°í ÃßÀû Áß¿¡ ÀÖÁö¸¸, ¿©Å±îÁö ÆÄ¿öÇ®°ú °ü·ÃµÈ ÇØÅ· »ç°ÇÀÌ ´ëÁߵ鿡°Ô °ø°³µÈ »ç·Ê´Â ¾ø´Ù.
ÇÑÆí ÆÄ¿öÇ®Àº »÷µå¹Ú½ºÀ̽ºÄÉÀÌÆÛ°¡ Æ®À§ÅÍ·Î °ø°³ÇÑ ¹ÙÀ̳ʸ®¸¦ Á¤È®È÷ º»¶°¼ »ç¿ëÇÑ °ÍÀº ¾Æ´Ï´Ù. ¾à°£ÀÇ ¼öÁ¤À» °ÅÃÄ ¼Ò½ºÄÚµåÀÇ ÄÄÆÄÀϸµÀ» ´Ù½Ã Çß´Ù. ÀÌ °úÁ¤¿¡¼ ÆÄ¿öÇ®ÀÌ Á÷Á¢ °³¹ßÇÑ °ÍÀ¸·Î º¸ÀÌ´Â ¸Ö¿þ¾î°¡ Ãß°¡µÆ´Ù. ½Ã½ºÅÛ ±ÇÇÑÀ» °¡Á®°¡°Ô ÇØÁÖ´Â ¸Ö¿þ¾î¿´´Ù. ÆÄ¿À¿ì´Â ¡°»÷µå¹Ú½ºÀ̽ºÄÉÀÌÆÛ°¡ ¿Ã¸° °³³äÁõ¸í ÀÚü°¡ ¾Ç¼º ÄÚµåÀÎ °ÍÀº ¾Æ´Ï¾ú´Ù¡±¶ó°í ¼³¸íÇß´Ù.
¿À·ùÀÇ Á¤È®ÇÑ À§Ä¡´Â SchRpcSetSecurity API¿´´Ù. »ç¿ëÀÚÀÇ ±ÇÇÑ ¼³Á¤À» Á¦´ë·Î È®ÀÎÇÏÁö ¾Ê´Â °ÍÀÌ ¿À·ùÀÇ °¡Àå Áß¿äÇÑ ³»¿ëÀÌ´Ù. »ç¿ëÀÚÀÇ ±ÇÇÑ ¼³Á¤À» Á¦´ë·Î È®ÀÎÇÏÁö ¾ÊÀ¸´Ï »ç½Ç»ó ´©±¸¿¡°Ô³ª ÀÛ¾÷°ü¸®ÀÚ ³» ÆÄÀϵ鿡 ¡®¾²±â ±ÇÇÑ¡¯À» °¡Áö°í Á¢±ÙÇÒ ¼ö ÀÖµµ·Ï ÇÏ´Â °ÍÀÌ´Ù. ±×·¯´Ï Àб⠱ÇÇѸ¸ À־ ´©±¸³ª ÀÛ¾÷°ü¸®ÀÚ ³»¿¡¼ ÆÄÀÏÀ» ¼öÁ¤Çϰųª ¸¸µé ¼ö ÀÖ°Ô µÈ´Ù°í ÇÑ´Ù.
±×·¸´Ù´Â °Ç ´©±º°¡ ÆÄÀÏÀ» ¾Ç¼º ÆÄÀÏ·Î ¹Ù²ãÄ¡±â ÇÒ ¼ö ÀÖ´Ù´Â ¶æÀÌ µÈ´Ù. ±×¸®°í ÀÌ ¾Ç¼º ÆÄÀÏÀ» ÅëÇØ °ü¸®ÀÚ±Þ ±ÇÇÑÀ» °¡Á®¿À´Â °Íµµ °¡´ÉÇÏ°Ô µÈ´Ù. ÆÄ¿öÇ®Àº GoogleUpdate.exe¶ó´Â ±¸±Û ¾Û ¾÷µ¥ÀÌÅÍÀÇ ³»¿ëÀ» ¹Ù²å´Ù. ÀÌ ÆÄÀÏÀº ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® À©µµ¿ì °ü¸®ÀÚ°¡ ³ôÀº ±ÇÇÑ ¾Æ·¡ ½ÇÇàÇÑ´Ù. À§ Ãë¾àÁ¡À» È°¿ëÇØ GoogleUpdate.exe¸¦ ´Ù¸¥ ¸Ö¿þ¾î·Î ¹Ù²ãÄ¡±â ÇÔÀ¸·Î½á, GoogleUpdate.exe°¡ È£ÃâµÇ¸é ½Ã½ºÅÛ ±ÇÇÑÀ» Å»ÃëÇÏ´Â µ¥ ¼º°øÇϵµ·Ï °ø°ÝÀ» ÁøÇàÇß´Ù.
±×·¸´Ù¸é GoogleUpdate.exe¸¦ ¹Ù²ãÄ¡±â À§ÇÑ ÃÖÃÊ Ä§ÇØ´Â ¾î¶² ½ÄÀ¸·Î ÀÌ·ïÁú±î? À̼¿¡ µû¸£¸é ÆÄ¿öÇ®ÀÌ »ç¿ëÇÏ´Â Àü·«Àº ÇÑ °¡Áö ÀÌ»óÀÌ´Ù. ¡°±× Áß Çϳª´Â À̸ÞÀÏÀ» »ç¿ëÇÏ´Â °Ì´Ï´Ù. À̸ÞÀÏ Ã·ºÎÆÄÀÏ ÇüÅ·Π¸Ö¿þ¾î¸¦ º¸³»´Â °ÍÀÌÁÒ. ÁÖ·Î ±â±âÀÇ Á¤º¸¸¦ ¼öÁýÇÏ´Â ±â´ÉÀ» °¡Áø ¸Ö¿þ¾î·Î, µÎ °³ÀÇ ½ÇÇàÆÄÀÏÀ» Æ÷ÇÔÇÏ°í ÀÖ½À´Ï´Ù. Çϳª´Â ÁÖ¿ä ¹éµµ¾î·Î, ¼ºñ½º¸¦ ÅëÇØ ½Ã½ºÅÛ¿¡ Àå±â°£ ¾ÈÂøÇÏ°í, ÇÁ·Ï½Ã Á¤º¸¸¦ ¼öÁýÇÕ´Ï´Ù. ¹ÙÀ̳ʸ® ³»¿¡´Â C&C ¼¹öÀÇ ÁÖ¼Ò°¡ Æ÷ÇԵǾî ÀÖ½À´Ï´Ù. µÎ ¹ø°´Â ȸé ĸÃÄ ±â´ÉÀ» °¡Áö°í ÀÖ´Â ¹éµµ¾î·Î, À̸¦ C&C·Î Àü¼ÛÇÕ´Ï´Ù.¡±
ÀÌ·¸°Ô ù ´Ü°è ħÅõ¿¡ ¼º°øÇÏ¸é µÎ ¹ø° ¸Ö¿þ¾î°¡ ½Ã½ºÅÛ¿¡ ¼³Ä¡µÈ´Ù. ¿ª½Ã ¹éµµ¾î·Î, À̼ÂÀÇ Àü¹®°¡µéÀº ¡°ÀÌ ¶§ °ø°ÝÀÚµéÀº ÇØ´ç ½Ã½ºÅÛÀ» °è¼ÓÇؼ °ø°ÝÇÒ °ÍÀÎÁö ¾Æ´ÑÁö¸¦ °áÁ¤ÇÏ´Â °ÍÀ¸·Î º¸Àδ١±°í ÇÑ´Ù. ±×·± ¿ëµµ·Î µÎ ¹ø° ¸Ö¿þ¾î°¡ »ç¿ëµÇ´Â °Íó·³ º¸À̱ä ÇÏÁö¸¸ ¡°ÃÖ°í±Þ APT ´Üü¿ë ¹éµµ¾î¿Í´Â ºñ±³°¡ µÇÁö ¾Ê´Â, ³·Àº ¼öÁØÀÇ ¸Ö¿þ¾î¡±´Ù. ±× ´ÙÀ½ °ø°ÝÀÚµéÀº ¿ÀǼҽº Åø, ƯÈ÷ ÆÄ¿ö¼Ð(PowerShell)·Î ¸¸µé¾îÁø ÅøµéÀ» »ç¿ëÇØ ³×Æ®¿öÅ© ³»¿¡¼ ȾÀûÀ¸·Î ¿òÁ÷À̱⠽ÃÀÛÇÑ´Ù.
ÆÄ¿À¿ì´Â ¡°À̹ø »ç°Ç¿¡¼ ƯÈ÷ Áß¿äÇÑ °Ç Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ÀÌ °ø°³µÈ ÀýÂ÷¡±¶ó°í °Á¶ÇÑ´Ù. Æ®À§Å͸¦ ÅëÇØ ¾Æ¹«³ª º¼ ¼ö ÀÖ°Ô ¿Ã¸²À¸·Î½á ÆÄ¿öÇ®ÀÌ °ø°Ý ¹«±â¸¦ º¸´Ù ´õ °£´ÜÇÏ°í ½±°Ô ¸¸µé ¼ö ÀÖ¾ú´Ù´Â °ÍÀÌ´Ù. ¡°Ãë¾àÁ¡À» ¹ß°ßÇÏ´Â °Í¸¸Å Áß¿äÇÑ °Ô Ãë¾àÁ¡À» Ã¥ÀÓ ÀÖ°Ô °ø°³ÇÏ´Â °Ì´Ï´Ù. À̹ø »ç°ÇÀ» ÅëÇØ ¿©½ÇÈ÷ µå·¯³ Á¡ÀÌÁÒ. Ãë¾àÁ¡ °ø°³¸¦ Ã¥ÀÓ°¨ ÀÖ°Ô ÇÏÁö ¾ÊÀ¸¸é °ø°ÝÀÚµéÀÇ ³ë·ÂÀÌ »ó´çÈ÷ ÁÙ¾îµé°Ô µË´Ï´Ù.¡±
ÆÄ¿À¿ì´Â ¡°º¸¾È Àü¹®°¡¶ó¸é Ãë¾àÁ¡À» ã¾ÒÀ» ¶§ ±×°É °íÄ¥ ¼ö ÀÖ´Â »ç¶÷°ú ¸ÕÀú ±ä¹ÐÇÏ°Ô ¿¬¶ôÇÏ¿© °ø°³ ÀÏÀÚ¸¦ ¸ÂÃç¾ß ÇÑ´Ù¡±°í °Á¶Çß´Ù. ¡°±×¸®°í ±× °ø°³ ÀÏÀÚ¶ó´Â °Ç ÆÐÄ¡°¡ ´Ù °³¹ßµÇ°í ³ª¼ÀÎ °ÍÀÌ º¸ÅëÀÔ´Ï´Ù. °ø°ÝÀÚµéÀÌ Ãë¾àÁ¡ Á¤º¸¸¦ ¼Õ¿¡ ³Ö´õ¶óµµ ¼Ò¿ëÀÌ ¾ø°Ô ¸¸µé°í ³ª¼ °ø°³ÇÏ´Â °ÍÀÌÁÒ.¡±
À̼ÂÀÇ Àü¹®°¡µéÀº ¡°ÀÌ Ä·ÆäÀÎÀÌ ÀûÀº ¼öÀÇ ´ë»óµé¸¸ °ø°ÝÇÏ´Â °ÍÀ¸·Î º¸À̱ä ÇÏÁö¸¸, ±×·¡µµ Á¶½ÉÇØ¾ß ÇÒ °Í¡±À̶ó°í °æ°íÇß´Ù. ¡°¿Ö³ÄÇϸé ÇØÄ¿µéµµ º¸¾È ¾÷°è ³» µ¹¾Æ°¡´Â ¼Ò½ÄµéÀ» °üÂûÇÏ°í ÀÖ´Ù´Â °ÍÀÌ ´Ù½Ã ÇÑ ¹ø µå·¯³µ±â ¶§¹®ÀÔ´Ï´Ù. Áö±ÝÀÌ¾ß Æ¯Á¤ Ç¥Àûµé¸¸ °ø°ÝÇÏ°í ÀÖÁö¸¸, º¸¾ÈÀ̳ª IT ¾÷°èÀÇ ºÐÀ§±â¿¡ µû¶ó °ø°Ý Ç¥ÀûÀº ¾ó¸¶µçÁö ¹Ù²î°Å³ª ³Ð¾îÁú ¼ö ÀÖ½À´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. À©µµ¿ì ÀÛ¾÷°ü¸®ÀÚ¿¡¼ Ä¡¸íÀûÀÎ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ ¹ß°ßµÊ. ¹ß°ßÀÚ·Î º¸ÀÌ´Â »ç¶÷Àº À̸¦ Àç±ï Æ®À§ÅÍ·Î ¿Ã¸².
2. ÆÄ¿öÇ®À̶ó´Â °ø°Ý ´Üü°¡ À̸¦ ¹ß°ßÇÏ°í ÀڽŵéÀÇ °ø°Ý¿¡ È°¿ëÇϱ⠽ÃÀÛ.
3. Ãë¾àÁ¡Àº Ã¥ÀÓ°¨ ÀÖ°Ô ¹ßÇ¥ÇÏ´Â °ÍÀÌ Áß¿äÇѵ¥, ÀÌ´Â ¡®ÆÐÄ¡ °³¹ß ÀÌÈÄ¡¯¸¦ ÁÖ·Î ¶æÇÔ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>