º¸¾È Á¦Ç°Á¤º¸
[½ÃÅ¥¸®Æ¼ Q&A] Àº¹ÐÇÑ APT °ø°Ý, C&C ¼¹ö¿ÍÀÇ Åë½Å Â÷´Ü¹æ¹ýÀº? | 2016.11.21 |
APT °ø°Ý¿¡ ´ëÀÀÇϱâ À§ÇØ PC°¡ C&C ¼¹ö¿Í Åë½ÅÇÏ´Â °ÍÀ» ŽÁöÇØ Â÷´ÜÇÏ´Â
¼Ö·ç¼ÇµéÀÌ ¸¹´øµ¥¿ä, ½ÇÁ¦ À¯È¿ÇÑ Åë½ÅÀ» ±¸º°ÇØ Â÷´ÜÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀ» ÀÖÀ»±î¿ä? [º¸¾È´º½º ±Ç ÁØ ±âÀÚ] ¼ö¸¹Àº Á»ºñ PC¸¦ °Å´À¸®´Â º¿³ÝÀÇ ´ë·® Æ®·¡ÇÈ°ú´Â ´Þ¸® APT C&C Æ®·¡ÇÈÀº ¼Ò·® Æ®·¡ÇÈÀ» ÀÌ¿ëÇÏ°í, Áö¼ÓÀûÀÎ ÁÖ¼Ò º¯°æ°ú ÇÁ¶ô½Ã ¼¹ö È°¿ë µîÀ¸·Î ±âº»ÀûÀ¸·Î ŽÁö°¡ ¸Å¿ì ¾î·Á¿öÁö°í ÀÖ½À´Ï´Ù. ±Û·Î¹ú º¸¾È±â¾÷ µî¿¡¼ C&C Åë½Å ä³ÎÀ» ŽÁöÇÏ´Â ¹æ¹ýÀ¸·Î´Â Àü ¼¼°èÀûÀ¸·Î C&C »çÀÌÆ®¿¡ ´ëÇÑ DB È®º¸¿Í ±×µé °£ÀÇ »ó°ü°ü°è¸¦ ºÐ¼®ÇÏ¿© ³×Æ®¿öÅ© Åë½ÅÀÌ ¹ß»ýÇÏ´Â Áö¸¦ È®ÀÎÇÏ´Â ¹æ¹ý°ú C&C Åë½Å ä³ÎÀÇ Æ®·¡ÇÈÀÇ Æ¯¼ºÁ¤º¸¸¦ ÇнÀÇÏ¿© ŽÁöÇÏ´Â ¹æ¹ý µîÀÌ °³¹ßµÇ¾î Àû¿ëµÇ°í ÀÖ½À´Ï´Ù. ±× ¿¹·Î¼, Á»ºñ PC°¡ °ø°Ý ½ÇÇà Á÷ÀüÀÇ Connection Á¤º¸µé Áß Netflow ºÐ¼®À» ÅëÇؼ Session ³»ÀÇ TCP Flag ¹× Port °ªÀÇ ºÐÆ÷(Deviation)À» ÆľÇÇÏ¿© C&C¿Í Á»ºñ Åë½Å°ú ÀÏ¹Ý Åë½ÅÀ» ±¸º°ÇØ ³¾ ¼ö ÀÖ½À´Ï´Ù. Áï, ÀÏ¹Ý Åë½ÅÀº SYN-NOP-RST-FIN µîÀÇ ¼øÂ÷ÀûÀÎ Åë½Å ÆÐÅÏÀ» º¸¿©ÁÖÁö¸¸ C&C¿Í Á»ºñÀÇ Åë½ÅÀº ¿¬¼ÓµÈ ªÀº SYN-NOP-FINÀÇ Åë½Å Ư¼ºÀ» º¸¿©ÁÖ¸ç ƯÁ¤ Unknown Port¸¦ ÁÖ·Î »ç¿ëÇÕ´Ï´Ù. [±èÀÍ±Õ Çѱ¹ÀüÀÚÅë½Å¿¬±¸¿ø(ikkim21@etri.re.kr)] C&C ¼¹ö¿ÍÀÇ Åë½Å Â÷´ÜÀº µÎ °¡Áö ¾Ë°í¸®ÁòÀ¸·Î ÁøÇàµÉ ¼ö ÀÖ½À´Ï´Ù. Çϳª´Â ¾Ë·ÁÁø C&C ¼¹ö¿ÍÀÇ Åë½Å Â÷´ÜÀ¸·Î º¸Åë °¢ º¸¾Èȸ»ç¸¶´Ù ÀÚüÀûÀ̵ç Çù·ÂÀ̵ç Global Threat Intelligence Á¤º¸¸¦ È°¿ëÇؼ Â÷´ÜÇÏ°Ô µË´Ï´Ù. µÎ ¹ø°´Â ¾Ë·ÁÁöÁö ¾ÊÀº C&C ¼¹ö¿ÍÀÇ Åë½Å Â÷´ÜÀº C&C ¼¹ö·Î ÁÖ°í ¹Þ´Â ¸Þ½ÃÁö ³» ÆäÀÌ·Îµå ºÐ¼®À» ÅëÇØ C&C¶ó´Â È®ÁõÀÌ ¹ß°ßµÇ¸é Â÷´ÜÇÏ°Ô µË´Ï´Ù. À̶§ C&C ¼¹ö¿ÍÀÇ Åë½ÅÀÌ TCP Åë½ÅÀÌ ¾Æ´Ï¶ó SSL Åë½ÅÀ̶ó¸é SSL InspectionÀ̶ó´Â ±â¼úÀ» È°¿ëÇؼ ³»ºÎ Åë½ÅÀ» ¿¾î¼ È®ÀÎÇϰųª °ü¸®µÇÁö ¾Ê´Â SSL Åë½ÅÀº Á¤Ã¥ÀûÀ¸·Î ¹Ì¿¬¿¡ Â÷´ÜÇÏ´Â ¹æ½ÄÀ» »ç¿ëÇϱ⵵ ÇÕ´Ï´Ù. ÀÌ¿Í °°Àº ¹æ¹ýÀ¸·Î C&C ¼¹ö Åë½Å°ú ½ÇÁ¦ À¯È¿ÇÑ Åë½ÅÀ» ±¸º°Çؼ Â÷´ÜÇÕ´Ï´Ù¸¸, Â÷´Üº¸´Ù ´õ Áß¿äÇÑ °ÍÀº °¨¿°µÈ ¿£µåÆ÷ÀÎÆ®¸¦ ÃÖ´ëÇÑ »¡¸® ŽÁöÇؼ ÀûÀýÇÑ Á¶Ä¡¸¦ ÇÏ´Â °ÍÀ̶ó°í ÇÒ ¼ö ÀÖ½À´Ï´Ù. [Çѱ¹IBM ¹ÚÇü±Ù ½ÇÀå] APT °ø°ÝÀº °ø°ÝÀÚ°¡ Àå±â°£ ´ë»ó ½Ã½ºÅÛ¿¡ ´ëÇÑ Ãë¾àÇÑ »çÇ×À» ÆľÇÇÑ ÈÄ, ¿¡ °ø°ÝÇϱ⠶§¹®¿¡ ¹æ¾îÀÚ°¡ ¾ËÁö ¸øÇϵµ·Ï ¸Å¿ì ±ä¹ÐÇÏ°Ô ÀÌ·ç¾îÁý´Ï´Ù. ÀÌ·Î ÀÎÇØ PC°¡ C&C ¼¹ö¿Í Åë½ÅÇÏ´Â °ÍÀ» ±¸º°ÇØ ³»´Â °ÍÀº ¸Å¿ì ¾î·Æ½À´Ï´Ù. ±×·¡¼ ÃÖ±Ù¿¡´Â ºñÁ¤»ó ÇàÀ§±â¹Ý ¹æ½Ä°ú ºòµ¥ÀÌÅÍ µîÀÇ ½Ã½ºÅÛÀ» È°¿ëÇÏÁö¸¸ À̸¶Àúµµ ¸ðµç °ø°Ý¼ºÀÌ ÀÖ´Â Åë½ÅÀ» ±¸º°ÇØ ³»±â¶õ ¾î·Á¿î ½ÇÁ¤ÀÔ´Ï´Ù. Á¶±Ý ´õ ½Ã½ºÅÛÀÇ ¼º´É°ú Á¦¹Ýȯ°æÀÌ ¸¶·ÃµÈ´Ù¸é ³»¡¤¿ÜºÎÀÇ Åë½Å¿¡ ´ëÇÑ Ç® ÆÐŶÀ» üũÇØ¾ß ÇÏÁö ¾ÊÀ»±î »ý°¢ÇÕ´Ï´Ù. Ç® ÆÐŶÀ» ÀúÀåÇÑ ÈÄ¿¡ 1Â÷ÀûÀ¸·Î ÀÚµ¿ÈµÈ ºÐ¼® ½Ã½ºÅÛ¿¡¼ °ËÁõÇÏ°í, 2Â÷ÀûÀ¸·Î ƯÀÌÇÑ ÆÄÀÏÀº ºÐ¼®ÀηÂÀÌ ¼öÇàÇϰųª C&C ¹× ƯÁ¤ ¼¹ö¿Í Åë½Å½Ã Àü¼ÛµÇ´Â ÆÐŶÀ» Ç® ÆÐŶ ³»¿¡¼ ¼±º°ÇÏ¿© ÇØ´ç ÆÐŶ¿¡ ´ëÇÑ ºÐ¼®ÀÌ ÇÊ¿äÇÏ°Ú½À´Ï´Ù. [¿©µ¿±Õ À̱۷ç½ÃÅ¥¸®Æ¼ º¸¾È°üÁ¦ÆÀÀå(ydk0034@naver.com)] ´ëºÎºÐÀÇ ¼Ö·ç¼ÇÀÌ ¡®¾Ë·ÁÁø¡¯ IP ȤÀº URI ±â¹ÝÀ¸·Î C&C ¼¹ö¿¡ ´ëÇØ Åë½ÅÇÏ´Â °ÍÀ» Â÷´ÜÇÕ´Ï´Ù(1.1.1.2 IP°¡ C&C¼¹öÀÏ ¶§ 1.1.1.2·Î Á¢¼ÓÀ» Â÷´Ü). ±×·¯³ª ÀϺΠº¸¾È ¼Ö·ç¼ÇÀº ±âº»ÀûÀ¸·Î ¡®¾Ë·ÁÁø¡¯ C&C ¼¹ö¿ÍÀÇ Åë½Å»Ó¸¸ ¾Æ´Ï¶ó, °í°´»ç ³»ºÎ·Î À¯ÀÔµÈ ÆÄÀÏÀ» °¡»ó¸Ó½Å¿¡¼ ½ÇÁ¦·Î ½ÇÇàÇØ º» ÈÄ, ¾Ç¼ºÄÚµå·Î ÆǺ°µÈ ÆÄÀÏÀÌ ¿ÜºÎ·Î Åë½ÅÀ» ½ÃµµÇÏ´Â IP±îÁö È®ÀÎÇØ ¡®¾Ë·ÁÁöÁö ¾ÊÀº¡¯ C&C ¼¹ö·ÎÀÇ Åë½Åµµ ŽÁö¡¤Â÷´ÜÇÕ´Ï´Ù. [ÀåÈ£¼® Åõ¾¾¿¡½ºÁö(hsjang@tocsg.co.kr)] ºñ±Ô¾à, ¿À·ù¹ß»ý À¯µµ, ºñÀ¯È¿ Åë½ÅÀ» ¹Ýº¹ ¿äûÇÒ ½Ã¿¡ Åë½Å ¿äû ±â¹ý°ú ¹Ýº¹ÀÇ È½¼ö µîÀ» º¸¾ÈÁ¤Ã¥À¸·Î Â÷´ÜÇÒ ¼ö ÀÖ½À´Ï´Ù. ´Ù¸¸, Åë½Å±Ô¾àÀ» ¾î±â°í ºñ±Ô¾à Åë½ÅÀ» ÅëÇØ »ó´ë ½Ã½ºÅÛÀÇ Åë½Å ¹öÆÛ¿¡ ¿À¹öÇ÷ο츦 ¸¸µå´Â µîÀÇ ¹æ¹ýÀ¸·Î »ó´ë ½Ã½ºÅÛÀ» Àå¾ÇÇÏ´Â ±â¹ýÀº °í³À̵µ ±â¹ýÀÌ°í ÈçÈ÷ ¾²´Â ±â¹ýÀÌ ¾Æ´Õ´Ï´Ù. ÃÖ±Ù APT °ø°ÝÀÇ ¼ö¹ýÀº ÁÖ·Î ¾Ç¼º¹®¼¸¦ ÀÌ¿ëÇÑ °ø°ÝÀ» ¸¹ÀÌ ÇÏ´Â Ãß¼¼¶ó°í º¼ ¼ö ÀÖ½À´Ï´Ù. ÀÌ´Â °í±Þ Æ÷¸ËÀÇ ¹®¼(Rich Document)¿¡ ±â¹¦ÇÑ ¹æ¹ýÀ¸·Î ¾Ç¼ºÄڵ带 »ðÀÔÇÏ´Â ¹æ¹ýÀ¸·Î, Åë½ÅÀ» ÅëÇØ Àü´ÞµÈ ½ÇÇàÄڵ带 Æ÷ÇÔÇÑ ¹®¼(Rich Document)¸¦ ¿¾úÀ» ¶§ ¸Þ¸ð¸® ¹öÆÛ ¿À¹öÇÃ·Î¿ì µîÀÇ ½Ã½ºÅÛ ¿À·ù¸¦ ³»¾î ±ÇÇÑÀ» ÃëµæÇϰųª ½ÇÇàÆÄÀÏÀ» ½É¾îµÎ°í PC¸¦ Á¦¾îÇÏ´Â ¹æ½ÄÀÔ´Ï´Ù. [¼ÒÇÁƮķÇÁ] APT °ø°ÝÀº Á¤±³ÇÑ ¾Ç¼ºÄÚµå¿Í °ø°Ý±â¼úÀ» È°¿ëÇØ ±â¾÷¿¡ ħÅõÇÏ°í ´«Ä¡Ã¤Áö ¸øÇÏ°Ô ±â¹ÐÁ¤º¸¸¦ À¯Ãâ½Ãŵ´Ï´Ù. ÀÌ·¯ÇÑ APT °ø°ÝÀº ÃÖ´ëÇÑ »¡¸® °ø°ÝÀ» ŽÁöÇÏ°í ´ëÀÀÇÏ¿© ÇÇÇظ¦ È®»ê½ÃÅ°Áö ¾Ê´Â °ÍÀÌ Áß¿äÇϹǷΠ½ÃÁß¿¡ ³ª¿Â APT ¼Ö·ç¼ÇÀ» µµÀÔÇÏ´Â °ÍÀ» ÃßõÇÕ´Ï´Ù. [Çѱ¹»ê¾÷±â¼úº¸È£Çùȸ Áß¼Ò±â¾÷±â¼úÁöÅ´¼¾ÅÍ] [±Ç ÁØ ±âÀÚ(editor@boannews.com)] <ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö> |
|