À¯¸í ¾ÐÃà ÇÁ·Î±×·¥À¸·Î À§ÀåÇÑ ¾Ç¼ºÄÚµå ¹éµµ¾î
À¯¸í À¯Æ¿¸®Æ¼ ÇÁ·Î±×·¥À¸·Î °¡ÀåÇÑ ¾Ç¼ºÄÚµå´Â Áö¼ÓÀûÀ¸·Î ¹ß°ßµÇ°í ÀÖÀ¸¸ç, ÀÌ·¯ÇÑ À¯Æ÷ ¹æ½ÄÀ» ÀÌ¿ëÇÏ´Â ¾Ç¼ºÄÚµå´Â ÀÎÅÍ³Ý ¹ðÅ· Á¤º¸¸¦ ³ë¸®´Â ¹ðÅ°(Banki)³ª ¾ÇÀÇÀûÀÎ ¹éµµ¾î(Backdoor)·ù µîÀÌ ÁÖ¸¦ ÀÌ·ç°í ÀÖ´Ù. ÃÖ±Ù¿¡µµ ±¹³» À¯¸í ¾ÐÃà À¯Æ¿¸®Æ¼ ÇÁ·Î±×·¥À¸·Î À§ÀåÇÑ ¹éµµ¾î ¾Ç¼ºÄڵ尡 ¹ß°ßµÆ´Ù.
[±×¸² 1] À¯¸í ¾ÐÃà ÇÁ·Î±×·¥À¸·Î À§ÀåÇÑ ¾Ç¼ºÄÚµå
¹éµµ¾î´Â ¿ø·¡ À¯»ç ½Ã Àå¾Ö ÇØ°áÀ̳ª À¯Áö º¸¼ö µîÀÇ °ü¸®¸¦ À§ÇØ ½Ã½ºÅÛ¿¡ ÀǵµÀûÀ¸·Î ³²°ÜµÐ ÀÏÁ¾ÀÇ º¸¾È ÇãÁ¡À¸·Î, ¾ÇÀÇÀûÀ¸·Î ÀÌ¿ëµÇ´Â °æ¿ì º¸¾È»ó Ä¡¸íÀûÀÎ ¹®Á¦¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Ù. ƯÈ÷ Á¤»óÀûÀÎ ·Î±×ÀÎ ÀýÂ÷¸¦ °ÅÄ¡Áö ¾Ê°í Æ®·ÎÀ̸ñ¸¶¸¦ ħÅõ½ÃÄÑ ¹éµµ¾î·Î ÀÌ¿ëÇÏ´Â °æ¿ì, ½Ã½ºÅÛ Ä§ÀÔ »ç½Ç ÀºÆó´Â ¹°·ÐÀÌ°í ÀçħÀÔÀ» À§ÇÑ ¹éµµ¾î Ãß°¡ ¼³Ä¡ µîÀÌ °¡´ÉÇϱ⠶§¹®¿¡ À§ÇèÇÏ´Ù.
À̹ø¿¡ ¹ß°ßµÈ ¹éµµ¾î ¾Ç¼ºÄÚµå´Â À©µµ¿ì(Windows)ÀÇ DEP(Data Execution Prevention: µ¥ÀÌÅÍ ½ÇÇà ¹æÁö)¸¦ ¿ìȸÇϱâ À§ÇØ 2°³ÀÇ API¸¦ ÀÌ¿ëÇÑ´Ù. DEP´Â ÇÁ·Î±×·¥ÀÌ µ¿ÀûÀ¸·Î »ý¼ºÇÏ´Â ÄÚµåÀÇ ½ÇÇàÀ» ¸·´Âµ¥, ¾Ç¼ºÄÚµåÀÇ Æ¯Á¤ ¸Þ¸ð¸® »ó¿¡ ÀÔ·ÂµÈ ½©ÄÚµå(Shellcode)°¡ ±× ´ëÇ¥ÀûÀÎ ¿¹´Ù.
ºÐ¼® °á°ú, ÇØ´ç ¾Ç¼ºÄÚµåÀÇ Æ¯Á¤ ¹®ÀÚ¿¿¡´Â ¾Ç¼ºÄÚµå¸í, Mutex, C&C ÁÖ¼Ò µîÀÌ È®ÀεƴÙ. ¶ÇÇÑ C:\Windows °æ·Î¿¡ ÀÚ°¡ º¹Á¦ ¹× ½ÇÇàÇϸç, ÇØ´ç º¹Á¦ ÆÄÀÏÀÇ ½ÇÇàÀÌ ½ÇÆÐÇÏ¸é ¶Ç ´Ù¸¥ °æ·Î¿¡ (C:\Documents and Settings\Administrator\Application Data) Ãß°¡·Î ÀÚ°¡ º¹Á¦ µÚ ½ÇÇàµÈ´Ù.
[±×¸² 2] ƯÁ¤ °æ·Î¿¡ ÀÚ°¡ º¹Á¦
ÀÌÈÄ ½Ã½ºÅÛ ½ÃÀÛ ½Ã ÀÚµ¿ ½ÇÇàµÇ±â À§ÇØ ·±(Run) ·¹Áö½ºÆ®¸® Å°¿¡ ÀÚ±â ÀÚ½ÅÀ» µî·ÏÇÑ´Ù. ¶ÇÇÑ 20ÃÊ °£°ÝÀ¸·Î C&C ¼¹ö¿ÍÀÇ Åë½ÅÀ» ½ÃµµÇÑ´Ù. ºÐ¼® ´ç½Ã¿¡´Â C&C ¼¹ö¿¡ Á¢¼ÓÀÌ µÇÁö ¾Ê¾ÒÀ¸³ª, C&C¿Í Á¢¼ÓÀÌ ÀÌ·ïÁö¸é [±×¸² 3]°ú °°ÀÌ »ç¿ëÀÚ ½Ã½ºÅÛ ³»ÀÇ ´Ù¾çÇÑ Á¤º¸µéÀ» Å»ÃëÇÏ°í Ãß°¡ÀûÀÎ ¸í·ÉÀ» ¼ö½ÅÇßÀ» °ÍÀ¸·Î º¸ÀδÙ.
[±×¸² 3] ¾Ç¼ºÄڵ尡 Å»ÃëÇÏ´Â Á¤º¸
V3 Á¦Ç°¿¡¼´Â ÇØ´ç ¾Ç¼ºÄڵ带 ¾Æ·¡¿Í °°Àº Áø´Ü¸íÀ¸·Î ŽÁöÇÏ°í ÀÖ´Ù.
<V3 Á¦Ç°±ºÀÇ Áø´Ü¸í>
Trojan/Win32.Bezigate (2017.01.03.06)
(ÁÖ)ÀÌÁö¿¡ÀÌÄ¡¿¤µð / »ç¾÷ÀÚµî·Ï¹øÈ£ 117-81-44101 / Åë½ÅÆǸž÷½Å°í Á¦ 2009-¼¿ï±Ýõ-0631È£ / º¥Ã³±â¾÷È®ÀÎ ¼¿ïÁö¹æÁß¼Ò±â¾÷û Á¦ 031134233-1-01643
´ëÇ¥ : ÀÌÀΰæ / E : ezday@ezday.co.kr / F : 02) 323-5049 / ¼¿ï ±Ýõ±¸ °¡»êµ¿ 371-50 ¿¡À̽ºÇÏÀÌ¿£µåŸ¿ö 3Â÷ 11F
Copyright¨ÏEZHLD INC. All rights reserved