자격증과 세미나, 프로그램 이야기를 주저없이 써봅니다.

Since 2008. 10.

해킹, 보안

국내 최대 C&C보유 악성코드 Gh0st RAT 분석 보고서

럭키맨 운수 2015. 4. 5. 20:54

 

4월 3일 NSHC(대표 허영일) Red Alert팀은 국내 최대 C&C보유 악성코드 - Gh0st RAT 분석 보고서를 발표했습니다. 자료는 하단에 첨부파일 클릭하시면 있습니다.

 

Gh0st RAT는 2014년 초부터 탐지되던 악성코드입니다. 시간이 지남에 따라 악성코드 감염규모가 확장돼, 현재 69종의 악성코드가 배포되고 있습니다. 또한 C&C 서버의 규모도 국내 30건, 미국 5건, 중국 2건이 탐지돼 단일 악성코드에서 사용하는 C&C 서버 규모 중 가장 큰 것으로 확인됐습니다. 감염이 의심되는 시스템에서는 대응방안에 따른 조치와 백신을 통한 치료가 필요합니다.

 

보고서에 따르면, Gh0st RAT 클라이언트로 감염시키기 위한 바이너리의 종류와 유포지가 다양하게 탐지되고 있으며, KISA 주민등록번호 클린 센터로 위장해 유포되는 정황까지 탐지됐습니다. 이에 따라 유포지 및 파일 다운로드 서버 정보가 공개됐고 유포지로 사용된 도메인은 지난해 10월에 탐지됐던 URL로, 국내 대형 포털사이트 URL과 유사하게 만들어 오타 발생시 파밍을 유도할 수 있는 상황이라고 설명했습니다.

 

악성코드 동작에 사용되는 유포지, 파일 서버, Gh0st 서버, 3차 C&C 서버는 국내와 미국, 중국의 서버를 이용하고 있는 것으로 전했습니다. 특정 서버의 경우, C&C 서버의 기능과 원격 관리목적으로 사용되는 것으로 확인, 원격 관리 서버의 경우 FTP, HTTP, RPC, SMB, IIS, MYSQL 서비스 등이 활성화돼 있습니다. 또 웹 서버를 이용한 원격 관리자 페이지가 존재한다고 분석했습니다.

 

Red Alert팀은 “국내 사용자들을 대상으로 한 공격으로 판단되며 중국어 언어 환경에서 제작된 점 등을 미루어 보면, 중국 내에서 조직적으로 공격이 이루어진 것으로 판단된다”며 “윈도 탐색기의 폴더옵션에서 보호된 운영체제 파일 숨기기’ 체크박스의 체크를 해제하고 ‘숨김 파일 및 폴더 표시’의 라디오 버튼을 클릭해 적용한 뒤 파일을 삭제해야 한다”고 권고했습니다.

 

출처: Red Alert팀 페이스북(https://www.facebook.com/nshc.redalert)

20150403_변종_Gh0st_RAT_Ver_2.0_External.pdf
1.39MB