Home > 전체기사
공격의 탐지, 정상 도구 활용도 올라가며 어려워지고 있다
  |  입력 : 2019-11-27 15:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
평범한 멀웨어, 관심 받지 않기 때문에 오히려 더 큰 위협 되기도
정상 관리 툴과 프로세스 활용하는 ‘리빙 오프 더 랜드’ 전략, 탐지 어렵게 해


[보안뉴스 문가용 기자] 멀웨어가 ‘위협’이 되기 위해서 반드시 ‘최첨단’일 필요는 없다. 흔하디 흔한 기능의 평범한 멀웨어라고 해도 어마어마한 위협이 될 수 있다. 최근 마이크로소프트가 추적해온 암호화폐 채굴 코드인 덱스폿(Dexphot)이 바로 이런 경우에 부합하는 좋은 사례다.

[이미지 = iclickart]


덱스폿이 처음 발견된 건 2018년 10월이다. 그 후로 지금까지 수만 대의 컴퓨터를 감염시켰다. 하지만 그 사실이 매체나 보안 업계에 큰 관심을 끌지 못했다. 또한 당시 덱스폿은 20~30분에 한 번씩 바뀌는 파일들을 수만 대의 시스템에 퍼트리고 있었고, 그 이유가 난독화, 암호화, 무작위화를 통한 탐지 회피인데도 화제가 되는 일이 없었다.

이를 분석한 MS에 의하면 덱스폿은 “현대 멀웨어들처럼 메모리에서만 작동하도록 설계되었다”고 한다. 또한 “정상 프로세스들을 하이재킹해 사용함으로써 보안 솔루션들이 악성 행위를 탐지하지 못하도록” 작동하기도 한다. 시스템에 설치된 이후 덱스폿은 모니터링 서비스와 미리 스케줄링 된 임무의 목록을 활용해 피해자의 삭제 시도가 있어도 계속해서 스스로를 설치한다.

덱스폿 개발자는 지난 1년 동안 덱스폿에 여러 가지 기능을 꾸준히 추가했다고 한다. “추가된 기능의 대부분은 탐지 기술을 회피하기 위한 것들이었습니다. 정상 프로세스를 통해 악성 행위를 실시하는 점이 방어자들을 가장 괴롭히고 있습니다. 지속적인 업그레이드를 통해 덱스폿은 최초 설치만 빼놓고 모든 행위를 정상 프로세스로 실시합니다.”

그 외에도 덱스폿은 ‘프로세스 할로윙(process hollowing)’이라는 기술도 사용하기 시작했다. 프로세스 할로윙이란, 멀웨어가 정상 프로세스 내에 숨어있는 것을 말한다. 주로 svchost.exe, tracert.exe, setup.exe와 같은 프로세스가 활용된다. “이렇게 숨어있는 멀웨어는 찾아내기가 힘듭니다. 그래서 요즘 멀웨어들이 죄다 이런 프로세스 속을 파고드는 것이죠.”

또한 프로세스 할로윙을 하게 되면, “파일레스(fileless) 공격이 저절로 이뤄진다는 장점도 있다”고 한다. “파일레스 공격은 악성 코드가 하드드라이브에 남지 않기 때문에 탐지가 불가능에 가까울 정도로 어려우며, 포렌식을 통해서도 자취를 찾아내는 게 까다로워집니다. 공격자들이 파일레스를 선호하기 시작한 이유가 분명히 있습니다.”

이렇게 공격 대상이 되는 시스템 내에 존재하는 프로세스와 도구를 악의적으로 활용하는 공격 전략을 크게 ‘리빙 오프 더 랜드(living-off-the-land)’라고 부르는데, MS는 최근 사이버 공격자들 가운데서 가장 ‘뜨거운’ 주제라고 한다. 보안 업체 라피드7(Rapid7) 역시 최근 공격자들이 정상 프로세스를 공격에 활용하는 것을 고발했다. 그 때 언급된 프로세스는 위 세 가지 외에 cmd.exe, ADExplorer.exe, procdump64.exe, rudll32.exe, schtasks.exe 등이다.

“기본 탑재된 윈도우 기능들을 공격자들이 활용하기 시작하면서 탐지가 훨씬 어려워지고 있습니다.” 라피드7이 보고서 결과다. 관리자 툴이나 정상 프로세스 속 안까지 들여다보며 악성 행위를 근절시키는 보안 솔루션들은 극히 드물며, 따라서 ‘리빙 오프 더 랜드’ 전략이 성행하는 한 기업들은 정상 프로세스에 대한 모니터링도 강화해야 한다고 라피드7은 강조했다.

3줄 요약
1. 덱스폿, 평범하기 때문에 주목받지 않고, 그 동안 수만 대 컴퓨터 감염시킴.
2. 최근 공격자들, 정상 프로세스 통해서만 공격 실시하기도 함.
3. 정상 프로세스와 정상 도구 사용하는 전략, ‘리빙 오프 더 랜드’라고 불림.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)