Home > 전체기사

업그레이드 된 트릭봇, 배치 스크립트 기술을 활용

  |  입력 : 2020-11-25 12:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
악명 높은 트릭봇 멀웨어, 윈도 배치 스크립팅 기술을 악용해 탐지 회피
자동 탐지 기술은 높은 확률로 탐지 실패…인간 분석가라면 잡아내기 쉬워


[보안뉴스 문가용 기자] 보안 업체 헌트레스 랩스(Huntress Labs)가 트릭봇이라는 악명 높은 멀웨어가 최근 업그레이드 되었다고 경고를 발표했다. 새 트릭봇은 윈도 배치 스크립팅 기술을 새롭게 악용하여 자동 탐지 도구들을 회피한다고 한다. 윈도 명령행 인터프리터인 cmd.exe가 명령행에 입력되는 데이터를 처리하는 과정을 악용하는 수법이라고 요약이 가능하다.

[이미지 = utoimage]


공격자들은 배치 스크립트를 사용해 페이로드를 잘게 쪼갰다. 작은 덩이들이 여러 개 나오면 이들을 따로따로 전송하고 피해자 시스템의 명령행 인터프리터를 사용해 다시 조합한다. 헌트레스의 수석 보안 전문가인 존 하몬드(John Hammond)는 “이 때 페이로드의 각 문자들을 새로운 값으로 대체시키는 것이 이 공격의 핵심”이라고 설명한다.

물론 이 기술을 트릭봇 운영자들만 사용할 수 있는 건 아니다. 이론상 어떤 멀웨어도 이런 방식으로 탐지 기술을 회피할 수 있다. “하지만 이런 기술을 실제로 활용하는 건 이번 트릭봇 운영자들이 처음입니다. 어느 정도 해킹 기술을 갖춘 조직이라면 크게 어렵지 않은 것이고, 트릭봇이 실제 공격에 선보였으므로 앞으로 다른 조직들도 이를 따라할 것이라고 봅니다.”

윈도에는 여러 가지 명령행 도구들이 탑재되어 있다. 공격자들도 자주 활용하는 것으로는 파워셸이 가장 유명하다. 하지만 예나 지금이나 윈도 명령 실행 유틸리티의 가장 기본은 cmd.exe이다. 수십 년 동안 존재해왔고, 개발자들 사이에서 활발히 사용되어 왔기 때문에 해커들 역시 능숙하게 사용할 수 있다. 인터랙티브한 인터페이스를 가지고 있기 때문에 활용성이 높다는 장점도 가지고 있다.

하몬드는 “애플리케이션 화이트리스팅 기술과 튼튼한 환경설정을 통해 cmd.exe를 보호할 수 있긴 하지만, cmd.exe도 보호해야 한다고 느끼는 사람은 거의 없다”며 “공격자들이 장악했을 때 높은 가치를 발휘하는 요소임을 알아야 한다”고 강조했다. “내 윈도 시스템에 누군가가 cmd.exe를 마음대로 조정할 수 있다는 건, 사실상 장비를 장악 당했다고 봐도 무방한 상태가 되는 것입니다.”

트릭봇 운영자들이 페이로드를 감추기 위해 사용하는 배치 스크립트의 경우, 열어보면 아무런 의미도 없는 ‘쓰레기 코드’처럼 보인다고 한다. “마구잡이로 작성된 의미 없는 문자들과 이상한 퍼센티지 문자가 여기 저기 흩어져 있는 것처럼 보이는데 사실은 한두 글자로 만들어진 변수를 생성하도록 설계되어 있습니다. 사람 눈에는 쓰레기 코드지만 cmd.exe는 해석하기에 충분한 것이죠.”

재미있는 건 이렇게 잘게 썰린 코드들이다보니 그 안의 악성 요소들도 잘 탐지되지 않는다는 것이다. “자동 탐지 도구들도 악성 의도를 잘 파악하지 못하더라고요. 특히 시그니처 기반의 탐지 도구들은 무용지물이 된다고 보시면 됩니다. 공격자들의 목적이 바로 이것이고요.”

하몬드는 “자동 멀웨어 탐지 도구가 만능이 아님을 분명히 기억해야 한다”고 강조했다. “코드가 이상하게 보이긴 하지만 공격 전략 자체가 그리 뛰어난 건 아닙니다. 인간 분석가들이라면 금방 수상한 걸 눈치채고 탐지했을 겁니다. 하지만 자동화 기술을 보유한 조직들은 분석가들을 수동 작업에서 빼내죠. 그러면 이런 공격에 당하는 겁니다.”

어떻게 인간은 수상한 걸 탐지할 수 있는 걸까? “공격자들이 주입하는 ‘쓰레기 코드’를 조금만 들여다 보면 ‘아, 저기에 요런 명령 하나만 삽입하면 이런 저런 기능이 구현될 텐데’라는 상상이 가능합니다. 아직 자동화 기술은 이런 상상력을 발휘할 수 없습니다.”

3줄 요약
1. 트릭봇 멀웨어 운영자들, 새로운 난독화 기술 선보임.
2. 페이로드를 조각 내 전송한 후 피해자의 cmd.exe를 악용해 합치는 것.
3. 사람이라면 탐지 가능하지만 자동화 탐지 기술은 무용지물.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협