Home > 전체기사
악성코드 유포, 주말보다 주중이 높아져
  |  입력 : 2013-05-20 15:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

다운로더 악성코드 형태로 보안 솔루션 탐지 우회하는 설치방식 증가


[보안뉴스 김경애] 악성코드 유포지 25와 경유지 38개 등 총 63개 홈페이지가 악성코드 유포/경유지로 탐지되면서 사용자의 주의가 요구된다.


KAIST 사이버보안연구센터 자료에 따르면 전주대비 경유지는 소폭 감소했으나 유포지는 25% 증가한 것으로 나타났고, 해외보다는 국내 서버(국내 IP 비율 약93%)를 이용해 악성코드를 유포한 것으로 확인됐다고 밝혔다.


최근 1개월간 악성코드 유포현황을 확인한 결과, 금주에는 유포형태가 주말보다 주중이 높은 것으로 나타났고, 다운로더 악성코드 형태로 보안 솔루션 탐지를 우회하기 위한 설치 방식이 증가한 것으로 나타났다.


다만, 요일별 유포 추이 변화를 살펴보면 금, 토, 일요일에 유포건수가 가장 많아 주중보다는 주말에 악성코드를 유포하는 걸로 나타났다. 이는 백신 및 보안업체가 대응하기 힘든 주말에 악성코드를 유포해 악성코드의 생존시간 증가 및 탐지, 차단을 어렵게 하려는 목적이라고 사이버보안연구센터 측은 추정했다.


하지만 금주 악성코드 유포추이를 확인해 보면 그 추세가 주중에도 증가했음을 알 수 있다. 특히 수요일에 그 추세가 가장 빈번히 발생했으며, 이와 같은 현상은 앞으로도 지속적으로 발생할 가능성이 높기 때문에 주중 악성코드 유포에 대해서 유의하고, 관찰할 필요가 있다.


또한, 다운로더 악성코드 보안 솔루션 탐지를 우회하기 위한 설치 방식이 증가한 것으로 나타났다. 금주 수집된 다운로더 악성코드를 분석한 결과 일부 DPI를 기반으로 한 APT 탐지 장비를 우회할 가능성이 높은 것으로 확인됐다.


최근 유포되고 있는 다운로더 악성코드들을 분석한 결과를 살펴보면 특정 환경에서만 정상 설치 또는 동작하는 형태를 지니거나 다운로드 대상 악성코드를 비정상적인 상태로 내려 받아 메모리상에서 복원하는 형태로 동작한다.


이와 같이 악성코드 설치는 실행 파일 헤더가 존재하지 않거나 암호화 하여 JPEG와 같은 미디어 파일의 헤더를 앞쪽에 추가한 형태로 변경해 내려 받아 탐지장비 우회가 가능하다. 이는 해당 파일을 내려 받는 다운로더 악성코드가 특정 조건에 따라 메모리상에서 실행이 가능한 상태로 구조를 변경해 시스템에 설치 없이 실행한 것이다.


이러한 악성코드 동작 형태는 기존의 Stuxnet에서 이용됐던 형태와 많이 유사하며 이제 일반 악성코드도 이와 같은 공격기법을 다수 이용해 분석 및 탐지를 어렵게 한다고 사이버보안연구센터는 밝혔다. 이를 예방하기 위해서는 메모리상에 생성되는 코드를 분석하는 형태의 장비나 이를 상세 분석할 수 있는 인력이 필요하다고 강조했다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)