Home > 전체기사
멀웨어 새로 만드는 게 낫다? 기존 멀웨어 개조가 편하다!
  |  입력 : 2019-08-12 13:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이미 잘 만들어진 멀웨어를 소스코드 없이 개조하는 건 어려운 일?
한 보안 전문가 데프콘서, “새로 멀웨어 만드는 게 훨씬 어려운 일”


[보안뉴스 문가용 기자] 리버스 엔지니어링 기술을 가지고 있다면, 맥킨토시용 멀웨어를 목적에 맞게 수정하는 건 일도 아니라는 주장이 한 보안 전문가에게서 나왔다. 멀웨어를 처음부터 만드는 것에 비해서는 더더구나 간단한 일이라고도 이 전문가는 덧붙였다.

[이미지 = iclickart]


이 인물은 맥 시스템 보안을 전문으로 하는 기업 잼프(Jamf)의 수석 연구원인 패트릭 워들(Patrick Wardle)이다. 참고로 잼프는 지난 달 워들이 공동 설립한 맥OS 보안 전문 기업인 디지타 시큐리티(Digita Security)를 인수한 바 있다.

멀웨어의 개조(repurposing)는 사이버 범죄자들 사이에서 항상 있는 일이다. 심지어 국가 정보 기관에 소속된 전문가들도 한다. 이미 존재하는 멀웨어를 전혀 다른 목적에 맞게 개조하는 건, 추적을 혼란스럽게 한다. 즉 공격자가 자신의 존재를 노출시키지 않기 위해 하는 일 중 하나라는 것이다.

하지만 멀웨어의 개조란, 고난이도의 능력인 것으로 알려져 있다. 누군가 만든 멀웨어를 분석하고 공부해 전혀 다른 멀웨어로 만든다는 건 해킹을 잘 몰라도 어려운 일로 들린다. 보안 전문가들 중에서는 ‘차라리 처음부터 새로 만드는 게 쉽다’고 말하는 사람들도 있다. 워들은 그런 주장을 반박하기 위해 연구하며 증빙 자료를 갖춰왔다고 한다.

워들은 “복잡하고 잘 만들어진 멀웨어, 그것도 실력으로 어디에 가도 뒤지지 않는 개발자들이 만든 멀웨어를 가져다가 자기 마음대로 개조한다는 게, 말처럼 그렇게 어려운 일이 아니”라고 말한다. “심지어 추적을 혼란스럽게 하니 공격자들로서는 더없이 멀웨어 개발 방법입니다. 들켰을 경우 간단히 다른 멀웨어를 가져다가 개조하면 그만이니 효율적이기도 합니다.”

그는 자신의 주장을 입증하기 위해 몇 가지 유명한 맥 멀웨어를 가져다가 직접 개조를 실시했다. 프루트플라이(FruitFly) 백도어, 크리에이티브 업데이트(CreativeUpdate)라는 암호화폐 채굴 코드, 키레인저(KeRanger) 랜섬웨어, 윈드테일(Windtail) 백도어였다.

이 네 가지 멀웨어를 개조하는 게 그리 어렵지 않다는 걸 보여주기 위해 워들은 ‘소스코드가 하나도 없다’는 걸 전제로 깔았다. “그렇다는 건 모든 관련 논리 구조를 식별하고, C&C 프로토콜을 이해하며, 원래의 멀웨어를 조작하고, C&C 서버를 생성하는 단계로 일을 진행해야 한다는 뜻입니다.” 맞춤형 설치 파일 생성, C&C 서버의 주소 변경, 지갑 주소 변경과 같은 작업도 진행할 필요가 있었다.

참고로 워들은 오브젝티브시(Objective-See)라는 웹사이트를 운영 중이다. 이 사이트를 통해 120개가 넘는 맥 멀웨어 샘플을 무료로 제공하는데, 누구라도 다운로드 받아 연구 목적으로 개조를 시도해볼 수 있다(워들 역시 여기서 샘플을 받아 개조 연구에 사용했다). 그러면서 애플의 엑스프로텍트(XProtect)와 멀웨어 제거 도구(MRT)와 같은 시그니처 기반 보안 솔루션을 무력화시키는 기술도 발견할 수 있었다고 한다.

“악성 파일에서 1바이트의 정보만 바꾸고, 요소들의 서명을 해제한 후 다시 서명하고, 요소들의 이름을 바꾸면, 시그니처 기반 솔루션들을 피해갈 수 있습니다. 저는 애플의 보안 도구들만 실험을 해서 취약점을 확인했지만, 비슷한 원리를 가진 다른 보안 솔루션들도 비슷한 결과를 낼 것으로 보입니다.”

그러므로 워들은 “시그니처가 아니라 위험한 행동을 분석하고 탐지할 수 있어야 한다”고 강조한다. “파일이 어떤 식으로 활용되나 모니터링 하고, 장비의 마이크로폰이나 카메라에 접근할 때 탐지하고, 키보드에서 벌어지는 사건을 추적할 수 있게 해주는 키로거를 설치하는 등의 대비책을 마련해야 합니다. 또한 가짜 클릭도 탐지할 수 있어야 합니다.”

워들은 그 동안 이러한 탐지 기능을 가지고 있는 무료 툴들(https://objective-see.com/products.html)을 여러 가지 개발해왔다. 또한 자신의 이러한 연구 결과와 주장을 데프콘에서 발표했다. “이 연구의 목적은 하나입니다. 기존의 멀웨어를 멋대로 개조한 행위가 꽤나 활발하게 이뤄질 수 있다는 것이고, 그럴 경우 추적이 어려워지니 보안 업계의 대책 마련이 필요하다는 것입니다. 행동 기반 솔루션을 보편화시키는 편이 현명한 방향으로 보입니다.”

3줄 요약
1. 항간에 알려진 소문, “있는 멀웨어 개조하느니 새로 만드는 게 훨씬 간단하다.”
2. 한 맥 보안 전문가, “새로 만드는 것보다 있는 멀웨어 개조하는 게 훨씬 간단하다.”
3. 후자가 맞을 경우, 공격 탐지 어려워질 것 예상해야 함. 행동 분석 기반 솔루션이 유리함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)