공격의 탐지, 정상 도구 활용도 올라가며 어려워지고 있다

입력 : 2019-11-27 15:34

평범한 멀웨어, 관심 받지 않기 때문에 오히려 더 큰 위협 되기도
정상 관리 툴과 프로세스 활용하는 ‘리빙 오프 더 랜드’ 전략, 탐지 어렵게 해

[보안뉴스 문가용 기자] 멀웨어가 ‘위협’이 되기 위해서 반드시 ‘최첨단’일 필요는 없다. 흔하디 흔한 기능의 평범한 멀웨어라고 해도 어마어마한 위협이 될 수 있다. 최근 마이크로소프트가 추적해온 암호화폐 채굴 코드인 덱스폿(Dexphot)이 바로 이런 경우에 부합하는 좋은 사례다.


덱스폿이 처음 발견된 건 2018년 10월이다. 그 후로 지금까지 수만 대의 컴퓨터를 감염시켰다. 하지만 그 사실이 매체나 보안 업계에 큰 관심을 끌지 못했다. 또한 당시 덱스폿은 20~30분에 한 번씩 바뀌는 파일들을 수만 대의 시스템에 퍼트리고 있었고, 그 이유가 난독화, 암호화, 무작위화를 통한 탐지 회피인데도 화제가 되는 일이 없었다.

이를 분석한 MS에 의하면 덱스폿은 “현대 멀웨어들처럼 메모리에서만 작동하도록 설계되었다”고 한다. 또한 “정상 프로세스들을 하이재킹해 사용함으로써 보안 솔루션들이 악성 행위를 탐지하지 못하도록” 작동하기도 한다. 시스템에 설치된 이후 덱스폿은 모니터링 서비스와 미리 스케줄링 된 임무의 목록을 활용해 피해자의 삭제 시도가 있어도 계속해서 스스로를 설치한다.

덱스폿 개발자는 지난 1년 동안 덱스폿에 여러 가지 기능을 꾸준히 추가했다고 한다. “추가된 기능의 대부분은 탐지 기술을 회피하기 위한 것들이었습니다. 정상 프로세스를 통해 악성 행위를 실시하는 점이 방어자들을 가장 괴롭히고 있습니다. 지속적인 업그레이드를 통해 덱스폿은 최초 설치만 빼놓고 모든 행위를 정상 프로세스로 실시합니다.”

그 외에도 덱스폿은 ‘프로세스 할로윙(process hollowing)’이라는 기술도 사용하기 시작했다. 프로세스 할로윙이란, 멀웨어가 정상 프로세스 내에 숨어있는 것을 말한다. 주로 svchost.exe, tracert.exe, setup.exe와 같은 프로세스가 활용된다. “이렇게 숨어있는 멀웨어는 찾아내기가 힘듭니다. 그래서 요즘 멀웨어들이 죄다 이런 프로세스 속을 파고드는 것이죠.”

또한 프로세스 할로윙을 하게 되면, “파일레스(fileless) 공격이 저절로 이뤄진다는 장점도 있다”고 한다. “파일레스 공격은 악성 코드가 하드드라이브에 남지 않기 때문에 탐지가 불가능에 가까울 정도로 어려우며, 포렌식을 통해서도 자취를 찾아내는 게 까다로워집니다. 공격자들이 파일레스를 선호하기 시작한 이유가 분명히 있습니다.”

이렇게 공격 대상이 되는 시스템 내에 존재하는 프로세스와 도구를 악의적으로 활용하는 공격 전략을 크게 ‘리빙 오프 더 랜드(living-off-the-land)’라고 부르는데, MS는 최근 사이버 공격자들 가운데서 가장 ‘뜨거운’ 주제라고 한다. 보안 업체 라피드7(Rapid7) 역시 최근 공격자들이 정상 프로세스를 공격에 활용하는 것을 고발했다. 그 때 언급된 프로세스는 위 세 가지 외에 cmd.exe, ADExplorer.exe, procdump64.exe, rudll32.exe, schtasks.exe 등이다.

“기본 탑재된 윈도우 기능들을 공격자들이 활용하기 시작하면서 탐지가 훨씬 어려워지고 있습니다.” 라피드7이 보고서 결과다. 관리자 툴이나 정상 프로세스 속 안까지 들여다보며 악성 행위를 근절시키는 보안 솔루션들은 극히 드물며, 따라서 ‘리빙 오프 더 랜드’ 전략이 성행하는 한 기업들은 정상 프로세스에 대한 모니터링도 강화해야 한다고 라피드7은 강조했다.

3줄 요약
1. 덱스폿, 평범하기 때문에 주목받지 않고, 그 동안 수만 대 컴퓨터 감염시킴.
2. 최근 공격자들, 정상 프로세스 통해서만 공격 실시하기도 함.
3. 정상 프로세스와 정상 도구 사용하는 전략, ‘리빙 오프 더 랜드’라고 불림.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 3

  ‘2024년도 ICT 중소기업 정보보호 지원...

• 4

  웹3 게임 개발자들, 암호화폐 노리는 피싱 ...

• 5

  이반티 보안 취약점 악용한 5개 공격그룹 ...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 5

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...