보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

사이버 공격자들이 가장 선호하는 공격 기술은 프로세스 주입

입력 : 2020-03-19 12:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
페이로드 인기 1위는 랜섬웨어...공격 기법 인기 1위는 프로세스 주입
정상 도구 활용한 공격 앞으로 더 정교해질 것...기업도 포기할 수 없어


[보안뉴스 문가용 기자] 2019년 사이버 공격자들이 가장 선호한 공격 방식은 ‘웜 유형’인 것으로 나타났다. 공격자들이 횡적 움직임에 얼마나 신경을 쓰는지가 드러나는 대목이라고, 보안 업체 레드 카나리아(Red Canary)가 발표 및 분석했다.

[이미지 = iclickart]


레드 카나리아가 2019년 한 해 동안 고객의 IT 환경에서 적발된 위협들을 분석해 발표한 ‘2020 위협 탐지 보고서(2020 Threat Detection Report)’에 의하면 ‘자동화 기술을 기반으로 한 횡적 움직임’이 눈에 띌 정도로 많았고, 대부분 트릭봇(TrickBot)이라는 데이터 탈취형 트로이목마가 유행을 주도했다고 한다.

트릭봇은 주로 이모텟(Emotet)으로부터 시작되는 공격 사슬의 일부 요소로서 등장한다. 이 공격의 사슬은 보통 이모텟 -> 트릭봇 -> 류크(Ryuk) 랜섬웨어의 순서로 진행된다. 이모텟이 최초 침투에 성공해 트릭봇을 설치하고, 트릭봇은 크리덴셜을 훔쳐내고 횡적으로 움직이면서 공격의 활로를 넓히면, 류크가 들어와 최종 공격을 실시하는 식이다.

레드 카나리아의 공동 창립자인 케이스 맥카몬(Keith McCammon)은 “2019년 가장 빈번하게 사용됐던 페이로드는 단연 랜섬웨어”라며 “많이 사용되면서 전략에 큰 변화가 생겼다”고 설명한다. “다짜고짜 시스템을 못 쓰게 만들고 돈을 요구하는 게 아니라, 찬찬히 정찰을 하며 돈이 될 만한 것들을 미리 다 확보한 후, 더 빼앗을 게 없으면 랜섬웨어로 협박해 추가 수익까지 긁어모으는 방식으로 바뀌었습니다.”

한편 공격 기법이라는 측면에서 2019년의 유행을 주도한 건 ‘프로세스 주입’이었다. 레드 카나리아가 분석한 모든 위협들 중 17%가 프로세스 주입을 통해 발생했다고 한다. 트릭봇과 이모텟과 유행하면서, 이 기법이 유행한 것으로 보인다고 레드 카나리아는 분석했다. 프로세스 주입을 활용할 경우 공격자들은 정상적인 프로세스가 실행되는 것처럼 시스템을 속인 상태로 악성 행위를 할 수 있게 된다. 웜 유형의 공격으로 분류된다.

그 다음으로 인기가 높았던 공격 기법은 ‘작업 스케줄 조작’이었다. 프로세스 주입과 마찬가지로 트릭봇에서 자주 보이는 패턴이다. 피해자의 시스템에 있는 스케줄러를 조작해 악성 작업이 저절로 시작되도록 하는 것이다. 공격 지속성 확보를 위해 자주 활용되며, 전체 위협의 13%, 기업을 노리는 위협의 33%에서 나타난다. 원격에서도 익스플로잇이 가능하다는 장점을 가지고 있다.

스케줄러 조작과 엮여 있는 건 윈도우 어드민 셰어(Windows Admin Shares)다. 정상적인 원격 관리자 도구인데, 전체 위협의 13%, 기업을 노리는 위협의 28%에 등장하고 있다. 이터널블루(EternalBlue)로 유명한 ‘웜 방식의 공격(위협이 자가 복제하면서 퍼지는 유형의 공격)’에 주로 활용되는 것으로 분석됐다. “웜 공격이 유행하면서 윈도우 어드민 셰어가 10위에서 3위로 올라왔습니다.”

“최고로 인기가 높았던 공격 기술 10개 중 8개가 플랫폼의 정상 기능을 악용 및 남용하는 것”이라고 맥카몬은 설명한다. “이런 공격의 가장 큰 장점은, 얼른 보기에 정상처럼 보이기 때문에 탐지가 무척 어렵다는 것입니다. 결국 공격자들은 알람을 울려대는 공격 무기 대신 우리가 흔히 사용하는 도구로 공격하는 법을 익힌 것입니다.”

맥카몬은 이런 유행이 더 정교하게 다듬어져서 한참 더 나타날 것이라고 예상한다. “이전부터 이런 식의 전략이 드문드문 모습을 드러냈습니다. 그러다가 2019년에는 정점을 찍은 것이죠. 이제 더 정교하게 다듬는 일만 남았습니다.” 그러면서 맥카몬은 파워셸, WMI 등이 공격에 활용되는 일이 눈에 띄게 증가할 것이라고 말한다.

“기업들이 사업 활동을 위해 사용하는 각종 기능들을 공격자들이 악용한다는 건 대단히 영리한 것입니다. 이런 기능들이 악용된다고 하더라도 기업들은 사업 활동을 영위하기 위해 어쩔 수 없이 계속 유지할 수밖에 없거든요. 없어지지 않을, 안정적인 공격 통로가 확보된 것이죠.”

3줄 요약
1. 2019년 공격자들의 활동을 요약하면 ‘정상 도구를 공격에 활용하는 것.’
2. 정상 프로세스에 악성 행위 주입하거나, 작업 스케줄러 조작해 지속성 확보하는 데 도가 틈.
3. 이러한 전략의 장점은 눈에 잘 안 띈다는 것과 공격 통로가 사라지지 않는다는 것.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)