Home > 전체기사
사이버 공격자들이 가장 선호하는 공격 기술은 프로세스 주입
  |  입력 : 2020-03-19 12:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
페이로드 인기 1위는 랜섬웨어...공격 기법 인기 1위는 프로세스 주입
정상 도구 활용한 공격 앞으로 더 정교해질 것...기업도 포기할 수 없어


[보안뉴스 문가용 기자] 2019년 사이버 공격자들이 가장 선호한 공격 방식은 ‘웜 유형’인 것으로 나타났다. 공격자들이 횡적 움직임에 얼마나 신경을 쓰는지가 드러나는 대목이라고, 보안 업체 레드 카나리아(Red Canary)가 발표 및 분석했다.

[이미지 = iclickart]


레드 카나리아가 2019년 한 해 동안 고객의 IT 환경에서 적발된 위협들을 분석해 발표한 ‘2020 위협 탐지 보고서(2020 Threat Detection Report)’에 의하면 ‘자동화 기술을 기반으로 한 횡적 움직임’이 눈에 띌 정도로 많았고, 대부분 트릭봇(TrickBot)이라는 데이터 탈취형 트로이목마가 유행을 주도했다고 한다.

트릭봇은 주로 이모텟(Emotet)으로부터 시작되는 공격 사슬의 일부 요소로서 등장한다. 이 공격의 사슬은 보통 이모텟 -> 트릭봇 -> 류크(Ryuk) 랜섬웨어의 순서로 진행된다. 이모텟이 최초 침투에 성공해 트릭봇을 설치하고, 트릭봇은 크리덴셜을 훔쳐내고 횡적으로 움직이면서 공격의 활로를 넓히면, 류크가 들어와 최종 공격을 실시하는 식이다.

레드 카나리아의 공동 창립자인 케이스 맥카몬(Keith McCammon)은 “2019년 가장 빈번하게 사용됐던 페이로드는 단연 랜섬웨어”라며 “많이 사용되면서 전략에 큰 변화가 생겼다”고 설명한다. “다짜고짜 시스템을 못 쓰게 만들고 돈을 요구하는 게 아니라, 찬찬히 정찰을 하며 돈이 될 만한 것들을 미리 다 확보한 후, 더 빼앗을 게 없으면 랜섬웨어로 협박해 추가 수익까지 긁어모으는 방식으로 바뀌었습니다.”

한편 공격 기법이라는 측면에서 2019년의 유행을 주도한 건 ‘프로세스 주입’이었다. 레드 카나리아가 분석한 모든 위협들 중 17%가 프로세스 주입을 통해 발생했다고 한다. 트릭봇과 이모텟과 유행하면서, 이 기법이 유행한 것으로 보인다고 레드 카나리아는 분석했다. 프로세스 주입을 활용할 경우 공격자들은 정상적인 프로세스가 실행되는 것처럼 시스템을 속인 상태로 악성 행위를 할 수 있게 된다. 웜 유형의 공격으로 분류된다.

그 다음으로 인기가 높았던 공격 기법은 ‘작업 스케줄 조작’이었다. 프로세스 주입과 마찬가지로 트릭봇에서 자주 보이는 패턴이다. 피해자의 시스템에 있는 스케줄러를 조작해 악성 작업이 저절로 시작되도록 하는 것이다. 공격 지속성 확보를 위해 자주 활용되며, 전체 위협의 13%, 기업을 노리는 위협의 33%에서 나타난다. 원격에서도 익스플로잇이 가능하다는 장점을 가지고 있다.

스케줄러 조작과 엮여 있는 건 윈도우 어드민 셰어(Windows Admin Shares)다. 정상적인 원격 관리자 도구인데, 전체 위협의 13%, 기업을 노리는 위협의 28%에 등장하고 있다. 이터널블루(EternalBlue)로 유명한 ‘웜 방식의 공격(위협이 자가 복제하면서 퍼지는 유형의 공격)’에 주로 활용되는 것으로 분석됐다. “웜 공격이 유행하면서 윈도우 어드민 셰어가 10위에서 3위로 올라왔습니다.”

“최고로 인기가 높았던 공격 기술 10개 중 8개가 플랫폼의 정상 기능을 악용 및 남용하는 것”이라고 맥카몬은 설명한다. “이런 공격의 가장 큰 장점은, 얼른 보기에 정상처럼 보이기 때문에 탐지가 무척 어렵다는 것입니다. 결국 공격자들은 알람을 울려대는 공격 무기 대신 우리가 흔히 사용하는 도구로 공격하는 법을 익힌 것입니다.”

맥카몬은 이런 유행이 더 정교하게 다듬어져서 한참 더 나타날 것이라고 예상한다. “이전부터 이런 식의 전략이 드문드문 모습을 드러냈습니다. 그러다가 2019년에는 정점을 찍은 것이죠. 이제 더 정교하게 다듬는 일만 남았습니다.” 그러면서 맥카몬은 파워셸, WMI 등이 공격에 활용되는 일이 눈에 띄게 증가할 것이라고 말한다.

“기업들이 사업 활동을 위해 사용하는 각종 기능들을 공격자들이 악용한다는 건 대단히 영리한 것입니다. 이런 기능들이 악용된다고 하더라도 기업들은 사업 활동을 영위하기 위해 어쩔 수 없이 계속 유지할 수밖에 없거든요. 없어지지 않을, 안정적인 공격 통로가 확보된 것이죠.”

3줄 요약
1. 2019년 공격자들의 활동을 요약하면 ‘정상 도구를 공격에 활용하는 것.’
2. 정상 프로세스에 악성 행위 주입하거나, 작업 스케줄러 조작해 지속성 확보하는 데 도가 틈.
3. 이러한 전략의 장점은 눈에 잘 안 띈다는 것과 공격 통로가 사라지지 않는다는 것.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)