보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

사이버 공격자들이 자신을 감추는 방법 몇 가지

  |  입력 : 2021-06-08 09:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
파일·프로세스·명령제어 서버 도메인 위조 등으로 보안담당자 속여
해킹으로 유출한 코드사인 인증서 악용해 정상 소프트웨어인 것처럼 백신 우회하기도


[보안뉴스 이상우 기자] 사이버 공격자는 자신의 공격 방식이 노출되지 않길 바라면서 새로운 기법을 개발한다. 한 번 노출된 방식은 기업의 보안담당자나 위협 인텔리전스 기업에 의해 탐지 및 차단되며, 이러한 데이터는 전세계 보안전문 기업에 확산돼 공격자는 더 이상 자신이 개발한 도구를 사용할 수 없게 된다.

[이미지=utoimage]


이는 공격자가 기업의 PC나 시스템에 ‘무사히’ 침투한 뒤에도 마찬가지다. 자신이 설치한 악성코드가 지나치게 눈에 띄는 활동을 한다면 모니터링 중인 보안 담당자는 물론, 엔드포인트 보안 솔루션 등에도 쉽게 탐지된다. 바꿔 말하면, 보안 담당자나 솔루션에 걸리지 않은 악성코드는 오랜 기간 정체를 숨기며 정보를 유출하거나 명령제어(C&C) 서버와 통신하면서 공격자가 내린 추가 명령을 수행할 수도 있다.

공격자는 ‘보안’의 눈을 피하기 위해 다양한 방법을 사용한다. 가령, 백신 등 보안 프로그램 탐지 우회를 위해 코드사인 인증서를 사용하기도 하며, 실행되는 프로세스명을 사칭해 보안 담당자의 감시망을 벗어난다. 뿐만 아니라 이러한 공격 활동을 펼친 후에는 사용했던 악성코드 및 이벤트 로그까지 삭제하며 흔적을 지우는 등 치밀함을 보이고 있다.

한국인터넷진흥원이 최근 발표한 액티브 디렉토리(AD) 환경을 악용한 공격 전술 분석 자료를 살펴보면, 우선 공격자는 자신의 존재와 현재 공격 중이라는 사실을 들키지 않기 위해 악성코드 프로세스 이름을 정상 프로그램으로 위장하는 방법을 선택했다.

▲정상 프로그램이나 윈도우 소프트웨어를 위장하는 악성코드[자료=한국인터넷진흥원]


가령, 공격자는 라이브러리 파일(DLL)이나 실행파일(EXE)의 이름을 윈도우 서버 업데이트 서비스(wsus)나 시스템 정보(sysinfo) 혹은 로컬서비스(localserv) 등으로 위장한 뒤, 정상적인 경로(어도비, 인텔, HP 등)에 이를 숨겼다. 만약 보안 담당자가 이러한 프로세스가 실행되는 것을 눈치채지 못하고, 시그니처 기반의 안티 바이러스 등에도 해당 정보가 등록돼 있지 않다면 공격자는 이러한 악성코드를 계속해서 사용할 수 있게 된다.

이와 유사한 사례로 지난해에는 북한의 사이버 공격 조직 ‘탈륨’이 미국 대선과 관련한 이슈를 악용해 악성코드가 담긴 HWP 문서를 유포한 바 있으며, 이 가운데 서버로 데이터를 전송하는 프로세스를 국내 보안기업의 업데이트로 위장하는 모습을 보였다. 뿐만 아니라 이들이 주로 사용하는 명령제어 서버를 분석한 결과 udaum[.]net, dauaum[.]net, c-naver[.]com 처럼 타이포스쿼팅 기법을 이용한 도메인을 사용하는 사례도 발견됐다.

공격자는 백신이나 윈도우 운영체제의 탐지 및 차단을 피하기 위해 코드사인(코드서명) 인증서를 악용하기도 한다. 일반적으로 소프트웨어는 외부 인증기관으로부터 코드사인 인증서를 받고, 이를 첨부해 소프트웨어를 배포한다. 운영체제 및 백신 소프트웨어는 이러한 인증서를 통해 해당 소프트웨어가 제3자에 의해 변조 및 손상되지 않았음을 확인한다.

이러한 코드사인 인증서가 해킹으로 유출되거나 위조될 경우 사이버 공격자는 자신이 만든 악성코드를 아무런 방해 없이 사용자 PC에 설치할 수 있다. 실제로 지난해 국내에서 발생한 베라포트 악용 공급망 공격에서 사이버 공격자는 보안 소프트웨어 설치 파일과 코드사인 인증서를 악용했다. 보안 소프트웨어의 코드를 변조한 뒤 코드사인 인증서로 이를 정상인 것처럼 위장하고, 소프트웨어 통합 배포 도구인 베라포트를 악용해 사용자 PC에 침투하려는 시도다. 이러한 시도는 국내뿐만 아니라 최근 전 세계를 휘저었던 솔라윈즈 사태에서도 발생한 바 있다.

▲사이버 공격자들은 백신이나 윈도우 운영체제의 탐지 및 차단을 피하기 위해 코드사인 인증서를 악용하기도 한다[자료=한국인터넷진흥원]


악성코드가 PC에 설치되는 과정에서, 만약 동일한 악성코드가 설치되어 있다면 기존 악성코드를 삭제하며 이를 통해 흔적을 지우기도 한다. 뿐만 아니라 대부분의 악성코드는 초기 명령이 서비스 설치를 통해 이뤄지기 때문에 이러한 명령어가 이벤트 로그에 남을 수 있다. 이에 설치된 악성코드는 우선 공격자가 침입했다는 흔적을 지우기 위해 이벤트 로그를 삭제하기도 한다.

많은 사이버 공격자가 탐지를 피하기 위해 실행파일 대신 정상적인 파일(DOC나 HWP 등 문서)을 이용하는 파일리스 공격을 시도하며, 이러한 문서는 이메일 피싱을 통해 전파된다. 만약 사용자가 무심코 이러한 문서를 실행하고, 매크로 등 콘텐츠 실행을 허용한다면 이들은 윈도우 인스톨러(msiexec)의 기능을 악용해 명령제어 서버에서 추가적인 악성코드를 내려받아 설치할 수 있다. 윈도우에 의해 디지털 서명된 msiexec를 사용하여 악성코드를 실행한다면 응용프로그램 제어 보안 프로그램을 우회할 수 있기 때문이다.

▲사이버 공격자들은 공격 활동을 펼친 후에는 악성코드 및 이벤트 로그까지 삭제하며 흔적을 지우는 치밀함을 보인다[자료=한국인터넷진흥원]


자신이 사용한 악성코드 자체를 난독화하는 기법도 있다. 이는 리버스 엔지니어링을 통해 유포지 및 명령제어 서버 주소를 숨기고, 백신이나 방화벽 등의 탐지를 피하기 위한 방법 중 하나다. 특히, 보안전문가가 악성파일을 입수하더라도 어떤 악성행위를 하는지, 누구의 공격인지 등을 파악하는 데 많은 시간이 걸리도록 한다. 또한, 공격 실행 시에는 복호화 루틴을 통해 난독화된 악성코드 리소스를 읽어와 평문으로 만들고, 공격을 수행하는 방식을 사용한다.

최근 보안인식이 높아지고, 보안 솔루션 역시 지능화·자동화되면서 이를 회피하기 위한 공격자의 악성코드 제작 기술과 기법 역시 점차 정교해지고 있다. 기업이 아무리 많은 보안 솔루션을 도입하더라도 틈은 언제나 존재한다. 특히, 이메일 첨부파일이나 URL처럼 공격자와 사용자가 직접 만날 수 있는 접점을 완벽하게 차단하는 것은 불가능에 가깝다. 이 때문에 주기적인 교육을 통해 임직원의 보안의식을 높이고, 기본적인 보안수칙을 반드시 준수하도록 알리는 것은 그 어떤 보안 솔루션보다도 효과적인 보안대책이 될 수 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북