보이지 않는 공격: 파일 없는 악성코드의 작동 방식 (그리고 Emsisoft가 이를 탐지하는 이유)

보이지 않는 공격: 파일 없는 악성코드의 작동 방식 (그리고 Emsisoft가 이를 탐지하는 이유)

보이지 않는 공격: 파일 없는 악성코드의 작동 방식 (그리고 Emsisoft가 이를 탐지하는 이유)

 

 

사이버 범죄자들이 개발하고 배포하는 악성 소프트웨어의 위협은 이미 오래전부터 우리 삶의 일부였으며, 대부분의 사용자는 컴퓨터를 보호하기 위해 백신 소프트웨어를 사용하고 있을 것입니다. 하지만 파일 없는 악성 소프트웨어란 무엇일까요? 파일이 없다면 어떤 일을 하며, 어떻게 탐지하고, 내 컴퓨터를 어떻게 보호할 수 있을까요?

 

 

파일리스 멀웨어란 무엇인가요?

파일리스 멀웨어는 디스크에 내용을 기록하지 않고 작동하는 공격 기법을 활용하여 시그니처 기반 안티바이러스 도구에 의한 탐지를 회피합니다. 이러한 멀웨어는 종종 PowerShell 및 Windows에 포함된 기타 도구와 같은 정상적인 시스템 바이너리(LOLBins)를 사용하여 메모리에 직접 상주합니다 . 예를 들면 다음과 같습니다.

• * MSHTA
• * WScript/CScript
• * regsvr32
• * rundll32

 

이러한 도구들은 운영체제에 기본적으로 내장되어 있고 설계상 신뢰할 수 있기 때문에 공격자는 정상적인 시스템 활동에 섞여들어 흔적을 거의 남기지 않고 침투할 수 있습니다.

 

모든 것이 그렇듯 다양한 변형이 존재하며, 일부 악성 프로그램은 Windows 레지스트리, WMI 또는 작업 스케줄러 내에 인코딩된 명령이나 스크립트 로더를 저장하는 방식으로 지속성을 확보할 수 있습니다. 이러한 메커니즘을 통해 악성 프로그램은 기존의 실행 파일을 생성하지 않고도 시작 시 인라인 스크립트 또는 LOLBin 기반 로더를 자동으로 다시 실행할 수 있습니다.

 

 

파일리스 악성코드는 어떻게 침투하는가? (최초 접근)

그렇다면 파일 없는 악성코드는 어떻게 시스템에 침투할까요? 초기 접근은 이름에서 알 수 있듯이 권한이 없는 사람이 컴퓨터에 침입하는 경로를 설명합니다. 침입 경로는 다음과 같을 수 있습니다.

 

1. 1) 브라우저, 문서 또는 애플리케이션을 악용하여 페이로드를 메모리에 직접 로드하는 셸코드를 실행하는 행위.
2.  
3. 2) 자격 증명 스터핑은 흔히 사용되는 또 다른 공격 기법으로, 데이터 유출을 통해 입수한 사용자 이름과 비밀번호 조합을 이용하여 RDP 서버와 같은 인터넷 연결 시스템에 로그인하는 방식입니다. 공격자들은 많은 사람들이 여러 온라인 서비스에서 동일한 자격 증명을 재사용한다는 점을 악용하여, 로그인에 성공하면 파일 없는 악성 소프트웨어를 실행합니다.
4.  
5. 3) 피싱은 공격자가 회사나 개인과 같은 신뢰할 수 있는 출처를 사칭하여 피해자가 악성 파일을 열도록 유도하는 사회공학적 기법 의 일종입니다 . 이러한 악성 파일은 이메일 첨부 파일, 첨부된 Microsoft Word 또는 Excel 파일의 링크, 가짜 앱이나 업데이트 다운로드 등이 될 수 있습니다.

 

다음 단계: 전술 및 기법

 

시스템이 성공적으로 침입되면 공격자는 공격을 계속 진행할 수 있습니다. 하지만 악성 소프트웨어를 배포하는 대신, 기존 Windows 리소스를 이용하여 목표를 달성합니다. 이러한 도구들은 신뢰할 수 있는 것들이며 시스템에 이미 존재할 가능성이 높습니다.

 

개별 사이버 범죄자의 구체적인 공격 계획은 다양하지만, 그들이 사용하는 전술은 MITRE ATT&CK 지식 기반에 잘 정리되어 있고 문서화되어 있습니다. 예를 들면 다음과 같습니다.

 

• * 탐색 , 즉 사용자 계정, 권한, 실행 중인 프로세스, 네트워크 등을 이해하기 위해 살펴보는 활동.
•  
• * 자격 증명 접근 , 즉 계정 이름 및 암호와 같은 합법적인 자격 증명을 탈취하여 추가 시스템을 공격하고 탐지를 더욱 어렵게 만드는 행위.
•  
• * 목표 달성에 필요한 권한을 얻기 위해 권한 상승을 시도하는 것
•  
• * 측면 이동 , 즉 추가 시스템을 탐색하고 무력화하는 행위
•  
• * 지속성 , 즉 장기간에 걸쳐 접근을 유지할 수 있는 수단을 확립하십시오.
•  
• * 감염된 시스템과 원격으로 통신하고 조작하기 위해 명령 및 제어(C2) 시스템을 구축합니다 .

 

파일리스 악성코드를 탐지하기 어려운 이유는 무엇일까요?

 

시스템에 접근한 후 파일을 사용하지 않는 공격 방식을 택하는 이유는 무엇일까요?

 

간단히 말해, 탐지를 피하기 위해서입니다. 탐지되지 않은 사이버 범죄자는 동일한 계정 정보를 사용하여 며칠 또는 몇 주에 걸쳐 시스템에 다시 접근하면서 시스템에 대한 정보를 수집하고 피해를 극대화할 수 있습니다. 이 기간 동안 악성코드가 배포되었다면 안티바이러스 소프트웨어에 의해 탐지될 것이고, 관련 파일은 포렌식 증거를 남길 것입니다. 하지만 파일 없는 악성코드는 이러한 흔적을 최소화하며, 파일 없는 공격의 증거는 시스템 재부팅이나 프로세스 종료 시 사라져 흔적을 남기지 않을 수도 있습니다.

 

따라서 공격자의 후속 활동은 명백히 악의적인 의도가 없어 탐지되지 않을 수 있습니다.

 

 

Emsisoft는 파일리스 공격을 어떻게 탐지하는가?

앞서 언급했듯이, 침해된 시스템을 조사하고 준비하는 데 사용되는 도구는 관리자가 일상적으로 사용하는 도구와 동일합니다. 이러한 이유로 LOLBin(Living Off the Land Binary, 지상 바이너리 공격)이라는 용어가 사용됩니다. 공격자가 수행하는 단계가 이러한 합법적인 도구의 합법적인 명령인 경우가 많기 때문에 탐지가 어렵습니다.

 

어려운 과제이긴 하지만, 사이버 방어는 악의적인 공격자가 Windows 도구를 사용하는 것을 탐지하도록 발전해 왔습니다. 엔드포인트 탐지 및 대응(EDR) 도구는 악의적인 단계가 실행되기 전에도 무단 액세스의 징후를 찾아낼 수 있습니다. 핵심은 특정 활동의 맥락을 이해하여 추가 조사가 필요한지 여부를 판단하는 것입니다.

 

시간이 지남에 따라 정상적인 이벤트가 무엇인지 기준선을 설정하는 것은 공격 주기 초기에 이를 식별하고 대응할 수 있는 첫 번째 단계입니다. LOLBins를 사용하는 경우에도 악의적인 행위는 명백하게 드러나므로, 어떤 프로세스든 파일을 대량으로 삭제하거나 암호화하려고 시도하면 Emsisoft Behavior Blocker가 개입하여 이를 차단합니다.

 

 

마무리 생각

파일리스 멀웨어는 기존 탐지 방식을 회피하도록 설계되었지만, 적절한 도구를 사용하면 식별 가능한 행동 흔적을 남깁니다. 조직은 파일뿐 아니라 프로세스 활동에 집중함으로써 합법적인 도구의 오용을 조기에 감지하고 이러한 은밀한 공격의 영향을 줄일 수 있습니다.

 

EMSISOFT는 고가의 EDR 제품과 동일한 성능과 기능을 중소기업에서도 가격부담없이 사용할 수 있도록 제공하고 있는 합리적인 EDR 안티랜섬웨어 보안 소프트웨어입니다. 기존 백신의 한계를 넘어 EDR까지 어렵지 않게 고도의 보안을 여러분의 PC와 회사에 도입하실 수 있습니다. 지금 테스트도 진행해 보세요. 

 

감사합니다.

 

EMSISOFT 

https://www.emsisoft.co.kr

EMSISOFT 안티랜섬웨어 & EDR - 랜섬웨어 감염 예방