자바스크립트로 악성 페이로드를 난독화시키는 기술이 해커들 사이에서 유행하고 있다. 이를 통해 각종 탐지 기술을 우회하려는 것이다. 난독화는 간단한데, 분석에는 많은 시간이 소요된다. 문제는 바로 이 ‘시간 지연.’ 공격자들은 설사 우회하지 못하더라도 괜찮다. 이 난독화 기술 때문에 시간을 충분히 벌 수 있기 때문이다.
[보안뉴스 문가용 기자] 사이버 범죄자들의 자바스크립트 난독화 사랑이 식을 줄을 모른다. 방어 솔루션들을 피해가기 위해 공격자들은 계속해서 이 자바스크립트 난독화 기술을 활용하는 중이다. 물론 자바스크립트를 활용한 난독화를 탐지하는 기술이 이미 존재한다. 그러나 합법적이고 정상적인 목적에 따라 자바스크립트 난독화가 사용되는 경우도 있어 무조건 이 탐지 기술을 활용하는 것도 정답은 아니다.
[이미지 = utoimage]
보안 업체 아카마이(Akamai)의 수석 연구원인 오르 카츠(Or Katz)는 자바스크립트 난독화 때문에 곤란을 겪는 수많은 업체와 방어 담당자들을 위해 자바스크립트 패커 템플릿을 탐지하는 방법을 하나 개발했다고 한다. 먼저 그는 3만여 개의 자바스크립트 파일을 수집하고 분석하는 일부터 시작했다. 악성 파일이 1만여 개 정도 섞여 있었는데, 그 중 26%에서 몇 가지 패턴이 발견되었다. 좀 더 연구를 이어가니 그 패턴이 멀웨어들 사이에서 광범위하게 나타난다는 걸 알 수 있었다고 한다. “멀웨어 드로퍼, 피싱 페이지, 암호화폐 채굴 멀웨어, 메이지카트 멀웨어까지 이 패턴들과 매칭이 됐습니다.”
자바스크립트를 가지고 멀웨어를 리패키징함으로써 탐지와 분석, 디버깅을 어렵게 만드는 기술은 사이버 범죄자 입장에서 매우 쉽고 간단하다. 그런 서비스를 제공하는 상인들이 인터넷에 많기 때문이다. “소스코드만 주면 자동으로 난독화 코드를 써서 리패키징 해 주는 서비스들이 있어요. 아주 간단하고 쉽죠. 반면 보안의 입장에서 이는 커다란 골칫거리가 됩니다. 텍스트 기반도 아니고 해시 기반도 아닌 파일이 완성되는 것이기 때문에 쉽게 탐지하거나 분석하는 게 안 되거든요. 훨씬 고난이도의 분석력을 발휘해야 합니다.”
카츠는 아직 자신이 개발한 탐지 도구에 대해 상세히 공개하지는 않고 있다. 한 보안 행사에서 최초로 공개하기로 약속했기 때문이다. 그래서 지금은 회사 블로그를 통해 살짝만 공개하고 있는데, 자신이 개발한 탐지 도구를 사용하면 “완연히 달라 보이는 페이로드 샘플들이라도 상당히 비슷해 보이게 된다”고 설명했다. 즉 현재 공격자들이 사용하는 난독화 기술에 허점이 있고, 이를 파고들면 난독화 때문에 속아 넘어가는 일이 줄어든다는 뜻.
멀웨어를 리패킹하는 건 새로운 기술이 아니다. 하지만 그렇기 때문에 간과되는 경향이 있다. “물론 간과해도 될 정도로 간단한 리패키징 기술도 있습니다. 전혀 효력이 없는 기술들이죠. 그럼에도 보안 업계는 이 리패키징 기술을 계속 주시해야 합니다. 오래된 기술임에도 유효할 뿐만 아니라 여전히 위력적이기 때문입니다. 리패키징을 통한 난독화를 함으로써 공격자들은 탐지를 회피할 수도 있게 되지만, 그게 아니더라도 추가 공격을 위한 시간을 버는 데 성공합니다. 자바스크립트 난독화는 풀어내는 데 많은 시간이 걸리기 때문이죠 사실 공격자들은 시간 벌기용으로 이걸 더 많이 활용하기도 합니다.”
공격자들이 시간을 더 벌 수 있다는 건 그 자체로 커다란 위협이라고 카츠는 강조한다. “탐지 우회는 실패할 수도 있어요. 100% 탐지 솔루션이 없는 것처럼 100% 우회를 보장하는 도구도 없습니다. 그래서 보안도 요즘 탐지와 대응 시간을 줄이는 걸 더 큰 목표로 삼고 있죠. 공격자들도 마찬가지입니다. 일단 최대한 시간이 걸리는 물건을 미끼로 던져주고, 자신들은 그 시간 동안 더 많은 정보를 캐내거나 더 많은 암호화폐를 채굴하는 겁니다. 보안 담당자와 해커들의 싸움은 이제 시간 싸움이나 다름이 없다는 걸 공격자들도 알고 있는 겁니다.”
자바스크립트 난독화 기술의 ‘시간 끌기’ 본질을 파악한 후 카츠는 탐지 도구의 개발에 착수했다고 한다. 아직 행사 주최 측과의 약속 때문에 상세한 내용을 공개할 수는 없지만 “난독화를 가지고 시간을 끌려는 공격자들의 목적을 최소화시킬 것”이라고 그는 설명한다. 그러나 모든 보안 솔루션이 그렇듯 “이것 하나로 모든 것이 해결되는 건 아니”라고 강조하기도 했다.
3줄 요약
1. 자바스크립트 난독화 기술, 사이버 범죄자들 사이에서 인기 높음.
2. 탐지 기술을 우회하는 게 주 사용 목적이지만 사실은 탐지와 분석에 시간이 끌린다는 게 더 치명적.
3. 보안 담당자와 해커 간의 싸움은 바야흐로 ‘시간 싸움.’
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 사이버 범죄자들의 자바스크립트 난독화 사랑이 식을 줄을 모른다. 방어 솔루션들을 피해가기 위해 공격자들은 계속해서 이 자바스크립트 난독화 기술을 활용하는 중이다. 물론 자바스크립트를 활용한 난독화를 탐지하는 기술이 이미 존재한다. 그러나 합법적이고 정상적인 목적에 따라 자바스크립트 난독화가 사용되는 경우도 있어 무조건 이 탐지 기술을 활용하는 것도 정답은 아니다.
[이미지 = utoimage]
보안 업체 아카마이(Akamai)의 수석 연구원인 오르 카츠(Or Katz)는 자바스크립트 난독화 때문에 곤란을 겪는 수많은 업체와 방어 담당자들을 위해 자바스크립트 패커 템플릿을 탐지하는 방법을 하나 개발했다고 한다. 먼저 그는 3만여 개의 자바스크립트 파일을 수집하고 분석하는 일부터 시작했다. 악성 파일이 1만여 개 정도 섞여 있었는데, 그 중 26%에서 몇 가지 패턴이 발견되었다. 좀 더 연구를 이어가니 그 패턴이 멀웨어들 사이에서 광범위하게 나타난다는 걸 알 수 있었다고 한다. “멀웨어 드로퍼, 피싱 페이지, 암호화폐 채굴 멀웨어, 메이지카트 멀웨어까지 이 패턴들과 매칭이 됐습니다.”
자바스크립트를 가지고 멀웨어를 리패키징함으로써 탐지와 분석, 디버깅을 어렵게 만드는 기술은 사이버 범죄자 입장에서 매우 쉽고 간단하다. 그런 서비스를 제공하는 상인들이 인터넷에 많기 때문이다. “소스코드만 주면 자동으로 난독화 코드를 써서 리패키징 해 주는 서비스들이 있어요. 아주 간단하고 쉽죠. 반면 보안의 입장에서 이는 커다란 골칫거리가 됩니다. 텍스트 기반도 아니고 해시 기반도 아닌 파일이 완성되는 것이기 때문에 쉽게 탐지하거나 분석하는 게 안 되거든요. 훨씬 고난이도의 분석력을 발휘해야 합니다.”
카츠는 아직 자신이 개발한 탐지 도구에 대해 상세히 공개하지는 않고 있다. 한 보안 행사에서 최초로 공개하기로 약속했기 때문이다. 그래서 지금은 회사 블로그를 통해 살짝만 공개하고 있는데, 자신이 개발한 탐지 도구를 사용하면 “완연히 달라 보이는 페이로드 샘플들이라도 상당히 비슷해 보이게 된다”고 설명했다. 즉 현재 공격자들이 사용하는 난독화 기술에 허점이 있고, 이를 파고들면 난독화 때문에 속아 넘어가는 일이 줄어든다는 뜻.
멀웨어를 리패킹하는 건 새로운 기술이 아니다. 하지만 그렇기 때문에 간과되는 경향이 있다. “물론 간과해도 될 정도로 간단한 리패키징 기술도 있습니다. 전혀 효력이 없는 기술들이죠. 그럼에도 보안 업계는 이 리패키징 기술을 계속 주시해야 합니다. 오래된 기술임에도 유효할 뿐만 아니라 여전히 위력적이기 때문입니다. 리패키징을 통한 난독화를 함으로써 공격자들은 탐지를 회피할 수도 있게 되지만, 그게 아니더라도 추가 공격을 위한 시간을 버는 데 성공합니다. 자바스크립트 난독화는 풀어내는 데 많은 시간이 걸리기 때문이죠 사실 공격자들은 시간 벌기용으로 이걸 더 많이 활용하기도 합니다.”
공격자들이 시간을 더 벌 수 있다는 건 그 자체로 커다란 위협이라고 카츠는 강조한다. “탐지 우회는 실패할 수도 있어요. 100% 탐지 솔루션이 없는 것처럼 100% 우회를 보장하는 도구도 없습니다. 그래서 보안도 요즘 탐지와 대응 시간을 줄이는 걸 더 큰 목표로 삼고 있죠. 공격자들도 마찬가지입니다. 일단 최대한 시간이 걸리는 물건을 미끼로 던져주고, 자신들은 그 시간 동안 더 많은 정보를 캐내거나 더 많은 암호화폐를 채굴하는 겁니다. 보안 담당자와 해커들의 싸움은 이제 시간 싸움이나 다름이 없다는 걸 공격자들도 알고 있는 겁니다.”
자바스크립트 난독화 기술의 ‘시간 끌기’ 본질을 파악한 후 카츠는 탐지 도구의 개발에 착수했다고 한다. 아직 행사 주최 측과의 약속 때문에 상세한 내용을 공개할 수는 없지만 “난독화를 가지고 시간을 끌려는 공격자들의 목적을 최소화시킬 것”이라고 그는 설명한다. 그러나 모든 보안 솔루션이 그렇듯 “이것 하나로 모든 것이 해결되는 건 아니”라고 강조하기도 했다.
3줄 요약
1. 자바스크립트 난독화 기술, 사이버 범죄자들 사이에서 인기 높음.
2. 탐지 기술을 우회하는 게 주 사용 목적이지만 사실은 탐지와 분석에 시간이 끌린다는 게 더 치명적.
3. 보안 담당자와 해커 간의 싸움은 바야흐로 ‘시간 싸움.’
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
