파이어아이, 파일 기반의 샌드박스 우회 기법 분석 보고서 발표

[보안뉴스 정규문] 지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.com)는 진화된 악성코드의 다양한 샌드박스 우회 전술에 대한 정보를 제공하는 ‘파일기반의 샌드박스를 쉽게 회피하는 악성코드 기법(Hot Knives Through Butter: How Malware Evades Automated File-based Sandboxes)’보고서를 발표했다고 밝혔다.

이번 보고서는 진화된 악성코드가 시그니처 기반의 방어를 회피하는데 사용하고 있는 다양한 우회 기법에 대한 분석 결과를 제공한다. 오늘날 보다 정교하고 다양해지고 있는 멀웨어는 단일-플로우나 파일 기반의 샌드박스 솔루션을 무력하게 만들며, 여러 기법들을 사용하여 잠복 혹은 복제될 수 있고 호스트 보호를 해제할 수 있다.

연구팀의 수석 이사이자 이번 보고서의 공동 저자인 젱 부(Zheng Bu)는 “오늘날의 위협 동향에 있어 전통적인 샌드박스 솔루션은 갈수록 정교해지고 있는 공격에 더 이상 대응하지 못하고 있다”라며, “지능화된 멀웨어는 언제 가상 환경이 실행 중인지를 판단하고, 그에 따라 그들의 악성 행위를 멈춰 탐지를 피할 수 있는 방식으로 점차 진화해 가고 있다”라고 말했다.

이어, “이에 효과적인 탐지를 위해서는 행동 기반의 문맥 분석 기법과 멀티 플로우 분석을 통한 각 공격 단계간의 상관관계 분석이 중요하다. 파이어아이의 연구팀 역시 이러한 분석 과정을 통해 이번 보고서에 설명된 악성 코드 샘플을 확인할 수 있었다.”라고 밝혔다.

악성코드의 새로운 우회 기법을 밝혀내기 위해 자사의 멀티-벡터 가상 실행(MVX) 엔진의 비-시그니처에 기반하는 동적 실시간 탐지 기능을 활용했다. 이번 보고서를 통해 악성코드 개발자가 파일 기반의 샌드박스를 우회하기 위해 사용하는 방법들에 대해 설명했으며 이는 일반적으로 아래 범주 중 하나 이상에 속하는 것으로 나타났다.

자동화된 파일 기반 샌드박스를 우회하는 악성코드 기법

△ 휴먼 인터랙션(human interaction) 사용자의 움직임이 없으면 실제 사용자 환경이 아니라고 판단하는 기법으로, 마우스나 키보드 움직임 등 사용자의 징후를 감지할 때까지 악성 코드가 휴면 상태로 존재해 가상 환경에서 악성코드를 탐지할 수 없도록 하는 방식이다. 2012년 12월 발견된 악성코드인 ‘UpClicker Trojan’은 사용자의 마우스 좌측 버튼 클릭이 감지된 이후에만 악성 CnC 서버와의 커뮤니케이션을 만들어내는 기법을 이용.

△ 설정(Configuration) 샌드박스는 그들이 보호하고 있는 실제 사용자의 컴퓨터 환경과 유사한 환경을 구축하려고 노력하고 있다. 그러나 대부분의 샌드박스는 다음 파일로 이동하기 위해 정해진 몇 분 동안만 파일을 모니터링하기 때문에, 공격자는 단순히 몇 분만 행위를 지연해 모니터링 프로세스가 완료된 후 샌드박스 솔루션을 우회.

△ 환경(Environment) 진화된 악성코드들은 특정한 버전의 OS와 응용 프로그램에서만 존재하는 취약점(Exploit)을 공격하기도 한다. 만약 샌드박스에서 미리 정의된 구성이 이러한 다양한 OS와 응용 프로그램의 다양한 조합을 갖추지 못한다면, 악성코드들은 가상환경 기반 탐지 솔루션에 탐지되지 않고 내부 사용자를 감염시킬 수 있다.

△ 전통적인 VMware 회피 기술(Classic VMware Evasion Techniques) VMware는 전 세계적으로 가장 많이 쓰이고 있는 가상환경을 구성하는 솔루션으로, 특정 구성을 확인하는 것이 용이하기 때문에 악성코드 개발자들에게 악용되기 쉽다. 예를 들면, 악성 코드를 실행하기 전에 VM웨어 서비스에서 어떻게 작용하는지 확인할 수 있어, 악성코드 개발자들이 악성코드가 VMware 기반에서는 악성행위를 하지 않아 탐지되지 않도록 만드는 기법이다.

지난 6.25 DDOS 사태와 같은 경우에도 가상 환경에서의 샌드박스의 분석을 어렵게 하기 위해 공격자가 Themida packing program 을 통해 악성 코드를 packing 해서 공격에 성공 하였고, 이로 인해 대다수의 보안 업체가 이 악성 코드를 분석 하는데 많은 시간이 소요 되었다. 반면 파이어아이는 자체 개발한 자사의 멀티 벡터 가상 실행 엔진을 통해 이러한 악성 코드를 수분 내에 분석 하였으며 고객사 및 관련 기관에 빠른 응대가 가능 하도록 전달 하였다.

전수홍 지사장은 “최근 진화하고 있는 지능형 악성코드는 누구나 쉽게 접할 수 있는 범용 가상화 제품 기반의 탐지 기술을 다양한 방법으로 우회하고 있다”라며, “악성코드 제작자가 파일 기반의 샌드박스에서 탐지를 우회하기 위해 사용하는 여러 기법들을 이해하는 것은 보안 전문가들이 잠재되어 있는 지능형 지속 위협(APT)에 대해 보다 잘 식별하고 대비할 수 있도록 도움을 줄 것”이라고 말했다.

[정규문 기자(kmj@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>