애드웨어에 고급 우회 기술 탑재되기 시작
랜섬웨어 등 부가적인 악성 페이로드로 2차 타격... 피해 커져
[보안뉴스 문가용] 특정 광고만 노출시키는 멀웨어인 애드웨어의 제작자들이 점점 더 교활해지고 있다고 보안 전문업체인 카본 블랙(Carbon Black)이 발표했다. 유명 애드웨어 변종들이 오로라 작전(Operation Aurora)을 포함한 국가 정보기관 및 국가 후원 해킹 조직의 공격자들이 사용하는 우회 기능을 탑재하기 시작했다는 내용이었다.
카본 블랙의 컨설팅팀을 이끌고 있는 벤자민 테데스코(Benjamin Tedesco)는 최근 한 고객과의 상담 중 있었던 일을 다음과 같이 서술했다. “일단 고객의 설명을 듣고 있자니 오로라 작전이 생각났습니다. 오로라만의 명령줄과 인수가 발견되었기 때문입니다. cmdline:cop And cmdline:/b가 바로 그것입니다. 하지만 확신하기엔 이르니 더 파보자고 했죠.”
그래서 더 깊이 파고들었다. “프로세스 트리(process tree)를 거슬러 올라가면서 보니 이런 고급 기술을 부리고 있는 부모 프로세스(parent process)가 평범한 애드웨어더라고요. 그것도 바이러스 토탈(Virus Total)이 여러 번 경고했던 흔한 애드웨어요. 이해가 가지 않을 정도로 이상한 현상이었습니다.”
잘 이해가 가지 않아서 멍한 가운데 비슷한 상담 의뢰가 그날에만 두 건 더 있었다고 벤자민은 설명한다. 비슷한 감염 현상과 비슷한 이상함. 이에 대해 블랙 카본 고객 커뮤니티에 자세히 써서 올렸더니 ‘나도 그런 현상을 겪고 있다’는 문의가 물밀 듯이 쏟아져 들어왔다. “산업별로 구분이 가지도 않고, 그렇다고 기업 규모에 따른 패턴이 발견되지도 않았어요. 말 그대로 무작위 공격이 이뤄지고 있었던 것이죠.”
현재까지 분석된 바, 오로라 공격에서 사용되던 고차원 탐지 우회 기술을 사용하는 애드웨어들은 에니그마(Enigma)라는 랜섬웨어 변종을 운반하는 데에 사용된 것으로 추정된다. “뭔가 다른 목적이 있다면 애드웨어 따위가 이렇게 고차원적인 기술을 장착하고 다시 나타난 것이 이해가 갑니다. 아마 이 다른 목적에 랜섬웨어만 있는 건 아닐 겁니다.”
벤자민에 따르면 해당 탐지 우회 기술은 “샌드박스도 쉽게 우회하고, 바이너리를 활용한 침입 탐지 기술들도 우습게 따돌릴 정도”라고 한다. 또한 일단 최초 침입에 성공하면 여러 보안 통제 장치를 피해 추가 페이로드를 설치하는 것도 가능해 종국엔 기계 전체를 장악하기에 이른다. “애드웨어라고 무시했다간 큰 코 다치는 겁니다.”
이번 발견에 따른 가장 큰 메시지가 바로 이 점이라고 벤자민은 거듭 강조한다. “멀웨어들 중에서도 알게 모르게 등급이 있어서 어떤 건 무해하다고 여겨지는 것들도 있습니다. 애드웨어가 대표적이죠. 애드웨어는 보통 특정 브랜드의 광고만 계속해서 노출시키는 ‘귀여운’ 수준의 사기만 치기 때문에 멀웨어 취급도 못 받곤 했습니다. 하지만 공격자들이 멀웨어와 공격 전략을 결합시키기 시작하면서 이제 이런 해이함에 큰 대가를 지불할 수도 있게 되었습니다.”
현재도 이 애드웨어 변종들에 대한 분석과 연구는 진행 중이다. 아직 딱히 이렇다 할 대처법이 나오지 않은 상태라는 것. 이에 벤자민은 “윈도우 태스크 스케줄러(Windows Task Scheduler)를 활용해 지속적인 공격을 하는 패턴이 발견되었으니 새롭게 만들어진 태스크들을 확인해서 수상한 것을 전부 비활성화시키는 것이 지금 당장의 대처법”이라고 설명한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
랜섬웨어 등 부가적인 악성 페이로드로 2차 타격... 피해 커져
[보안뉴스 문가용] 특정 광고만 노출시키는 멀웨어인 애드웨어의 제작자들이 점점 더 교활해지고 있다고 보안 전문업체인 카본 블랙(Carbon Black)이 발표했다. 유명 애드웨어 변종들이 오로라 작전(Operation Aurora)을 포함한 국가 정보기관 및 국가 후원 해킹 조직의 공격자들이 사용하는 우회 기능을 탑재하기 시작했다는 내용이었다.
카본 블랙의 컨설팅팀을 이끌고 있는 벤자민 테데스코(Benjamin Tedesco)는 최근 한 고객과의 상담 중 있었던 일을 다음과 같이 서술했다. “일단 고객의 설명을 듣고 있자니 오로라 작전이 생각났습니다. 오로라만의 명령줄과 인수가 발견되었기 때문입니다. cmdline:cop And cmdline:/b가 바로 그것입니다. 하지만 확신하기엔 이르니 더 파보자고 했죠.”
그래서 더 깊이 파고들었다. “프로세스 트리(process tree)를 거슬러 올라가면서 보니 이런 고급 기술을 부리고 있는 부모 프로세스(parent process)가 평범한 애드웨어더라고요. 그것도 바이러스 토탈(Virus Total)이 여러 번 경고했던 흔한 애드웨어요. 이해가 가지 않을 정도로 이상한 현상이었습니다.”
잘 이해가 가지 않아서 멍한 가운데 비슷한 상담 의뢰가 그날에만 두 건 더 있었다고 벤자민은 설명한다. 비슷한 감염 현상과 비슷한 이상함. 이에 대해 블랙 카본 고객 커뮤니티에 자세히 써서 올렸더니 ‘나도 그런 현상을 겪고 있다’는 문의가 물밀 듯이 쏟아져 들어왔다. “산업별로 구분이 가지도 않고, 그렇다고 기업 규모에 따른 패턴이 발견되지도 않았어요. 말 그대로 무작위 공격이 이뤄지고 있었던 것이죠.”
현재까지 분석된 바, 오로라 공격에서 사용되던 고차원 탐지 우회 기술을 사용하는 애드웨어들은 에니그마(Enigma)라는 랜섬웨어 변종을 운반하는 데에 사용된 것으로 추정된다. “뭔가 다른 목적이 있다면 애드웨어 따위가 이렇게 고차원적인 기술을 장착하고 다시 나타난 것이 이해가 갑니다. 아마 이 다른 목적에 랜섬웨어만 있는 건 아닐 겁니다.”
벤자민에 따르면 해당 탐지 우회 기술은 “샌드박스도 쉽게 우회하고, 바이너리를 활용한 침입 탐지 기술들도 우습게 따돌릴 정도”라고 한다. 또한 일단 최초 침입에 성공하면 여러 보안 통제 장치를 피해 추가 페이로드를 설치하는 것도 가능해 종국엔 기계 전체를 장악하기에 이른다. “애드웨어라고 무시했다간 큰 코 다치는 겁니다.”
이번 발견에 따른 가장 큰 메시지가 바로 이 점이라고 벤자민은 거듭 강조한다. “멀웨어들 중에서도 알게 모르게 등급이 있어서 어떤 건 무해하다고 여겨지는 것들도 있습니다. 애드웨어가 대표적이죠. 애드웨어는 보통 특정 브랜드의 광고만 계속해서 노출시키는 ‘귀여운’ 수준의 사기만 치기 때문에 멀웨어 취급도 못 받곤 했습니다. 하지만 공격자들이 멀웨어와 공격 전략을 결합시키기 시작하면서 이제 이런 해이함에 큰 대가를 지불할 수도 있게 되었습니다.”
현재도 이 애드웨어 변종들에 대한 분석과 연구는 진행 중이다. 아직 딱히 이렇다 할 대처법이 나오지 않은 상태라는 것. 이에 벤자민은 “윈도우 태스크 스케줄러(Windows Task Scheduler)를 활용해 지속적인 공격을 하는 패턴이 발견되었으니 새롭게 만들어진 태스크들을 확인해서 수상한 것을 전부 비활성화시키는 것이 지금 당장의 대처법”이라고 설명한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.png)
 TH.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
