멀웨어 디컴파일하는 ‘렛덱’, 멀웨어 원리 등 파악 도와
어베스트, “오픈소스화 함으로써 렛덱 더 개발되길 기대”
[보안뉴스 오다인 기자] 백신 회사 어베스트(Avast)가 오픈소스 커뮤니티에 자체 개발한 멀웨어 디컴파일러(decompiler) 툴을 기증했다.
[이미지=iclickart]
어베스트의 렛덱(RetDec: Retargetable Decompiler)은 멀웨어를 고급 프로그래밍 언어로 바꿔주고 멀웨어 분석자들이 코드의 내부 작동 원리와 기능을 파악할 수 있도록 지원하는 툴이다. 어베스트 위협 연구실 실장 제이쿱 크라우스텍(Jakub Kroustek)은 “렛덱이 멀웨어를 소스코드 원본처럼 보이게 바꿔준다”고 말했다. 크라우스텍에 따르면, 멀웨어를 디컴파일하면 해당 멀웨어가 무슨 일을 할 수 있는지 “훨씬 더 쉽고” 효율적으로 알아낼 수 있다.
크라우스텍은 렛덱 제조자로서 “매일 수백만 건의 멀웨어 샘플이 새롭게 나타난다”며 “그 모든 걸 심층적으로 분석할 순 없다”고 설명했다. “하지만 디컴파일러를 사용하면 그 중 일부는 더 꼼꼼하고 빠르게 처리할 수 있습니다.”
어베스트 연구진은 렛덱을 사용해 △아포칼립스(Apocalypse) △배드블록(BadBlock) △바트(Bart) △크라이시스(CrySIS) △테슬라크립트(TeslaCrypt) 등의 랜섬웨어를 디컴파일해왔다. 어베스트의 기증으로 렛덱은 이제 랜섬웨어 분석을 위한 무료 해독 툴이 됐다.
디컴파일러 툴은 코드의 정적 분석(static analysis)을 제공한다. 이 툴은 연구자가 실제로 코드를 실행하진 않으면서 면밀하게 분석할 수 있도록 해준다. 반면, 동적 분석(dynamic analysis)은 연구자가 악성 코드를 안전한 샌드박스 환경에서 실행하면서 실제 어떻게 움직이는지 연구하는 방식을 가리킨다. 크라우스텍은 “경우에 따라 샌드박스를 사용하는 게 맞기도 하고, 디컴파일러를 사용하는 게 더 좋을 때도 있다”고 설명했다. “저는 보통 둘 다를 사용합니다. 악인과 싸울 땐 가능한 한 모든 방법을 동원해야 하니까요.”
렛덱은 체코의 브르노 공과대학교(Brno University of Technology) 연구진과 AVG 테크놀로지스(AVG Technologies) 연구진에 의해 2011년 처음 만들어졌다. 작년에 어베스트가 AVG 테크놀로지스를 인수한 뒤 렛덱은 어베스트 소유로 넘어왔다. 크라우스텍에 따르면, 어베스트는 다른 많은 보안 전문가들이 오픈소스 툴로써 렛덱을 더 개발해주길 바라고 있다.
디컴파일러 툴은 예전에도 있었다. 크라우스텍은 △DCC △부메랑(Boomerang) △스노우맨(Snowman) 같은 다른 오픈소스 디컴파일러 툴이 있었지만 이런 툴들은 비싸거나 주문 제작된 상품 정도에 그쳤다고 말했다.
“성능 좋은 디컴파일러 툴들이 있었지만 대다수는 돈을 내야만 사용할 수 있었습니다. 돈을 냈더라도 사실 꼭 맞는 기능으로 쉽게 확장될 수 있는 것도 아니었고요. 이용자들은 지금 존재하는 무료 오픈소스 디컴파일러를 활용할 수도 있지만 이 툴들은 안정성이나 코드 가독성, 품질 같은 게 적절하게 보장되지도 않은 상황입니다.”
보안 업체 피델리스 사이버시큐리티(Fidelis Cybersecurity)의 위협 시스템 관리자이자 미국 일리노이대학교 어배너-섐페인(University of Illinois at Urbana-Champaign) 교수인 존 밤베넥(John Bambanek)은 어베스트의 렛덱 같은 오픈소스 디컴파일러는 특히 학계에 도움이 된다고 말했다. “(대학교에서는) 예산이 제한돼 있기 때문에 IDA 헥스레이(Hex-Rays) 디컴파일러 제품을 다량 구매하는 일은 없을 겁니다. 오픈소스로 무언가가 나와서 이걸로 디컴파일이 가능하겠다고 생각되면, 저한테는 리버스 엔지니어링(reverse engineering)을 더 많이 해볼 수 있는 훌륭한 자원이 됩니다.”
어베스트는 렛덱이 다중의 아키텍처, 파일 포맷, 운영체제에서 구동되며 디컴파일 말고도 다른 용도로 활용될 수 있다고 설명했다. 렛덱은 C언어와 파이썬(Python) 언어를 사용해서 결과를 내고, 리눅스와 윈도우 플랫폼에서 실행된다. 렛덱 소스코드 및 관련 툴은 현재 MIT 라이센스 하에 깃허브(GitHub)에서 이용할 수 있다.
크라우스텍은 “디컴파일러에 큰 관심이 없다면 특정 패턴을 탐지해내는 라이브러리를 활용할 수도 있을 것”이라고 덧붙였다.
[국제부 오다인 기자(boan2@boannews.com)]
어베스트, “오픈소스화 함으로써 렛덱 더 개발되길 기대”
[보안뉴스 오다인 기자] 백신 회사 어베스트(Avast)가 오픈소스 커뮤니티에 자체 개발한 멀웨어 디컴파일러(decompiler) 툴을 기증했다.
[이미지=iclickart]
어베스트의 렛덱(RetDec: Retargetable Decompiler)은 멀웨어를 고급 프로그래밍 언어로 바꿔주고 멀웨어 분석자들이 코드의 내부 작동 원리와 기능을 파악할 수 있도록 지원하는 툴이다. 어베스트 위협 연구실 실장 제이쿱 크라우스텍(Jakub Kroustek)은 “렛덱이 멀웨어를 소스코드 원본처럼 보이게 바꿔준다”고 말했다. 크라우스텍에 따르면, 멀웨어를 디컴파일하면 해당 멀웨어가 무슨 일을 할 수 있는지 “훨씬 더 쉽고” 효율적으로 알아낼 수 있다.
크라우스텍은 렛덱 제조자로서 “매일 수백만 건의 멀웨어 샘플이 새롭게 나타난다”며 “그 모든 걸 심층적으로 분석할 순 없다”고 설명했다. “하지만 디컴파일러를 사용하면 그 중 일부는 더 꼼꼼하고 빠르게 처리할 수 있습니다.”
어베스트 연구진은 렛덱을 사용해 △아포칼립스(Apocalypse) △배드블록(BadBlock) △바트(Bart) △크라이시스(CrySIS) △테슬라크립트(TeslaCrypt) 등의 랜섬웨어를 디컴파일해왔다. 어베스트의 기증으로 렛덱은 이제 랜섬웨어 분석을 위한 무료 해독 툴이 됐다.
디컴파일러 툴은 코드의 정적 분석(static analysis)을 제공한다. 이 툴은 연구자가 실제로 코드를 실행하진 않으면서 면밀하게 분석할 수 있도록 해준다. 반면, 동적 분석(dynamic analysis)은 연구자가 악성 코드를 안전한 샌드박스 환경에서 실행하면서 실제 어떻게 움직이는지 연구하는 방식을 가리킨다. 크라우스텍은 “경우에 따라 샌드박스를 사용하는 게 맞기도 하고, 디컴파일러를 사용하는 게 더 좋을 때도 있다”고 설명했다. “저는 보통 둘 다를 사용합니다. 악인과 싸울 땐 가능한 한 모든 방법을 동원해야 하니까요.”
렛덱은 체코의 브르노 공과대학교(Brno University of Technology) 연구진과 AVG 테크놀로지스(AVG Technologies) 연구진에 의해 2011년 처음 만들어졌다. 작년에 어베스트가 AVG 테크놀로지스를 인수한 뒤 렛덱은 어베스트 소유로 넘어왔다. 크라우스텍에 따르면, 어베스트는 다른 많은 보안 전문가들이 오픈소스 툴로써 렛덱을 더 개발해주길 바라고 있다.
디컴파일러 툴은 예전에도 있었다. 크라우스텍은 △DCC △부메랑(Boomerang) △스노우맨(Snowman) 같은 다른 오픈소스 디컴파일러 툴이 있었지만 이런 툴들은 비싸거나 주문 제작된 상품 정도에 그쳤다고 말했다.
“성능 좋은 디컴파일러 툴들이 있었지만 대다수는 돈을 내야만 사용할 수 있었습니다. 돈을 냈더라도 사실 꼭 맞는 기능으로 쉽게 확장될 수 있는 것도 아니었고요. 이용자들은 지금 존재하는 무료 오픈소스 디컴파일러를 활용할 수도 있지만 이 툴들은 안정성이나 코드 가독성, 품질 같은 게 적절하게 보장되지도 않은 상황입니다.”
보안 업체 피델리스 사이버시큐리티(Fidelis Cybersecurity)의 위협 시스템 관리자이자 미국 일리노이대학교 어배너-섐페인(University of Illinois at Urbana-Champaign) 교수인 존 밤베넥(John Bambanek)은 어베스트의 렛덱 같은 오픈소스 디컴파일러는 특히 학계에 도움이 된다고 말했다. “(대학교에서는) 예산이 제한돼 있기 때문에 IDA 헥스레이(Hex-Rays) 디컴파일러 제품을 다량 구매하는 일은 없을 겁니다. 오픈소스로 무언가가 나와서 이걸로 디컴파일이 가능하겠다고 생각되면, 저한테는 리버스 엔지니어링(reverse engineering)을 더 많이 해볼 수 있는 훌륭한 자원이 됩니다.”
어베스트는 렛덱이 다중의 아키텍처, 파일 포맷, 운영체제에서 구동되며 디컴파일 말고도 다른 용도로 활용될 수 있다고 설명했다. 렛덱은 C언어와 파이썬(Python) 언어를 사용해서 결과를 내고, 리눅스와 윈도우 플랫폼에서 실행된다. 렛덱 소스코드 및 관련 툴은 현재 MIT 라이센스 하에 깃허브(GitHub)에서 이용할 수 있다.
크라우스텍은 “디컴파일러에 큰 관심이 없다면 특정 패턴을 탐지해내는 라이브러리를 활용할 수도 있을 것”이라고 덧붙였다.
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)