표적 공격에 적용 가능...전제 조건 까다로워 당장 사용은 어려울 듯
하지만 해커들의 ‘난관 극복’ 속도 빨라...미리 대비해야
[보안뉴스 문가용 기자] 온라인 샌드박스 서비스를 통해 데이터 유출 사고를 일으킬 수 있다는 연구 결과가 나왔다. 보안 업체 세이프브리치(SafeBreach)의 구성원들이 발표한 내용이다.
[이미지 = iclickart]
세이프브리치의 이번 연구 결과는 작년의 선행 연구로부터 이어진 것이다. 작년 세이브프리치 소속 연구원인 이트직 코틀러(Itzik Kotler)와 아밋 클레인(Amit Klein)은 PoC 멀웨어를 만들어 클라우드 기반 백신 프로그램들을 통해 데이터를 빼돌리는 기술을 시연한 바 있다. 그러면서 당시 인터넷 연결이 되어 있지 않은 엔드포인트들에도 같은 기술을 적용해 데이터를 훔칠 수 있다고 주장했었다.
그리고 올해 세이프브리치의 또 다른 보안 전문가인 도르 아주리(Dor Azouri)가 온라인 샌드박스 서비스들을 분석해 비슷한 공격 효과를 일으킬 수 있음을 증명했다. 물론 아주리는 “공격이 쉽고 간편해 누구나 사용할 수 있는 건 아니라, 실제 크게 위험한 것은 아니”라고 보고서를 통해 강조했다.
공격 원리는 샌드박스 서비스의 데이터베이스를 중간 매개체로 활용하는 것으로, 하나의 실행 파일 안에 원하는 데이터를 넣고, 샌드박스 서비스 데이터베이스로 요청을 보내서 해당 파일을 불러오는 방식으로 진행된다. 즉 실행파일 안에 데이터를 패킹할 수 있어야 이 공격이 성공할 수 있다는 뜻이다.
아주리가 제시한 공격 시나리오는 다음과 같다.
1) 엔드포인트를 멀웨어로 감염시킨다.
2) 기기로부터 민감한 정보를 수집한다.
3) 그 정보를 파일 안에 패킹하고, 기기 디스크 내에 저장한 후 실행시킨다.
4) 이 파일이 실행되면서 백신이 발동된다.
5) 그러면 사용자나 보안 담당자가 온라인 샌드박스 사이트를 사용해 위 파일을 실행한다.
6) 분석 결과가 사이트 데이터베이스에 저장된다.
7) 사이트의 검색 API를 사용해 해당 파일을 가져온다.
이런 식으로 공격을 감행했을 경우 공격자를 탐지하고 추적하는 것이 매우 어려워진다고 세이프브리치 측은 주장한다. 특히 샌드박스 서비스를 수동적으로 이용하는 단체일수록 더 그렇다고 한다.
하지만 제한 조건도 존재한다. 의심스러운 샘플들이 온라인 샌드박스 엔진으로 전송되어야만 공격이 가능하다. 또한 공격자가 이를 활용해 특정 기업이나 조직을 공격하려면, 그 기업이나 조직이 어떤 샌드박스를 어느 정도 수준으로 사용 중인지도 알고 있어야 한다. 무조건 성립되는 게 아니라는 것.
아주리는 “내가 실제 공격자라면 표적이 된 기업이 바이러스토탈(VirusTotal)로 의심이 가는 파일 샘플을 보내 분석을 요청할 때가 가장 적절한 기회가 될 것”이라고 말한다. “왜냐하면 표적이 된 기업이 사용하는 온라인 샌드박스 서비스에 어떤 실행파일을 사용해야 하는지가 정확하게 나오기 때문이죠.”
또한 아주리는 보고서를 통해 여러 가지 다른 공격 시나리오를 제시하기도 했다. 이 보고서는 이 주소(https://go.safebreach.com/rs/535-IXZ-934/images/Everytime-You-Upload-A-Malware.pdf)에서 다운로드 및 열람이 가능하다.
“제 연구의 결론은 공개된 온라인 샌드박스 서비스를 오히려 데이터 유출에 활용할 수 있다는 겁니다. 보다 정확히 말하면 이러한 서비스들에서 제공하는 공개 데이터베이스를 역으로 활용하는 것인데요, 지금으로서는 구현이 까다로워 보이는 것이 사실이지만 해커들은 이러한 난관을 꽤나 빨리 극복하는 편입니다. 제가 생각한 것보다 훨씬 더 창의적인 활용법이 등장할 가능성도 높습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
하지만 해커들의 ‘난관 극복’ 속도 빨라...미리 대비해야
[보안뉴스 문가용 기자] 온라인 샌드박스 서비스를 통해 데이터 유출 사고를 일으킬 수 있다는 연구 결과가 나왔다. 보안 업체 세이프브리치(SafeBreach)의 구성원들이 발표한 내용이다.
[이미지 = iclickart]
세이프브리치의 이번 연구 결과는 작년의 선행 연구로부터 이어진 것이다. 작년 세이브프리치 소속 연구원인 이트직 코틀러(Itzik Kotler)와 아밋 클레인(Amit Klein)은 PoC 멀웨어를 만들어 클라우드 기반 백신 프로그램들을 통해 데이터를 빼돌리는 기술을 시연한 바 있다. 그러면서 당시 인터넷 연결이 되어 있지 않은 엔드포인트들에도 같은 기술을 적용해 데이터를 훔칠 수 있다고 주장했었다.
그리고 올해 세이프브리치의 또 다른 보안 전문가인 도르 아주리(Dor Azouri)가 온라인 샌드박스 서비스들을 분석해 비슷한 공격 효과를 일으킬 수 있음을 증명했다. 물론 아주리는 “공격이 쉽고 간편해 누구나 사용할 수 있는 건 아니라, 실제 크게 위험한 것은 아니”라고 보고서를 통해 강조했다.
공격 원리는 샌드박스 서비스의 데이터베이스를 중간 매개체로 활용하는 것으로, 하나의 실행 파일 안에 원하는 데이터를 넣고, 샌드박스 서비스 데이터베이스로 요청을 보내서 해당 파일을 불러오는 방식으로 진행된다. 즉 실행파일 안에 데이터를 패킹할 수 있어야 이 공격이 성공할 수 있다는 뜻이다.
아주리가 제시한 공격 시나리오는 다음과 같다.
1) 엔드포인트를 멀웨어로 감염시킨다.
2) 기기로부터 민감한 정보를 수집한다.
3) 그 정보를 파일 안에 패킹하고, 기기 디스크 내에 저장한 후 실행시킨다.
4) 이 파일이 실행되면서 백신이 발동된다.
5) 그러면 사용자나 보안 담당자가 온라인 샌드박스 사이트를 사용해 위 파일을 실행한다.
6) 분석 결과가 사이트 데이터베이스에 저장된다.
7) 사이트의 검색 API를 사용해 해당 파일을 가져온다.
이런 식으로 공격을 감행했을 경우 공격자를 탐지하고 추적하는 것이 매우 어려워진다고 세이프브리치 측은 주장한다. 특히 샌드박스 서비스를 수동적으로 이용하는 단체일수록 더 그렇다고 한다.
하지만 제한 조건도 존재한다. 의심스러운 샘플들이 온라인 샌드박스 엔진으로 전송되어야만 공격이 가능하다. 또한 공격자가 이를 활용해 특정 기업이나 조직을 공격하려면, 그 기업이나 조직이 어떤 샌드박스를 어느 정도 수준으로 사용 중인지도 알고 있어야 한다. 무조건 성립되는 게 아니라는 것.
아주리는 “내가 실제 공격자라면 표적이 된 기업이 바이러스토탈(VirusTotal)로 의심이 가는 파일 샘플을 보내 분석을 요청할 때가 가장 적절한 기회가 될 것”이라고 말한다. “왜냐하면 표적이 된 기업이 사용하는 온라인 샌드박스 서비스에 어떤 실행파일을 사용해야 하는지가 정확하게 나오기 때문이죠.”
또한 아주리는 보고서를 통해 여러 가지 다른 공격 시나리오를 제시하기도 했다. 이 보고서는 이 주소(https://go.safebreach.com/rs/535-IXZ-934/images/Everytime-You-Upload-A-Malware.pdf)에서 다운로드 및 열람이 가능하다.
“제 연구의 결론은 공개된 온라인 샌드박스 서비스를 오히려 데이터 유출에 활용할 수 있다는 겁니다. 보다 정확히 말하면 이러한 서비스들에서 제공하는 공개 데이터베이스를 역으로 활용하는 것인데요, 지금으로서는 구현이 까다로워 보이는 것이 사실이지만 해커들은 이러한 난관을 꽤나 빨리 극복하는 편입니다. 제가 생각한 것보다 훨씬 더 창의적인 활용법이 등장할 가능성도 높습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
