악성 파일이 아닌, 정상 소프트웨어를 통해 공격자의 명령을 수행
파일 탐지 기반의 안티 바이러스를 우회해 악성행위 지속
EDR 등 보안 솔루션으로 ‘파일’이 아닌 ‘악성 행위’ 탐지 및 차단에 주력해야
[보안뉴스 이상우 기자] 무협 소설에서는 간혹 검술의 경지에 오른 주인공이 ‘무형검’을 쓰는 모습을 묘사한다. 무형검은 이름 그대로 정해진 형태가 없거나 아예 모습이 보이지 않는 검을 말하며, 이를 마주한 적은 공격을 막지 못하고 쓰러진다. 이처럼 자신의 무기가 상대방의 눈에 띄지 않으면, 대비하지 못한 적의 허를 르는 치명적인 공격이 가능하다.
[이미지=utoimage]
사이버 공격자 역시 자신의 무기인 악성 파일이 적(보안 기업)에게 들키지 않길 원한다. 애써 개발한 악성 파일이 보안 기업 손에 들어가면 해당 정보가 바이러스 정의 데이터베이스에 추가되고, 향후에는 안티 바이러스(백신)를 통해 공격이 빠르게 탐지 및 차단되기 때문이다. 최근 사이버 공격은 경제적 이득을 목적으로 펼쳐지는 경우가 많은 만큼, 공격을 숨길수록 더 많은 수익을 기대할 수 있는 셈이다.
파일리스 공격(Fileless Malware Attack)은 공격자가 적의 방어를 우회할 수 있는 효과적인 수단이다. 일반적으로 안티 바이러스 소프트웨어는 악성 파일의 시그니처를 탐지해 이를 차단하거나 파일 자체를 삭제해 피해를 막는다. 이와 달리 파일리스 공격은 정상적인 소프트웨어나 운영체제에 내장된 도구를 통해 악성 스크립트를 실행하는 방식으로 이뤄진다. 기존 멀웨어와 달리 저장장치(HDD 등)에 직접적인 흔적을 남기지 않으며, 메모리(RAM)에서 악성 행위가 실행되기 때문에 상대적으로 탐지 및 차단이 어렵다. 이 때문에 인 메모리 악성코드(In-Memory Malware)라는 이름으로 불리며, 휘발성 저장장치인 RAM의 특성상 전원을 끄면 기록이 사라지기 때문에 어떤 악성 행위를 했는지 파악하기도 어렵다.
파일리스 공격은 어떻게 이뤄질까?
공격자가 별도의 프로그램을 사용자 PC에 설치하지 않고도, 기존 운영체제나 소프트웨어에 포함된 기능 혹은 소프트웨어 자체를 악용해 코드를 실행해 악성 행위를 저지른다. 그렇다면 악성 프로그램 실행 없이, 어떤 방식으로 공격이 이뤄질까?
[이미지=utoimage]
대표적인 것이 플래시다. 공격자는 우선 일반적인 사이트의 플래시 콘텐츠를 변조하거나 아예 악의적인 목적을 위해 피싱 사이트를 제작하고 악성 플래시 콘텐츠를 배치한다. 이후 소셜 미디어나 커뮤니티, 이메일 등을 통해 해당 사이트로 접속을 유도하고, 사용자의 플래시 플레이어를 통해 해당 콘텐츠가 실행되길 기다린다. 만약 취약점 보완(업데이트)를 하지 않은 사용자가 해당 사이트를 방문할 경우 플래시 플레이어를 통해 공격자가 콘텐츠에 심어놓은 코드가 실행되고, 명령제어 서버와 통신하면서 추가적인 명령을 받아 정보 유출 등 악성 행위를 수행한다. 다행히 현재로서는 플래시 플레이어에 대한 지원이 종료됐으며, 플래시 콘텐츠 역시 차단돼 최신 브라우저를 사용하는 사람이라면 이러한 유형에 노출될 가능성이 없다.
문서 파일을 이용한 스크립트 실행 역시 대표적인 파일리스 공격 사례다. MS 오피스 워드, 엑셀, 파워포인트 등의 매크로를 이용하는 것으로, 우선 공격자는 악성 행위를 수행하는 비주얼 베이직 스크립트(VBS) 작성해 MS 오피스 매크로 기능을 통해 실행되도록 미리 설정한다. 이후 공격자는 피싱 이메일 등을 통해 사용자에게 해당 파일을 전달한다. 기본적으로 MS 오피스는 매크로가 포함된 문서 파일을 실행할 경우 이를 우선 차단하고 사용자에게 알린다. 하지만 공격자는 사용자의 관심을 끌 만한 내용으로 속여 매크로 기능을 실행하도록 하거나, 이를 마치 정상적인 보안 절차라고 속이기도 한다. 특히 유출된 계정을 악용해 같은 기업이나 기관의 임직원에게 이같은 매크로 문서를 보낼 경우 받은 사람은 큰 의심 없이 해당 기능을 실행할 가능성이 높다. 또한, 이와 유사한 기능은 MS 오피스뿐만 아니라 HWP, PDF 등 다양한 형태에서도 이뤄질 수 있는 만큼 사용자의 주의가 필요하다.
최근 몇 년간 파일리스 공격을 통한 랜섬웨어 감염이 이뤄지기도 했다. 실행 중인 프로세스에 다른 악성행위를 위한 프로세스를 삽입하는 DLL 인젝션이나 파워셸, 자바스크립트 등을 통해 변형된 랜섬웨어를 유포하는 방법도 있었지만, 가장 눈에 띄는 것은 윈도우 운영체제에 기본 포함된 암호화 기능 ‘비트로커’를 악용하는 방식이다. 공격자는 웹셸 업로드 기법을 통해 관리자 권한을 탈취한 뒤 윈도우 서버 운영체제의 비트로커 기능을 실행한다. 비트로커는 원래 사용자의 데이터가 유출되는 것을 방지하기 위해 암호화하는 기능이지만, 사용자가 아닌 공격자에 의해 무단으로 실행될 경우 랜섬웨어 없는 랜섬웨어 공격이 이뤄지는 셈이다. 특히 윈도우 기본 기능을 이용하는 방식이기 때문에 안티 바이러스 등에도 탐지되지 않는다.
사용자의 감시를 우회... 파일이 아닌 악성 행위에 주목해야
이같은 파일리스 공격의 궁극적인 목적은 보안 기업의 탐지와 추적을 우회하는 것이다. EXE 등 실행 파일을 통한 악성 프로그램 설치 및 실행은 오늘날 그리 쉬운 방식이 아니다. 기본적으로 운영체제에서는 코드사인 인증서가 없는 소프트웨어의 실행에 대해 차단한다. 코드사인 인증서란 올바른 개발사가 제작했다는 것을 확인하는 일종의 소프트웨어용 ‘인감도장’으로, 외부 인증기관을 통해 이를 확인하면서 사용자와 개발자 사이에 신뢰를 구축한다. 물론 코드사인 인증서를 위조하거나 탈취해 무단으로 사용하는 공급망 공격도 있지만, 공격자 입장에서는 실행하는 데 많은 노력이 드는 방법이기도 하다. 이 밖에도 불법 복제 소프트웨어나 크랙 등으로 사칭해 악성 소프트웨어를 유포하는 방식도 있지만, 이 역시 운영체제에서 기본적으로 차단하고 있기 때문에 사용자가 강제로 허용하거나 안티 바이러스를 비활성화 하지만 않으면 공격당할 가능성도 적다.
[이미지=utoimage]
이와 달리 파일리스 공격은 코드사인 인증서를 가진 정상적인 소프트웨를 이용해 각종 명령을 실행하기 때문에 일반적인 안티 바이러스를 통해 탐지하기 어렵다. 게다가 공격자가 원한다면 흔적조차 남기지 않기 때문에 보안 담당자 입장에서도 공격을 당했는지, 어떤 방식으로 이뤄졌는지, 어떠한 공격을 했는지 파악하는 것도 어렵다. 물론 시스템을 재부팅하면 공격을 지속할 수 없게 되지만, 이 역시 공격자가 윈도우 작업 스케줄러를 변형해 원하는 시간에 특정 명령을 수행하도록 조작하면 지속 공격 역시 가능하다.
추적을 피한다는 점에서도 유용하다. 보안 담당자가 공격에 쓰인 파일의 고유 정보를 확인할 수 없기 때문에 어떤 명령어를 쓰는지, 어떤 명령제어 서버와 통신하는지 확인할 수 없다. 때문에 악성 명령어나 특정 공격자를 식별할 수 있는 정보가 부족한 만큼, 이러한 공격에 대비하는 것 역시 어렵다.
그렇다면 이러한 공격에는 어떤 방식으로 대응해야 할까? 전문가들은 파일에 집중하는 기존 안티 바이러스를 넘어 악성 행위에 지능적으로 대응하는 EDR(엔드포인트 탐지 및 대응)이 필요하다고 강조한다. EDR 솔루션은 기존에 알려진 유형의 공격에만 대응할 수 있는 보안 소프트웨어와 달리, 알려지지 않은 유형의 위협도 탐지 및 대응할 수 있다. 프로세스, 트래픽, 레지스트리, 파일, 사용자 등 다양한 영역을 분석하고 이를 통해 알려지지 않은 위협에 사전 대응하도록 지원한다.
물론 EDR 솔루션은 기업용 제품인 만큼 개인 사용자가 사용하기에는 무리가 있다. 개인 사용자의 경우 기본적인 보안 수칙을 준수하는 것에서 시작해야 한다. 파일이 없는 공격이라고 해도 결국 공격자는 사용자와 마주칠 수 있는 최소한의 접점이 필요하다. 이러한 접점은 주로 이메일 첨부파일이나 악성 사이트 등이다. 알 수 없는 상대방이 보낸 메일의 첨부 파일 및 URL을 주의하는 것만으로도 공격을 마주칠 수 있는 접점이 대폭 줄어드는 셈이다.
뿐만 아니라 파일리스 공격은 주로 기존 소프트웨어의 취약점을 이용해 명령을 실행하기 때문에 주기적인 소프트웨어 업데이트 역시 중요하다. 업데이트에는 취약점 개선 등이 포함돼 있기 때문이다. 마지막으로 안티 바이러스 등 보안 소프트웨어의 실시간 감시 기능을 켜고 자동 업데이트 기능을 활성화해야 한다. 앞서 파일리스 공격이 보안 소프트웨어 등을 우회하는 목적으로 시도된다고 언급했지만, 보안 기업의 위협 인텔리전스 전문가들은 이러한 파일리스 공격을 찾기 위해 노력하며, 발견한 파일 정보에 대해서도 업데이트를 진행하기 때문이다.
[이상우 기자(boan@boannews.com)]
파일 탐지 기반의 안티 바이러스를 우회해 악성행위 지속
EDR 등 보안 솔루션으로 ‘파일’이 아닌 ‘악성 행위’ 탐지 및 차단에 주력해야
[보안뉴스 이상우 기자] 무협 소설에서는 간혹 검술의 경지에 오른 주인공이 ‘무형검’을 쓰는 모습을 묘사한다. 무형검은 이름 그대로 정해진 형태가 없거나 아예 모습이 보이지 않는 검을 말하며, 이를 마주한 적은 공격을 막지 못하고 쓰러진다. 이처럼 자신의 무기가 상대방의 눈에 띄지 않으면, 대비하지 못한 적의 허를 르는 치명적인 공격이 가능하다.
[이미지=utoimage]
사이버 공격자 역시 자신의 무기인 악성 파일이 적(보안 기업)에게 들키지 않길 원한다. 애써 개발한 악성 파일이 보안 기업 손에 들어가면 해당 정보가 바이러스 정의 데이터베이스에 추가되고, 향후에는 안티 바이러스(백신)를 통해 공격이 빠르게 탐지 및 차단되기 때문이다. 최근 사이버 공격은 경제적 이득을 목적으로 펼쳐지는 경우가 많은 만큼, 공격을 숨길수록 더 많은 수익을 기대할 수 있는 셈이다.
파일리스 공격(Fileless Malware Attack)은 공격자가 적의 방어를 우회할 수 있는 효과적인 수단이다. 일반적으로 안티 바이러스 소프트웨어는 악성 파일의 시그니처를 탐지해 이를 차단하거나 파일 자체를 삭제해 피해를 막는다. 이와 달리 파일리스 공격은 정상적인 소프트웨어나 운영체제에 내장된 도구를 통해 악성 스크립트를 실행하는 방식으로 이뤄진다. 기존 멀웨어와 달리 저장장치(HDD 등)에 직접적인 흔적을 남기지 않으며, 메모리(RAM)에서 악성 행위가 실행되기 때문에 상대적으로 탐지 및 차단이 어렵다. 이 때문에 인 메모리 악성코드(In-Memory Malware)라는 이름으로 불리며, 휘발성 저장장치인 RAM의 특성상 전원을 끄면 기록이 사라지기 때문에 어떤 악성 행위를 했는지 파악하기도 어렵다.
파일리스 공격은 어떻게 이뤄질까?
공격자가 별도의 프로그램을 사용자 PC에 설치하지 않고도, 기존 운영체제나 소프트웨어에 포함된 기능 혹은 소프트웨어 자체를 악용해 코드를 실행해 악성 행위를 저지른다. 그렇다면 악성 프로그램 실행 없이, 어떤 방식으로 공격이 이뤄질까?
[이미지=utoimage]
대표적인 것이 플래시다. 공격자는 우선 일반적인 사이트의 플래시 콘텐츠를 변조하거나 아예 악의적인 목적을 위해 피싱 사이트를 제작하고 악성 플래시 콘텐츠를 배치한다. 이후 소셜 미디어나 커뮤니티, 이메일 등을 통해 해당 사이트로 접속을 유도하고, 사용자의 플래시 플레이어를 통해 해당 콘텐츠가 실행되길 기다린다. 만약 취약점 보완(업데이트)를 하지 않은 사용자가 해당 사이트를 방문할 경우 플래시 플레이어를 통해 공격자가 콘텐츠에 심어놓은 코드가 실행되고, 명령제어 서버와 통신하면서 추가적인 명령을 받아 정보 유출 등 악성 행위를 수행한다. 다행히 현재로서는 플래시 플레이어에 대한 지원이 종료됐으며, 플래시 콘텐츠 역시 차단돼 최신 브라우저를 사용하는 사람이라면 이러한 유형에 노출될 가능성이 없다.
문서 파일을 이용한 스크립트 실행 역시 대표적인 파일리스 공격 사례다. MS 오피스 워드, 엑셀, 파워포인트 등의 매크로를 이용하는 것으로, 우선 공격자는 악성 행위를 수행하는 비주얼 베이직 스크립트(VBS) 작성해 MS 오피스 매크로 기능을 통해 실행되도록 미리 설정한다. 이후 공격자는 피싱 이메일 등을 통해 사용자에게 해당 파일을 전달한다. 기본적으로 MS 오피스는 매크로가 포함된 문서 파일을 실행할 경우 이를 우선 차단하고 사용자에게 알린다. 하지만 공격자는 사용자의 관심을 끌 만한 내용으로 속여 매크로 기능을 실행하도록 하거나, 이를 마치 정상적인 보안 절차라고 속이기도 한다. 특히 유출된 계정을 악용해 같은 기업이나 기관의 임직원에게 이같은 매크로 문서를 보낼 경우 받은 사람은 큰 의심 없이 해당 기능을 실행할 가능성이 높다. 또한, 이와 유사한 기능은 MS 오피스뿐만 아니라 HWP, PDF 등 다양한 형태에서도 이뤄질 수 있는 만큼 사용자의 주의가 필요하다.
최근 몇 년간 파일리스 공격을 통한 랜섬웨어 감염이 이뤄지기도 했다. 실행 중인 프로세스에 다른 악성행위를 위한 프로세스를 삽입하는 DLL 인젝션이나 파워셸, 자바스크립트 등을 통해 변형된 랜섬웨어를 유포하는 방법도 있었지만, 가장 눈에 띄는 것은 윈도우 운영체제에 기본 포함된 암호화 기능 ‘비트로커’를 악용하는 방식이다. 공격자는 웹셸 업로드 기법을 통해 관리자 권한을 탈취한 뒤 윈도우 서버 운영체제의 비트로커 기능을 실행한다. 비트로커는 원래 사용자의 데이터가 유출되는 것을 방지하기 위해 암호화하는 기능이지만, 사용자가 아닌 공격자에 의해 무단으로 실행될 경우 랜섬웨어 없는 랜섬웨어 공격이 이뤄지는 셈이다. 특히 윈도우 기본 기능을 이용하는 방식이기 때문에 안티 바이러스 등에도 탐지되지 않는다.
사용자의 감시를 우회... 파일이 아닌 악성 행위에 주목해야
이같은 파일리스 공격의 궁극적인 목적은 보안 기업의 탐지와 추적을 우회하는 것이다. EXE 등 실행 파일을 통한 악성 프로그램 설치 및 실행은 오늘날 그리 쉬운 방식이 아니다. 기본적으로 운영체제에서는 코드사인 인증서가 없는 소프트웨어의 실행에 대해 차단한다. 코드사인 인증서란 올바른 개발사가 제작했다는 것을 확인하는 일종의 소프트웨어용 ‘인감도장’으로, 외부 인증기관을 통해 이를 확인하면서 사용자와 개발자 사이에 신뢰를 구축한다. 물론 코드사인 인증서를 위조하거나 탈취해 무단으로 사용하는 공급망 공격도 있지만, 공격자 입장에서는 실행하는 데 많은 노력이 드는 방법이기도 하다. 이 밖에도 불법 복제 소프트웨어나 크랙 등으로 사칭해 악성 소프트웨어를 유포하는 방식도 있지만, 이 역시 운영체제에서 기본적으로 차단하고 있기 때문에 사용자가 강제로 허용하거나 안티 바이러스를 비활성화 하지만 않으면 공격당할 가능성도 적다.
[이미지=utoimage]
이와 달리 파일리스 공격은 코드사인 인증서를 가진 정상적인 소프트웨를 이용해 각종 명령을 실행하기 때문에 일반적인 안티 바이러스를 통해 탐지하기 어렵다. 게다가 공격자가 원한다면 흔적조차 남기지 않기 때문에 보안 담당자 입장에서도 공격을 당했는지, 어떤 방식으로 이뤄졌는지, 어떠한 공격을 했는지 파악하는 것도 어렵다. 물론 시스템을 재부팅하면 공격을 지속할 수 없게 되지만, 이 역시 공격자가 윈도우 작업 스케줄러를 변형해 원하는 시간에 특정 명령을 수행하도록 조작하면 지속 공격 역시 가능하다.
추적을 피한다는 점에서도 유용하다. 보안 담당자가 공격에 쓰인 파일의 고유 정보를 확인할 수 없기 때문에 어떤 명령어를 쓰는지, 어떤 명령제어 서버와 통신하는지 확인할 수 없다. 때문에 악성 명령어나 특정 공격자를 식별할 수 있는 정보가 부족한 만큼, 이러한 공격에 대비하는 것 역시 어렵다.
그렇다면 이러한 공격에는 어떤 방식으로 대응해야 할까? 전문가들은 파일에 집중하는 기존 안티 바이러스를 넘어 악성 행위에 지능적으로 대응하는 EDR(엔드포인트 탐지 및 대응)이 필요하다고 강조한다. EDR 솔루션은 기존에 알려진 유형의 공격에만 대응할 수 있는 보안 소프트웨어와 달리, 알려지지 않은 유형의 위협도 탐지 및 대응할 수 있다. 프로세스, 트래픽, 레지스트리, 파일, 사용자 등 다양한 영역을 분석하고 이를 통해 알려지지 않은 위협에 사전 대응하도록 지원한다.
물론 EDR 솔루션은 기업용 제품인 만큼 개인 사용자가 사용하기에는 무리가 있다. 개인 사용자의 경우 기본적인 보안 수칙을 준수하는 것에서 시작해야 한다. 파일이 없는 공격이라고 해도 결국 공격자는 사용자와 마주칠 수 있는 최소한의 접점이 필요하다. 이러한 접점은 주로 이메일 첨부파일이나 악성 사이트 등이다. 알 수 없는 상대방이 보낸 메일의 첨부 파일 및 URL을 주의하는 것만으로도 공격을 마주칠 수 있는 접점이 대폭 줄어드는 셈이다.
뿐만 아니라 파일리스 공격은 주로 기존 소프트웨어의 취약점을 이용해 명령을 실행하기 때문에 주기적인 소프트웨어 업데이트 역시 중요하다. 업데이트에는 취약점 개선 등이 포함돼 있기 때문이다. 마지막으로 안티 바이러스 등 보안 소프트웨어의 실시간 감시 기능을 켜고 자동 업데이트 기능을 활성화해야 한다. 앞서 파일리스 공격이 보안 소프트웨어 등을 우회하는 목적으로 시도된다고 언급했지만, 보안 기업의 위협 인텔리전스 전문가들은 이러한 파일리스 공격을 찾기 위해 노력하며, 발견한 파일 정보에 대해서도 업데이트를 진행하기 때문이다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
