데이터를 숨기고 해독하기 어렵게 만드는 기술을 난독화라고 한다. 최근 공격자들은 이 기술의 활용법을 바꾸기 시작했다. 난독화 알고리즘 하나하나를 강력하게 만드는 게 아니라, 기존 알고리즘을 자주 바꿔가며 적용하는 것이다.
[보안뉴스 문가용 기자] 공격자들이 자신들의 멀웨어를 숨기기 위해 발동시키는 난독화 기술이 빠르게 변하고 있다. 심지어 한 해킹 단체는 37일마다 한 번씩 난독화 기술만 바꾸는 변화무쌍함을 보이기도 했다. 이 단체에 대해 MS 365 디펜더 위협 첩보 팀이 조사해 발표했다. 이들은 피싱 캠페인을 1년 동안 진행하며 최소 10번 이상 난독화 기술을 바꿨다고 한다.
[이미지 = utoimage]
이 피싱 캠페인은 XLS.HTML이라는 이름을 가지고 있으며, 베이스64(base64) 기반 인코딩과 같은 어느 정도 표준처럼 자리 잡은 방법은 물론 모르스 부호까지 활용되는 모습을 보였다고 MS는 설명한다. 피싱용 첨부파일이나 데이터를 다른 방법으로 인코딩하는 것 자체는 새로운 전략이 아니다. 하지만 이 난독화가 극단적으로 다양해졌다는 것 자체에 주목해야 한다고 MS는 설명한다.
“XLS.HTML 피싱 캠페인은 꽤나 독특합니다. 공격자들이 HTML 파일을 난독화 하는 데 어마어마한 공을 들인다는 점에서요. 보안 장치들을 피해가려면 한 가지 강력한 우회 기법이 아니라 여러 가지를 자주자주 바꿔주는 편을 택하는 게 낫다는 걸 공격자들이 깨달은 듯한 모습입니다. 게다가 다크웹에서 난독화를 보다 쉽고 간편하게 해결하게 해 주는 도구들이 점점 더 많이 판매되면서 이런 생각을 구현하는 사례가 늘어나고 있습니다.”
보안 업체 프루프포인트(Proofpoint)의 경우 5년 전 공격자들이 자주 사용하던 7개의 난독화 기술에 대해 발표한 바 있다. 당시에도 프루프포인트는 “난독화 기술 대부분 새롭게 등장한 것이 아니”라고 묘사했었다. 또한 “난독화 기술들이 피싱 캠페인에 적용되는 경우가 많다”고 했었다. 즉, 공격자들의 행태가 본질적으로 변한 건 아니지만, 기술의 다변화 측면에서 큰 발전이 있었다고 볼 수 있다.
난독화 기술은 양면성을 가지고 있다. 지적재산이나 민감한 프라이버시 정보를 보호하기 위해 정상적으로 사용되기도 하고, 사이버 범죄자들의 악성 페이로드를 숨기는 데 사용되기도 한다. 프루프포인트가 짚어낸 난독화 기술에는 암호화 된 웹 페이지, 베이스64, XOR 인코딩 등이 포함되어 있었고 MS가 발표한 보고서에는 ASCII, UTF-16 등이 추가됐다. 극적이진 않아도 암호화 기술은 꾸준히 증가하고 있다는 걸 알 수 있다.
보안 업체 고시큐어(GoSecure)의 경우 ‘서비스형 난독화(obfuscation-as-a-service)’를 제공하는 다크웹 상점들에 집중해 연구와 조사를 실시했다. 그러면서 “범죄 시장에서 찾을 수 있는 난독화 서비스가 완전무결한 건 아니”라는 걸 알아냈다. “바이러스토탈 기준 탐지율을 절반으로 떨어트리는 난독화 서비스도 있는가 하면, 오히려 이 난독화 서비스 때문에 멀웨어의 탐지율이 더 올라가는 경우도 있습니다.”
보안 업체 멀웨어바이츠(Malwarebytes)의 제롬 세구라(Jerome Segura)는 “난독화 기술을 실제 공격에 적용하는 건 창의력을 굉장히 요구하는 부분”이라며 “공격자들로서는 여기에서 큰 재미를 느낄 수 있다”고 말한다. “어떤 난독화라도 결국에는 간파되게 되어 있습니다. 하지만 작은 요소들을 살짝 씩만 변경해 주면 그 ‘간파’를 까다롭게 만들 수 있습니다. 공격자 입장에서는 끊임없이 뭔가를 살짝 살짝 바꿔줌으로써 끝없는 술래잡기에서 우위를 점할 수 있게 됩니다. 그래서 난독화 기술은 공격자들의 손에 의해 앞으로도 계속해서 개발되고 발전할 겁니다.”
다크웹 시장 내에 제공되는 기술의 불완전함, 난독화 기술의 탐지를 어렵게 만드는 노하우 등과 같은 요소들은 결국 ‘난독화 기술의 빠른 변경’으로 이어질 수밖에 없다. 그렇다는 건 악성 페이로드를 빠르게 탐지하는 게 더 어려워질 거라는 뜻이 된다. “인코딩 방식을 주기적으로 바꾸기만 해도 보안 도구를 회피할 가능성은 높아집니다. 게다가 공격자들이 다양한 단계에서 이런 난독화 기술을 적용하기 때문에 방어는 더 어려워지고 있습니다.”
그렇기 때문에 발 빠르게 변하는 난독화의 대비책을 마련하는 기술 및 전략적 방안을 마련해야 하는 게 보안 업계와 과제라고 MS는 설명한다. “다층적, 다변적 난독화 기술의 적용은 현재 우리가 직면한 가장 큰 위협일지도 모릅니다. 공격자들의 난독화 전략에 대응할 방법이 필요합니다.”
3줄 요약
1. 난독화 기술, 요즘 공격자들은 자주 자주 바꿔주는 식으로 활용.
2. 새로운 기술이 빠르게 등장하는 것도 아니고, 공격자들의 도구가 완벽한 것도 아님.
3. 하지만 난독화 기술을 살짝 살짝 변경해 여기 저기 바꿔가며 적용하는 것만으로도 충분히 위협적.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 공격자들이 자신들의 멀웨어를 숨기기 위해 발동시키는 난독화 기술이 빠르게 변하고 있다. 심지어 한 해킹 단체는 37일마다 한 번씩 난독화 기술만 바꾸는 변화무쌍함을 보이기도 했다. 이 단체에 대해 MS 365 디펜더 위협 첩보 팀이 조사해 발표했다. 이들은 피싱 캠페인을 1년 동안 진행하며 최소 10번 이상 난독화 기술을 바꿨다고 한다.
[이미지 = utoimage]
이 피싱 캠페인은 XLS.HTML이라는 이름을 가지고 있으며, 베이스64(base64) 기반 인코딩과 같은 어느 정도 표준처럼 자리 잡은 방법은 물론 모르스 부호까지 활용되는 모습을 보였다고 MS는 설명한다. 피싱용 첨부파일이나 데이터를 다른 방법으로 인코딩하는 것 자체는 새로운 전략이 아니다. 하지만 이 난독화가 극단적으로 다양해졌다는 것 자체에 주목해야 한다고 MS는 설명한다.
“XLS.HTML 피싱 캠페인은 꽤나 독특합니다. 공격자들이 HTML 파일을 난독화 하는 데 어마어마한 공을 들인다는 점에서요. 보안 장치들을 피해가려면 한 가지 강력한 우회 기법이 아니라 여러 가지를 자주자주 바꿔주는 편을 택하는 게 낫다는 걸 공격자들이 깨달은 듯한 모습입니다. 게다가 다크웹에서 난독화를 보다 쉽고 간편하게 해결하게 해 주는 도구들이 점점 더 많이 판매되면서 이런 생각을 구현하는 사례가 늘어나고 있습니다.”
보안 업체 프루프포인트(Proofpoint)의 경우 5년 전 공격자들이 자주 사용하던 7개의 난독화 기술에 대해 발표한 바 있다. 당시에도 프루프포인트는 “난독화 기술 대부분 새롭게 등장한 것이 아니”라고 묘사했었다. 또한 “난독화 기술들이 피싱 캠페인에 적용되는 경우가 많다”고 했었다. 즉, 공격자들의 행태가 본질적으로 변한 건 아니지만, 기술의 다변화 측면에서 큰 발전이 있었다고 볼 수 있다.
난독화 기술은 양면성을 가지고 있다. 지적재산이나 민감한 프라이버시 정보를 보호하기 위해 정상적으로 사용되기도 하고, 사이버 범죄자들의 악성 페이로드를 숨기는 데 사용되기도 한다. 프루프포인트가 짚어낸 난독화 기술에는 암호화 된 웹 페이지, 베이스64, XOR 인코딩 등이 포함되어 있었고 MS가 발표한 보고서에는 ASCII, UTF-16 등이 추가됐다. 극적이진 않아도 암호화 기술은 꾸준히 증가하고 있다는 걸 알 수 있다.
보안 업체 고시큐어(GoSecure)의 경우 ‘서비스형 난독화(obfuscation-as-a-service)’를 제공하는 다크웹 상점들에 집중해 연구와 조사를 실시했다. 그러면서 “범죄 시장에서 찾을 수 있는 난독화 서비스가 완전무결한 건 아니”라는 걸 알아냈다. “바이러스토탈 기준 탐지율을 절반으로 떨어트리는 난독화 서비스도 있는가 하면, 오히려 이 난독화 서비스 때문에 멀웨어의 탐지율이 더 올라가는 경우도 있습니다.”
보안 업체 멀웨어바이츠(Malwarebytes)의 제롬 세구라(Jerome Segura)는 “난독화 기술을 실제 공격에 적용하는 건 창의력을 굉장히 요구하는 부분”이라며 “공격자들로서는 여기에서 큰 재미를 느낄 수 있다”고 말한다. “어떤 난독화라도 결국에는 간파되게 되어 있습니다. 하지만 작은 요소들을 살짝 씩만 변경해 주면 그 ‘간파’를 까다롭게 만들 수 있습니다. 공격자 입장에서는 끊임없이 뭔가를 살짝 살짝 바꿔줌으로써 끝없는 술래잡기에서 우위를 점할 수 있게 됩니다. 그래서 난독화 기술은 공격자들의 손에 의해 앞으로도 계속해서 개발되고 발전할 겁니다.”
다크웹 시장 내에 제공되는 기술의 불완전함, 난독화 기술의 탐지를 어렵게 만드는 노하우 등과 같은 요소들은 결국 ‘난독화 기술의 빠른 변경’으로 이어질 수밖에 없다. 그렇다는 건 악성 페이로드를 빠르게 탐지하는 게 더 어려워질 거라는 뜻이 된다. “인코딩 방식을 주기적으로 바꾸기만 해도 보안 도구를 회피할 가능성은 높아집니다. 게다가 공격자들이 다양한 단계에서 이런 난독화 기술을 적용하기 때문에 방어는 더 어려워지고 있습니다.”
그렇기 때문에 발 빠르게 변하는 난독화의 대비책을 마련하는 기술 및 전략적 방안을 마련해야 하는 게 보안 업계와 과제라고 MS는 설명한다. “다층적, 다변적 난독화 기술의 적용은 현재 우리가 직면한 가장 큰 위협일지도 모릅니다. 공격자들의 난독화 전략에 대응할 방법이 필요합니다.”
3줄 요약
1. 난독화 기술, 요즘 공격자들은 자주 자주 바꿔주는 식으로 활용.
2. 새로운 기술이 빠르게 등장하는 것도 아니고, 공격자들의 도구가 완벽한 것도 아님.
3. 하지만 난독화 기술을 살짝 살짝 변경해 여기 저기 바꿔가며 적용하는 것만으로도 충분히 위협적.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
