5/20 보안뉴스

"해커들을 투명인간으로 만둘어주는 공격 기법"

 

베이퍼웜(vaporworm): 웜처럼 자기 복제를 해가는 '파일레스 멀웨어'의 일종

 

파일레스 멀웨어: 파일을 디스크에 설치하지 않고 오로지 메모리 내에서만 실행되는 것. 악성코드가 시스템 메모리에 바로 로드되어 실행된다

보안 수칙인 '출처가 확실하지 않은 수상한 파일을 다운로드 받지 말라' -> 이를 본질적으로 무색하게 만드는 종류의 공격

 

드라이브 바이 다운로드(drive-by-download): 사용자가 웹사이트에 방문하는 자체만으로도 사용자 모르게 악성코드가 다운로드되는 사이버 공격 방법 가운데 하나

 

파일레스 멀웨어와 드라이브 바이 다운로드의 공통점

 사용자 편에서의 행위를 거의 필요로 하지 않고 공격 실시할 수 있다.

 스텔스와 피해자 개입 최소화

 

파일레스 멀웨어와 드라이브 바이 다운로드의 차이점

	파일레스 멀웨어	드라이브 바이 다운로드
	디스크에 물리적으로 장착되지 않고 오로지 메모리 내에서만 실행	멀웨어를 피해자의 시스템에 전파 -> 실치 후 실행
	운용 방식에 관한 개념	감염 경로를 강조할 때가 많은 개념
	ex) 드라이브 바이 다운로드라는 감염 방식을 통해 파일레스 멀웨어 심을 수 있게 된다
성장세	상승세 흔적을 남지 않은 위협 -> 막기 어렵다. 파워셸 (많은 시스템에 장착되어 있는 스크립트 및 명령어 관련 프로그램) 악용하여 공격 파워셀을 모든 장비에서 제거하여 막을 수는 있지만 IT 시스템 관리 & 운영에 영향을 끼친다.	안정기를 찾아가고 있다. 인터넷 브라우저 보안이 향상되면서 공격의요율성이 떨어짐 (XSS, 아이프레임, 자바스크립트 등을 통한 사이트 조작 공격 효율성 낮아짐) 효율성: 웹사이트의 조작이 얼마나 쉬운가, 브라우저를 익스플로잇 함으로써 충분히 실행할 수 있느냐에 따라 결정
위험 완화	파워셸, 윈도우 관리 도구(WMI), 워드 매크로 등과 같이 정상적인 기능을 통해 실시함. 이런 기능들을 막으면 워크플로우에 큰 차질이 빚어짐 사용자의 행동패턴을 분석하고 그에 기반을 둔 탐지 기법이 좋다 파일이 없기 때문에 멀웨어 자체를 탐지하는 건 힘들다 그래서 멀웨어가 발휘하려는 기능을 포착해야 한다. 실시간 방어 솔루션에 대한 의존도 높음 -> 늦는 사태 발생 메모리 스탠 -> 문자열 암호화 등때문에 방어 힘듬	플러그인, 브라우저, 애플리케이션의 보안 높인다. 모든 소프트웨어를 업데이트하고, 주기적으로 위협을 모니터링하며, 위협을 미리 사냥하는 등의 방법을 쓴다. 계정 권한을 적당하게 조정함으로서 침투한 공격자들의 움직임 제한한다.

 

파일레스 멀웨어 공격이 파일을 디스크에 설치하는 공격보다 성공률이 10배 이상 높다

 

사례

1. 머니테이커라는 범죄 단체가 자체 제작한 파일레스 멀웨어를 사용해 은행에서 돈을 탈취함

   1400만 달러 수익 거둠 => 파일레스 멀웨어 공격의 파괴력, 수익성을 상기시키는 계기

2. 블랙TDS(드라이브 바이 다운로드를 '서비스 형태'로 제공하는 키트) 등장

 

 

 

 

기사 링크:

https://www.boannews.com/media/view.asp?idx=79083&page=10&kind=1