5/20 보안뉴스
"해커들을 투명인간으로 만둘어주는 공격 기법"
베이퍼웜(vaporworm): 웜처럼 자기 복제를 해가는 '파일레스 멀웨어'의 일종
파일레스 멀웨어: 파일을 디스크에 설치하지 않고 오로지 메모리 내에서만 실행되는 것. 악성코드가 시스템 메모리에 바로 로드되어 실행된다
보안 수칙인 '출처가 확실하지 않은 수상한 파일을 다운로드 받지 말라' -> 이를 본질적으로 무색하게 만드는 종류의 공격
드라이브 바이 다운로드(drive-by-download): 사용자가 웹사이트에 방문하는 자체만으로도 사용자 모르게 악성코드가 다운로드되는 사이버 공격 방법 가운데 하나
파일레스 멀웨어와 드라이브 바이 다운로드의 공통점
사용자 편에서의 행위를 거의 필요로 하지 않고 공격 실시할 수 있다.
스텔스와 피해자 개입 최소화
파일레스 멀웨어와 드라이브 바이 다운로드의 차이점
| 파일레스 멀웨어 | 드라이브 바이 다운로드 | |
| 디스크에 물리적으로 장착되지 않고 오로지 메모리 내에서만 실행 | 멀웨어를 피해자의 시스템에 전파 -> 실치 후 실행 | |
| 운용 방식에 관한 개념 | 감염 경로를 강조할 때가 많은 개념 | |
| ex) 드라이브 바이 다운로드라는 감염 방식을 통해 파일레스 멀웨어 심을 수 있게 된다 | ||
|
성장세 |
상승세 흔적을 남지 않은 위협 -> 막기 어렵다. 파워셸 (많은 시스템에 장착되어 있는 스크립트 및 명령어 관련 프로그램) 악용하여 공격 파워셀을 모든 장비에서 제거하여 막을 수는 있지만 IT 시스템 관리 & 운영에 영향을 끼친다. |
안정기를 찾아가고 있다. 인터넷 브라우저 보안이 향상되면서 공격의요율성이 떨어짐 (XSS, 아이프레임, 자바스크립트 등을 통한 사이트 조작 공격 효율성 낮아짐) 효율성: 웹사이트의 조작이 얼마나 쉬운가, 브라우저를 익스플로잇 함으로써 충분히 실행할 수 있느냐에 따라 결정 |
|
위험 완화 |
파워셸, 윈도우 관리 도구(WMI), 워드 매크로 등과 같이 정상적인 기능을 통해 실시함. 이런 기능들을 막으면 워크플로우에 큰 차질이 빚어짐 사용자의 행동패턴을 분석하고 그에 기반을 둔 탐지 기법이 좋다 파일이 없기 때문에 멀웨어 자체를 탐지하는 건 힘들다 그래서 멀웨어가 발휘하려는 기능을 포착해야 한다. 실시간 방어 솔루션에 대한 의존도 높음 -> 늦는 사태 발생 메모리 스탠 -> 문자열 암호화 등때문에 방어 힘듬 |
플러그인, 브라우저, 애플리케이션의 보안 높인다. 모든 소프트웨어를 업데이트하고, 주기적으로 위협을 모니터링하며, 위협을 미리 사냥하는 등의 방법을 쓴다. 계정 권한을 적당하게 조정함으로서 침투한 공격자들의 움직임 제한한다. |
파일레스 멀웨어 공격이 파일을 디스크에 설치하는 공격보다 성공률이 10배 이상 높다
사례
1. 머니테이커라는 범죄 단체가 자체 제작한 파일레스 멀웨어를 사용해 은행에서 돈을 탈취함
1400만 달러 수익 거둠 => 파일레스 멀웨어 공격의 파괴력, 수익성을 상기시키는 계기
2. 블랙TDS(드라이브 바이 다운로드를 '서비스 형태'로 제공하는 키트) 등장
기사 링크:
https://www.boannews.com/media/view.asp?idx=79083&page=10&kind=1