2016.12.16

“악성코드 없는 공격” 2016년 랜섬웨어 만만치 않은 보안 위협으로...

Tim Greene | Network World
보안 전문가들이 실제 악성코드에 의존하지 않는 공격 활동에 주목해야 할 필요가 생겼다.

카본 블랙(Carbon Black)이 내놓은 최신 보고서에 따르면, 지난 1월부터 11월까지 악성코드 감염 없이 정상적으로 시스템에서 작동되고 있는 애플리케이션이나 프로세스를 악용하는 공격의 비율이 3%에서 11%로 증가했다.

이 보고서는 “2016년 악성코드 없는 공격과 랜섬웨어가 보안 공격의 중심을 차지했다”라면서 “악성코드가 없는 공격은 역대 최고 많은 비율이었으며, 내년에는 이 공격을 방어하는 데 초점을 맞춰야 할 것”이라고 전했다.

250만 개 이상의 엔드포인트가 포함된 1,000곳 이상의 카본 블랙 고객으로부터 받은 데이터가 보고서의 조사 대상이다. 연구원들은 악성코드가 탐지되는 것을 우회하기 위해 파워셸(PowerShell)과 WMI(Windows Management Instrumentation)을 악용했을 가능성이 있다고 설명했다.

악성코드가 없는 공격은 일반적으로 악성 파일을 추가로 다운로드할 것을 요구하지 않으며, 데이터 탈취, 인증 탈취, IT 환경 염탐 등 상당히 악의적인 행위가 시행될 수 있다.

예를 들어, 2016년 초 카본블랙은 파워웨어를 이용해 랜섬웨어 공격을 한 파워셸 공격 사례를 발견했다. 파워셸은 보통 경고가 울리지 않는 정상적인 윈도우 유틸리티이기 때문에, 이것을 이용하면 눈에 띄지 않는 공격이 가능하다. 같은 이유로 WMI도 이러한 공격에 활용된다.

카본 블랙 보고서는 이런 종류의 공격 중에서 ‘심각한 악성코드 없는 공격’을 분류했는데, 이런 공격이 4분기 현재 1분기에 비해 33% 증가했다고 전했다. 그리고 앞으로 90일 사이에 기업 중 3분의 1이 이 공격을 받게 될 것이라고도 전했다.

이 보고서는 “심각함”을 파워셸에 의심스러운 명령줄을 추가하고 코드를 바로 실행하는 공격이라고 정의했다. 이런 공격은 셸코드를 무작위로 실행하거나 다른 프로세스의 메모리를 읽는다거나 다른 프로세스에 침투하는 등의 추가 공격으로 이어질 수 있다.

랜섬웨어의 증가
또한 이 보고서는 기업 대상의 랜섬웨어 공격 증가 추세에 대한 내용도 지적했다. 보고서에 따르면, 랜섬웨어 공격은 지난해에 비해 50%가 증가했으며, 랜섬웨어 공격자들의 수익이 지난해 2,400만 달러에서 8억 5,000만 달러로 증가했다.

보고서는 “랜섬웨어는 2016년 악성코드 카테고리에서 가장 빠르게 증가하고 있는 공격 중 하나로, 특히, IT, 공공시설 업체, 금융 기관 등을 대상으로 한 공격이 증가하고 있다”고 설명했다.

랜섬웨어 공격이 확산되는 것과 함께 공격의 영향력도 커지고 있다. 예를 들어, 지난달 샌프란시스코의 교통국을 공격했던 랜섬웨어는 한 번에 2,000대의 기기를 공격했다.

특히 위세를 떨친 랜섬웨어군은 록키(Locky)다. 2016년의 모든 랜섬웨어 중 25%를 차지했는데, 2015년에는 상위 5위권에도 들지 못핸던 것이다. 또한, 록키 랜섬웨어는 계속 업그레이드되고 있으며, 페이스북이나 IM 등을 통해서도 배포될 수 있다. editor@itworld.co.kr


2016.12.16

“악성코드 없는 공격” 2016년 랜섬웨어 만만치 않은 보안 위협으로...

Tim Greene | Network World
보안 전문가들이 실제 악성코드에 의존하지 않는 공격 활동에 주목해야 할 필요가 생겼다.

카본 블랙(Carbon Black)이 내놓은 최신 보고서에 따르면, 지난 1월부터 11월까지 악성코드 감염 없이 정상적으로 시스템에서 작동되고 있는 애플리케이션이나 프로세스를 악용하는 공격의 비율이 3%에서 11%로 증가했다.

이 보고서는 “2016년 악성코드 없는 공격과 랜섬웨어가 보안 공격의 중심을 차지했다”라면서 “악성코드가 없는 공격은 역대 최고 많은 비율이었으며, 내년에는 이 공격을 방어하는 데 초점을 맞춰야 할 것”이라고 전했다.

250만 개 이상의 엔드포인트가 포함된 1,000곳 이상의 카본 블랙 고객으로부터 받은 데이터가 보고서의 조사 대상이다. 연구원들은 악성코드가 탐지되는 것을 우회하기 위해 파워셸(PowerShell)과 WMI(Windows Management Instrumentation)을 악용했을 가능성이 있다고 설명했다.

악성코드가 없는 공격은 일반적으로 악성 파일을 추가로 다운로드할 것을 요구하지 않으며, 데이터 탈취, 인증 탈취, IT 환경 염탐 등 상당히 악의적인 행위가 시행될 수 있다.

예를 들어, 2016년 초 카본블랙은 파워웨어를 이용해 랜섬웨어 공격을 한 파워셸 공격 사례를 발견했다. 파워셸은 보통 경고가 울리지 않는 정상적인 윈도우 유틸리티이기 때문에, 이것을 이용하면 눈에 띄지 않는 공격이 가능하다. 같은 이유로 WMI도 이러한 공격에 활용된다.

카본 블랙 보고서는 이런 종류의 공격 중에서 ‘심각한 악성코드 없는 공격’을 분류했는데, 이런 공격이 4분기 현재 1분기에 비해 33% 증가했다고 전했다. 그리고 앞으로 90일 사이에 기업 중 3분의 1이 이 공격을 받게 될 것이라고도 전했다.

이 보고서는 “심각함”을 파워셸에 의심스러운 명령줄을 추가하고 코드를 바로 실행하는 공격이라고 정의했다. 이런 공격은 셸코드를 무작위로 실행하거나 다른 프로세스의 메모리를 읽는다거나 다른 프로세스에 침투하는 등의 추가 공격으로 이어질 수 있다.

랜섬웨어의 증가
또한 이 보고서는 기업 대상의 랜섬웨어 공격 증가 추세에 대한 내용도 지적했다. 보고서에 따르면, 랜섬웨어 공격은 지난해에 비해 50%가 증가했으며, 랜섬웨어 공격자들의 수익이 지난해 2,400만 달러에서 8억 5,000만 달러로 증가했다.

보고서는 “랜섬웨어는 2016년 악성코드 카테고리에서 가장 빠르게 증가하고 있는 공격 중 하나로, 특히, IT, 공공시설 업체, 금융 기관 등을 대상으로 한 공격이 증가하고 있다”고 설명했다.

랜섬웨어 공격이 확산되는 것과 함께 공격의 영향력도 커지고 있다. 예를 들어, 지난달 샌프란시스코의 교통국을 공격했던 랜섬웨어는 한 번에 2,000대의 기기를 공격했다.

특히 위세를 떨친 랜섬웨어군은 록키(Locky)다. 2016년의 모든 랜섬웨어 중 25%를 차지했는데, 2015년에는 상위 5위권에도 들지 못핸던 것이다. 또한, 록키 랜섬웨어는 계속 업그레이드되고 있으며, 페이스북이나 IM 등을 통해서도 배포될 수 있다. editor@itworld.co.kr


X