2019.12.17

크립토마이너와 파일리스 파워셸 기법의 위험한 조합

Lucian Constantin | CSO
암호화폐 마이닝 악성코드(크립토마이너)는 랜섬웨어와 함께 기업 시스템을 노리는 가장 일반적인 위협 가운데 하나다. 크립토마이너 역시 랜섬웨어와 마찬가지로 몇 년 동안 진화하면서 과거에는 APT에 사용됐던 파일리스 실행, 런타임 컴파일, 반사 코드 주입과 같은 공격 벡터와 기술을 수용했다.
 
ⓒ Getty Images Bank 

보안업체 딥 인스팅트(Deep Instinct)의 연구진은 최근 아시아의 항공 관련 대기업 시스템에서 크립토마이너 감염 사례를 발견했다. 이 공격은 새로운 모네로(Monero) 암호화폐 마이너와 파워셸, 반사 PE 주입, 런타임 코드 컴파일, 그리고 익명성을 위한 토르(Tor)를 사용했다.

악성코드는 인코딩된 파워셸 스크립트로, 시스템 설정 시 실행되는 예약된 작업을 설정하고 또 다른 인코딩된 파워셸 명령을 실행했다. 두 번째 페이로드는 파워셸 기반 익스플로잇 프레임워크인 파워스플로잇(PowerSploit)과 파워셸 엠파이어(PowerShell Empire)의 Invoke-ReflectivePEInjection이라는 모듈을 사용해 레지스트리에 저장된 코드를 추출해 자체 실행 프로세스에 주입했다.

딥 인스팅트 연구원들은 새로 발표한 보고서에서 “런타임 컴파일은 새로운 수법은 아니지만 파일리스 공격의 인기가 높아지면서 점차 확산되고 있으며, 파워셸의 일부 보호 메커니즘을 우회하는 등 공격자에게 유리한 역할을 한다”고 설명했다.

악성코드를 디스크의 파일이 아닌 레지스트리 내에 저장한 다음 정상 프로세스의 메모리에 직접 주입하는 방식은 APT 공격에서 안티바이러스의 감지를 회피하기 위해 처음 사용된 수법이다. 이러한 파일리스 실행 기법은 현재 랜섬웨어를 포함한 다양한 악성코드 위협에서 흔히 사용된다.

이 사례의 경우 시스템 레지스트리 내에 저장된 코드는 모네로 마이닝 프로그램을 구현하는 두 개의 .DLL 파일(32비트 시스템용과 64비트 시스템용)로 구성된다. 크립토마이너는 로드되면 마이닝 풀의 실제 위치를 숨기기 위한 익명 프록시 역할을 하는 일련의 토어 노드와 통신을 개시한다.

딥 인스팅트 연구진은 “크립토마이닝 악성코드는 지난 2년 동안 지속적으로 발전하면서 정교함을 높이고 지능적인 파일리스 기법을 활용해 기업 환경의 목표물을 공격하고 있다”면서, “이 악성코드에 대한 분석과 연구는 아직 진행 중이지만 앞서 언급한 조사 결과에 비추어 보면 이 새롭고 정교한 크립토마이너 변형은 이전에 밝혀진 동일한 유형의 다른 악성코드와는 뚜렷이 구분되는 것으로 보인다”고 말했다.


파워셸 공격 방어하기

파워셸은 강력하고 유용한 시스템 관리 툴이지만 최근 몇 년 사이 광범위하게 사용되는 공격 벡터가 됐다. 따라서 기업에서는 파워셸이 필요 없는 시스템에서 파워셸 사용을 제한하거나, 최소한 로깅 및 탐지 기능을 추가하는 조치를 반드시 취해야 한다.

마이크로소프트는 모든 파워셸 버전 중에서 로깅 기능이 가장 강력한 파워셸 버전 5 사용을 권장한다. 그러나 버전 5를 설치한 후에도 파워셸 버전 2는 여전히 시스템에 남고 다운그레이드 공격에 이용되므로 시스템 관리자는 시스템에서 버전 2를 확실히 제거해야 한다.

또한 시스템 사용자에게 모든 기능이 필요하지는 않은 경우 제약 언어(Constrained Language) 모드로 파워셸을 구성할 수도 있다. 원격 서버 관리 용도로는 JEA(Just Enough Administration)라는 제한된 셸 모드를 사용할 수 있다.

이 외의 효과적인 대비 방법으로 디지털 서명된 스크립트만 실행을 허용하도록 파워셸을 구성하는 방법, 윈도우 10의 앱로커(AppLocker) 기능을 사용해 스크립트 실행을 허용하기 전에 검증하는 방법 등이 있다.

마지막으로, 파워셸이 시스템에서 불필요한 경우 완전히 제거할 수 있다. 최선의 보호 방법이지만 시스템 관리 작업을 자동화하기 위해 파워셸이 필요한 경우가 많으므로 그다지 현실적인 방법은 아니다. editor@itworld.co.kr 


2019.12.17

크립토마이너와 파일리스 파워셸 기법의 위험한 조합

Lucian Constantin | CSO
암호화폐 마이닝 악성코드(크립토마이너)는 랜섬웨어와 함께 기업 시스템을 노리는 가장 일반적인 위협 가운데 하나다. 크립토마이너 역시 랜섬웨어와 마찬가지로 몇 년 동안 진화하면서 과거에는 APT에 사용됐던 파일리스 실행, 런타임 컴파일, 반사 코드 주입과 같은 공격 벡터와 기술을 수용했다.
 
ⓒ Getty Images Bank 

보안업체 딥 인스팅트(Deep Instinct)의 연구진은 최근 아시아의 항공 관련 대기업 시스템에서 크립토마이너 감염 사례를 발견했다. 이 공격은 새로운 모네로(Monero) 암호화폐 마이너와 파워셸, 반사 PE 주입, 런타임 코드 컴파일, 그리고 익명성을 위한 토르(Tor)를 사용했다.

악성코드는 인코딩된 파워셸 스크립트로, 시스템 설정 시 실행되는 예약된 작업을 설정하고 또 다른 인코딩된 파워셸 명령을 실행했다. 두 번째 페이로드는 파워셸 기반 익스플로잇 프레임워크인 파워스플로잇(PowerSploit)과 파워셸 엠파이어(PowerShell Empire)의 Invoke-ReflectivePEInjection이라는 모듈을 사용해 레지스트리에 저장된 코드를 추출해 자체 실행 프로세스에 주입했다.

딥 인스팅트 연구원들은 새로 발표한 보고서에서 “런타임 컴파일은 새로운 수법은 아니지만 파일리스 공격의 인기가 높아지면서 점차 확산되고 있으며, 파워셸의 일부 보호 메커니즘을 우회하는 등 공격자에게 유리한 역할을 한다”고 설명했다.

악성코드를 디스크의 파일이 아닌 레지스트리 내에 저장한 다음 정상 프로세스의 메모리에 직접 주입하는 방식은 APT 공격에서 안티바이러스의 감지를 회피하기 위해 처음 사용된 수법이다. 이러한 파일리스 실행 기법은 현재 랜섬웨어를 포함한 다양한 악성코드 위협에서 흔히 사용된다.

이 사례의 경우 시스템 레지스트리 내에 저장된 코드는 모네로 마이닝 프로그램을 구현하는 두 개의 .DLL 파일(32비트 시스템용과 64비트 시스템용)로 구성된다. 크립토마이너는 로드되면 마이닝 풀의 실제 위치를 숨기기 위한 익명 프록시 역할을 하는 일련의 토어 노드와 통신을 개시한다.

딥 인스팅트 연구진은 “크립토마이닝 악성코드는 지난 2년 동안 지속적으로 발전하면서 정교함을 높이고 지능적인 파일리스 기법을 활용해 기업 환경의 목표물을 공격하고 있다”면서, “이 악성코드에 대한 분석과 연구는 아직 진행 중이지만 앞서 언급한 조사 결과에 비추어 보면 이 새롭고 정교한 크립토마이너 변형은 이전에 밝혀진 동일한 유형의 다른 악성코드와는 뚜렷이 구분되는 것으로 보인다”고 말했다.


파워셸 공격 방어하기

파워셸은 강력하고 유용한 시스템 관리 툴이지만 최근 몇 년 사이 광범위하게 사용되는 공격 벡터가 됐다. 따라서 기업에서는 파워셸이 필요 없는 시스템에서 파워셸 사용을 제한하거나, 최소한 로깅 및 탐지 기능을 추가하는 조치를 반드시 취해야 한다.

마이크로소프트는 모든 파워셸 버전 중에서 로깅 기능이 가장 강력한 파워셸 버전 5 사용을 권장한다. 그러나 버전 5를 설치한 후에도 파워셸 버전 2는 여전히 시스템에 남고 다운그레이드 공격에 이용되므로 시스템 관리자는 시스템에서 버전 2를 확실히 제거해야 한다.

또한 시스템 사용자에게 모든 기능이 필요하지는 않은 경우 제약 언어(Constrained Language) 모드로 파워셸을 구성할 수도 있다. 원격 서버 관리 용도로는 JEA(Just Enough Administration)라는 제한된 셸 모드를 사용할 수 있다.

이 외의 효과적인 대비 방법으로 디지털 서명된 스크립트만 실행을 허용하도록 파워셸을 구성하는 방법, 윈도우 10의 앱로커(AppLocker) 기능을 사용해 스크립트 실행을 허용하기 전에 검증하는 방법 등이 있다.

마지막으로, 파워셸이 시스템에서 불필요한 경우 완전히 제거할 수 있다. 최선의 보호 방법이지만 시스템 관리 작업을 자동화하기 위해 파워셸이 필요한 경우가 많으므로 그다지 현실적인 방법은 아니다. editor@itworld.co.kr 


X