보안

맥아피 랩, 2018년 탐지되지 않는 파일리스 공격 급증 중

Imogen Hargreaves | PCWorld Australia 2018.08.02
맥아피 랩이 신뢰할 수 있는 윈도우 실행 파일로 시스템과 기업 네트워크를 침범하는 파일리스(fileless) 공격에 사이버 범죄 전술 초점을 맞추는 새로운 연구 결과를 발표했다.

파일리스 공격으로 공격 행위자는 사용자 컴퓨터에 소프트웨어를 설치하지 않으면서도 추적하기 어려운 공격에 성공할 수 있다.

파일리스 위협의 예로 윈도우 시스템에서 사용자 정의 쉘 코드를 실행하는 캑터스 토치(Cactus Torch)를 들 수 있다. 캑터스 토치는 최근 빠르게 증가하고 있으며, 맥아피 랩에 따르면 추적을 피하면서도 성공률이 높아 많은 공격자가 빠른 속도로 기술 개발에 나서고 있다.

캑터스 토치는 악성 닷넷 어셈플리를 메모리에서 직접 실행하고 로드하는 NotNetToJScript 기술을 사용한다. 이러한 어셈플리는 .dll이나 .exe처럼 애플리케이션 배포 유닛 중 가장 작은 단위다. 다른 파일리스 공격 기술과 마찬가지로 NotNetToJScript는 악성 닷넷 어셈블리를 컴퓨터 하드 드라이브에 기록하지 않아 기존 파일 검색 프로그램이 공격을 감지하기 어렵다.

이러한 유형의 공격은 COM을 통해 노출된 신뢰할 수 있는 닷넷 라이브러리를 악용하며, 악성 닷넷 어셈블리는 디스크에서 기록되거나 삭제되지 않는다는 것이 특징이다. 악성 바이너리의 로드와 실행 전 과정은 런 타임 메모리에서 발생한다. 그렇기 때문에 기술이 기존의 탐지에 기반한 파일 스캔 프로그램에 들키지 않고 우회할 수 있다.

파일리스 위협 부문의 성장은 맥아피의 2분기 위협 보고서에서도 눈에 띄었다. 많은 파일리스 맬웨어 캠페인이 마이크로소프트 파워쉘로 메모리 공격을 시작하고 시스템에 백도어를 생성했고, 양적으로도 2017년보다 432%나 급증했다.

폰먼 인스티튜트의 ‘엔드포인트 보안 리스크의 현재 상황 보고서’에 따르면 파일리스 공격은 일반 파일 기반 공격보다 성공률이 10배나 더 높다. 파일리스 맬웨어는 보안 소프트웨어와 서명된 윈도우 ㅈ어품 프로그램 간의 신뢰 요소를 악용한다. 맥아피 랩은 신뢰할 수 있고 잘 알려진 실행 파일을 통해 파일리스 어택이 개시되기 때문에 추적하기가 극도로 어려워진다고 설명했다. editor@itworld.co.kr    

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.