보안

지난 수년간 전세계 강타한 파일리스 악성코드 공격과 대응 방안

Matt Hamblen  | Computerworld 2017.02.10
최근 140개 이상의 은행, 통신, 정부 기관 네트워크에서 발견된 파일리스 악성코드 공격(Fileless malware attacks)은 현재 알려진 공격의 15%를 차지하며 지난 수년 간 다양한 형태로 존재했다.


Credit: IDGNS

가트너 보안 분석가 아비바 리탄은 "파일리스 악성코드 공격은 훨씬 더 보편화되고 있으며, 오늘날 배포되는 대부분의 엔드포인트 보호 및 탐지 도구를 우회한다"고 말했다.

지난 8일, 러시아 소재의 카스퍼스키랩의 연구원은 파일리스 악성코드 최근 현황에 대한 보고서를 냈다. 카스퍼스키에 따르면, 이 공격자들은 식별되지 않았으며 누구라고 지명하는 것은 거의 불가능하다.

악성코드가 메모리에만 존재하고 대부분 숨겨져 있기 때문에 파일리스 악성코드 공격이라 부른다. 이 악성코드 공격은 알려지지 않은 사이버 도둑들에 의해 ATM와 고객 계정을 훔쳐내는데 사용됐다. 그러나 피해범위나 액수에 대해서는 알려진 바 없다.

이 최신 위협은 원래 익명의 은행 보안 팀에 의해 발견됐는데, 악성코드는 보안 감사 요청에 응답하는 일종의 서버인 이 은행 도메인 컨트롤러의 물리적인 메모리 내에서 존재했다.

이 악성코드에 감염된 은행과 다른 기관들은 모두 40개국에 걸쳐 있었으며, 그 가운데 가장 많은 피해를 입은 국가는 미국, 프랑스, 영국, 케냐, 에콰도르 등 5개국이었다. 카스퍼스키 측은 미국 내에서 21건의 공격이 발생했다고 전했다.

카스퍼스키 랩 연구원인 커트 봄가트너에 따르면, 공격의 목표는 완전히 밝혀지지 않았지만, 공격자는 ATM 기기의 돈을 받아들이는 은행 컴퓨터를 표적으로 했다.

리탄은 이메일을 통해 "도둑들은 ATM 기기에서 현금을 빼내고 계정에서 돈을 훔치는 것을 포함해 모든 종류의 공격에 파일리스 악성코드를 사용한다"며, "지난 2년동안 은행과 유통업체들에게서 발생한 금융 사고의 절반 이상이 이런 공격 기법을 사용했다"고 설명했다.

리탄은 2014년 타깃(Target)을 공격한 공격자들이 파일리스 악성코드를 부분적으로 사용했다고 전했다.

리탄은 파일리스 악성코드 공격을 막거나 신속하게 탐지하기 위해서는 다음과 같은 여러 단계를 이행해야 한다고 권고했다.

- 일상적인 취약점을 피하기 위해 종종 시스템을 패치하라
- 마이크로소프트 파워셸과 같은 관리 도구의 사용을 소수의 엔드포인트 컴퓨터와 이 관리 도구가 꼭 필요한 이들로 제한하라.
- 메모리 내 공격에 대응한 보호 기능이 포함된 제품을 구입하라. 시만텍, 트렌드마이크로, 맥아피등이 이 기능을 추가했다.
- 엔드포인트 컴퓨터에서의 애플리케이션 제어를 통해 조직에서 허용한 애플리케이션만을 실행할 수 있도록 하는 것을 고려하라. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.