파일을 사용하지 않는 새로운 공격 '파일레스 악성코드'

악성코드를 실체로서 디스크에 생성하지 않는 '파일레스 악성코드'의 감지 수가 2017년부터 급증하고 있다. 파일레스 악성코드는 Windows의 프로세스로 실행되어, 정식 프로세스인양 행세하며 감염 활동을 수행하기 때문에, 기존의 바이러스 백신 소프트웨어로는 감지할 수 없다.

2017년 여름 무렵부터 '파일레스 악성코드'의 감지 수가 급증하고 있어 화제가 되고 있다. 파일레스 악성코드는 스텔스 악성코드라고도 불려, 그 이름대로 바이러스 백신 소프트웨어로도 의심스러운 파일이 보이지 않게 활동하는 악성코드를 가리킨다. 피해가 발생하고 감염에 눈치채는 케이스가 많고, 게다가 흔적이 거의 없어서 감염 수법이 알려지게 된 것은 최근의 일이다.

기존의 악성코드는 메일의 첨부 파일로 침입하는 경우나 웹사이트를 통해 다운로드되는 경우에는, . exe 등의 확장자를 가진 실행파일로 PC의 디스크에 저장되었다. 그러나 파일레스 악성코드는 실행파일을 사용하지 않고, 스크립트 등을 통해 'Windows PowerShell'(이하 PowerShell)의 시스템관리 기능을 호출하여 악성코드에 감염시킨다.

파일레스 악성코드 감염의 구조

What Is Fileless Malware? | McAfee
https://images.app.goo.gl/1afFxD63F1SymKqdA

Image: What Is Fileless Malware? | McAfee

PowerShell은 Windows OS에 내장된 기능으로, Windows의 거의 모든 기능을 수행할 수 있다. 주로 원격으로 PC를 관리할 때 사용되는데, 이 밖에도 활용되는 경우로는, PC의 부팅 중에 여러개의 PowerShell이 ​​실행되는 경우도 적지 않다. 또한 그 동작은 '프로세스'로 메모리에서 실행된다.

파일레스 악성코드는 PowerShell을 호출하여 악의적인 웹사이트에서 악성코드를 다운로드하고 실행시킨다. 이 때 실행파일이 생성되는데, PowerShell 상에서, 즉 메모리에서 실행되기 때문에 PC의 디스크에 저장되지 않는다. 파일레스 악성코드라고 불리는 이유다. 메모리 내의 데이터는 PC의 전원이 끊기면 사라져 버리기 때문에 흔적을 남기지도 않는다.

기존의 바이러스 백신 소프트웨어는 디스크에 있는 파일만 검사하기 때문에 파일레스 악성코드를 발견할 수 없었다. 또한 체크하는 파일은 '.exe'등의 확장자를 가진 실행파일을 대상으로 하고 있었기 때문에, 파일레스 악성코드가 감염 활동의 계기로 사용했던 '.lnk'(바로가기 파일)이나 '.rtf'(서식있는 텍스트 파일) 등은 점검을 피했다.

또한 '.lnk'파일이나 '.rtf'파일 등은 그 자체가 악성코드는 아니다. 파일을 열 때 JavaScript와 같은 스크립팅문(명령문)이 실행되고, PowerShell을 호출하여 거기에 스포이드로 불리는 악성코드의 일종을 생성한다. 그 스포이드가 인터넷에 있는 C&C서버(명령 서버)와 통신하여 다양한 악성코드를 다운로드한다. 여기서 랜섬웨어가 다운로드되는 경우도 확인되고 있다.

바이러스 백신 소프트웨어는 악성 파일의 동작을 확인하는 '동작 감지'기능과 안전한 가상환경에서 파일을 실행하는 '샌드박스'기능을 가진 것도 있지만, 애초에 검사되지 않는 파일이 사용되고 있었다는 점에서 사이버 범죄자에 맹점을 찔린 느낌이다. 또한 PowerShell 등의 프로세스는 안전한 것으로 인식되고 있었으므로, 여기도 체크가 없었다.

파일레스 악성코드 진화의 위험성

파일레스 악성코드라고 하지만 '.lnk'파일이나 '.rtf'파일 또는 스포이드 등 어떤 파일을 실체로 가지고 있다. 따라서 검사의 범위를 넓히면 감지는 그다지 어렵지 않다. 실제로 많은 보안 소프트웨어 업체들이 안티바이러스 소프트웨어의 탐지 대상을 확대하여 파일레스 악성코드에 대응하고, 탐지율을 극적으로 향상시키고 있다.

또한 심층 방어를 도입하는데, 예를 들어 PC에서 감지할 수 없더라도 메모리에 생성된 악성코드가 C&C서버와 하는 통신을 감지하여, 더 위험한 악성코드의 침입을 방지할 수도 있다. 현재의 파일리스 악성코드에 거의 대응하는 것이 가능할 것이다. 그러나 사이버 공격과 보안 대책은 '다람쥐 쳇바퀴 돌기'임을 잊어서는 안된다.

현재 보안 소프트웨어 업체들이 우려하는 것은, 이 파일레스 악성코드 및 취약점의 악용을 조합한 공격의 출현이다. 이 경우 완전히 실체가 없는 진정한 파일레스 악성코드가 실현될 수 있다고 지적되고 있다. Windows와 마이크로소프트의 'Office', Adobe Flash Player, Adobe Acrobat 등 Adobe 제품, Java SE 또는 Web 브라우저와 플러그인 등은 자주 취약점이 발견되고 있다.

예를 들어 Web 브라우저에서 직접 PowerShell로 스크립트를 동작할 수 있다. 이 공격이 성공하면 메모리에조차 파일을 생성하지 않고 악성코드에 감염시키는 것이 가능하게 된다. 실체가 없기 때문에 로그도 남지 않고 사후 검증도 매우 어렵게 되어 버린다. 그날은 멀지 않은 것으로 보인다.

이러한 사태에 대비해 백신 프로그램은 '동작 감지'등의 동작 감지 기술을 연마하고 있다. 또한 파일의 동작뿐만 아니라 실행 중인 프로그램이나 프로세스를 모니터링하고 수상한 행동을 감지할 수 있도록 기능 강화를 추진하고 있다. 그리고 글로벌 탐지 정보 등을 축적하는 '위협 인텔리전스' 등을 활용하여 새로운 기술에 대응하고 있다.

출처 참조 번역
ファイルを使用しない？ 新たな攻撃「ファイルレス・マルウェア」
https://mypage.otsuka-shokai.co.jp/contents/business-oyakudachi/it-security-course/2018/03.html

ファイルを使用しない？ 新たな攻撃「ファイルレス・マルウェア」｜大塚商会