[스크랩] 악성 프로그램의 진화: 6개월간의 관찰 결과 (출처 : Cisco 2017 중기 사이버 보안 보고서)

출처 : Cisco 2017 중기 사이버 보안 보고서 中

악성 프로그램의 진화: 6개월간의 관찰 결과 

시스코는 2017년 상반기에 악성 프로그램의 진화 과정을 관찰해왔으며, 그 과정에서 악성 프로그램 개발자가 유포, 난독화, 회피 등의 전략을 개발할 때 무엇에 가장 주력하는지 짐작할 몇 가지 동향을 발견했습니다. 

동향 1: 사이버 범죄자는 위협이 활성화되도록 사용자에게 특정 방식의 긍정적 행동을 유도하는 악성 프로그램 유포 시스템을 사용하고 있습니다. 

악성 프로그램 자동 탐지 시스템을 우회할 수 있는 악성 이메일 첨부 파일이 증가한 것으로 조사됐습니다. 샌드박스 환경에서 이러한 첨부 파일을 검사하더라도 악성이라는 증거가 나타나지 않습니다. 따라서 다음과 같은 콘텐츠가 사용자에게 전달될 수 있습니다. 

• 비밀번호로 보호되는 악성 문서(열람 유도를 위해 이메일 본문에 비밀번호 명시) 

• 특정한 방식의 행동을 통해 사용자의 승인을 요청하는 대화상자(예: "'확인'을 클릭하십시오.")가 표시된 문서

• Word 문서의 악성 OLE 개체 

• PDF에 포함 된 악성 Word 문서

동향 2: 사이버 범죄자는 랜섬웨어 코드베이스를 활용합니다. 

사이버 범죄자는 "교육적" 목적으로 랜섬웨어 코드를 공개적으로 배포하는 히든티어(Hidden Tear) 및 EDA2 같은 오픈 소스 코드베이스를 사용하여 악성 프로그램을 효율적, 경제적으로 개발합니다. 사이버 범죄자는 원본과 다르게 보이도록 코드를 수정한 후 악성 프로그램을 유포합니다. 시스코가 최근 몇 달간 파악한 "신종" 악성 프로그램 중 상당수는 교육용 코드베이스의 오픈 소스 코드를 토대로 개발됐습니다. 

동향 3: RaaS(Ransomware-as-a-Service) 플랫폼이 빠른 속도로 성장하고 있습니다. 

Satan 같은 RaaS 플랫폼은 코딩 또는 프로그래밍 작업을 수행하거나 기발한 전술을 개발하는 데 공을 들이지 않고서도 랜섬웨어 시장에 진출하거나 효과적으로 공격을 개시하고 싶어하는 사이버 범죄자들에게 이상적인 플랫폼입니다. 꾸준히 늘고 있는 이 플랫폼 제공업체는 사이버 범죄자들의 수입 중 일부를 가져갑니다. 심지어 일부 플랫폼 제공업체는 랜섬웨어를 배포하고 자사 '고객'의 공격 진행 상황 추적 등의 추가 서비스까지 제공합니다. 

동향 4: "메모리 상주" 악성 프로그램, 즉 파일이 없는 악성 프로그램이 늘고 있습니다. 

전세계 각지에서 시스템이 이런 유형의 악성 프로그램에 감염되고 있습니다. 사이버 범죄자가 반복적 메커니즘을 적용하지 않는 한, 이런 유형의 악성 프로그램은 파일 시스템이나 레지스트리에 아티팩트를 기록하지 않은 채 PowerShell 또는 WMI를 사용하여 전적으로 메모리에서 실행됩니다. 그로 인해 악성 프로그램을 감지하기 더 어렵습니다. 게다가 포렌식 조사와 사고 대응도 더 까다로워집니다. 

동향 5: 명령과 제어를 감추기 위해 익명화되고 분산된 인프라에 의존하는 사이버 범죄자가 늘고 있습니다. 

시스코 조사에서 Tor 네트워크에 호스팅되는 악성 프로그램과 명령 및 제어 서비스에 쉽게 액세스할 수 있는 "브리징 서비스(Bridging Service)"의 사용률이 증가하고 있는 것으로 확인됐습니다. 일례로 로컬 Tor 클라이언트 애플리케이션을 설치하지 않고서도 인터넷에 연결된 시스템이 Tor에 호스트된 프로그램과 서비스에 액세스할 수 있게 해주는 Tor2web 프록시 서비스가 있습니다. 17 Tor2web은 사이버 범죄자가 악성 프로그램을 수정하거나 Tor 클라이언트를 악성 프로그램 페이로드에 추가하지 않고서도 Tor를 더욱 손쉽게 사용할 수 있다는 장점이 있습니다. 사이버 범죄자는 본인이 선택한 도메인에서 Tor2web 프록시 서버를 구성할 수 있으므로 악성 프로그램을 유포할 때 Tor2web 프록시 서버를 차단하기 더 어렵습니다.