분석 방해 기술 강화하는 구로더...오래 살아남을 수 있었던 건 변화 덕분

요약 : 보안 외신 해커뉴스에 의하면 악명 높은 다운로더 멀웨어인 구로더(GuLoader)가 최근 새로운 분석 방해 기술을 추가했다고 한다. 보안 업체 크라우드스트라이크가 분석한 바에 따르면 이 분석 방해 기술은 스크립트 기반 셸코드 방식으로 구현되며, 각종 가상 및 분석 환경을 탐지하는 것 외에 공격자가 맞춤형으로 지정하는 최종 페이로드를 피해자의 시스템에 심고 실행시킬 수 있다고 한다. 또한 피해자의 시스템에서 디버깅 프로세스가 시작되면 각종 오류 메시지를 내보내기도 한다. 심지어 원격에서 디버깅이 실시될 때는 셸코드 자체가 종료된다.


배경 : 구로더는 클라우드아이(CloudEye)라고도 불리는 비주얼 베이직 기반 스크립트이며, 각종 멀웨어를 실어나르는 데 활용되고 있다. 최소 2019년부터 활동해 왔다. 2021년 11월에는 이러한 구로더를 로딩하는 멀웨어인 랫디스펜서(RATDispenser)가 발견되기도 했다.

말말말 : “이번에 추가된 셸코드에는 다양한 분석 방해 및 디버깅 방해 기술이 포함되어 있습니다. 구로더 역시 오랜 시간 살아남을 수 있었던 건 계속해서 업그레이드 되기 때문이라는 것이 입증됩니다.” -크라우드스트라이크-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>