오래된 멀웨어라 탐지 잘 되어야 하는데...프로그래밍 언어 섞으니 난이도 높아져

요약 : IT 외신 블리핑컴퓨터에 의하면 스트랫(StrRAT)과 래티(Ratty)라는 원격 접근 트로이목마 멀웨어가 MSI/JAR와 CAB/JAR 파일들을 고루 활용해 보안 도구들의 탐지를 회피하면서 피해자들을 감염시키고 있다고 한다. 여러 가지 언어로 된 파일을 사용하면 준수한 비율로 탐지 기술을 회피할 수 있게 된다고 한다. 실제로 스트랫과 래티는 꽤나 오래된 멀웨어이며, 보안 업계가 세세하게 분석해 놓은 공격 도구이지만 언어를 혼합하는 기법을 통해 공격을 높은 확률로 성공시키는 중이라고 한다.


배경 : 보안 탐지 도구들마다 잘 탐지하는 프로그래밍 언어가 있다. 오래되고 유명한 언어로 만들어진 멀웨어는 생경한 언어로 만들어진 멀웨어보다 탐지될 가능성이 통상 높다. 그래서 최근 멀웨어 개발자들 사이에서 고(Go)나 루비(Ruby), 러스트(Rust) 등의 언어가 서서히 인기를 끌고 있다.

말말말 : “다양한 언어에 대한 방어 체계를 수립하려는 노력이 이어지고 있긴 합니다만, 아직까지는 공격자들이 이를 잘 회피하곤 합니다.” -딥인스팅트(Deep Instinct)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>