• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

윈도우 레지스트리 공격하는 해커들과의 숨바꼭질 2015.12.22

파일 없앤 공격이 해커들 사이 최신 유행
뚫어내고 막아내고 또 뚫어내고 또 막아내는 공방의 순환

[보안뉴스 문가용] 공격자들은 어떻게든 탐지를 벗어나려고 애를 쓴다. 그래서 때마다 어김없이 새로운 멀웨어와 우회법이 등장하고, 보안 업계는 그걸 또 어떻게든 찾아내서 솔루션을 제작한다. 그런 순환의 고리에서 가장 최근에 등장한 우회 기술은 아마도 메모리에 악성코드를 주입하는 방법일 것이다. 이는 어떤 ‘파일’도 디스크에 생성하지 않는다. 때문에 디스크 파일을 분석해 탐지를 해내는 기존 보안 툴들을 무용지물로 만든다. 그래서 보안 업계는 그에 대한 대응의 일환으로 메모리 분석 기술, 메모리 보호 메커니즘, 행동 분석, 보다 광범위한 첩보 공유 등을 개발하고 있다.

▲ 투명한 공격자의 대명사 해파리. 이제는 한낱 무침일 뿐.


다시 해커들의 차례. 이번엔 메모리 대신 윈도우의 레지스트리에 코드를 주입하는 ‘파일 없는 공격’을 개발해냈다. 보통은 이메일 내의 첨부파일 혹은 링크의 형태로 최초 침입을 시도한다. 이 부분이 중요한데, 아무리 공격과 감염의 기술이 고도화되어도 ‘이메일 주의해서 열기’ 혹은 ‘미리 내용 확인해보고 열람하기’와 같은 기본만 지킨다면 예방이 가능하다는 걸 시사하기 때문이다. 첨부파일이 열리지 않고 링크가 클릭되지 않는 이상 멀웨어는 레지스트리건 메모리건 오염시키지 못한다.

윈도우의 레지스트리에 잠입 성공한 페이로드에는 여러 겹의 장치로 교묘하게 가려진 스크립트가 들어있다. 사용자의 접근 권한을 없애기도 하고 레지스트리 키 이름에 널 문자를 넣기도 한다. 이 페이로드는 파워쉘(POwerShell)과 같은 합법적인 정상 윈도우 프로그램을 호출해 악성 코드를 svchost, dllhost, regsvr32 등 윈도우의 표준 프로세스에 할당된 메모리 공간에 삽입하기도 한다. 정상적인 프로세스 내에 포함되었기 때문에 스캐너에 걸릴 확률이 확 낮아진다.

맥아피에서 여태까지 찾아낸 코브터(Kovter)나 포우라이크(Powelike) 등은 웹 사이트에 클릭이 가능한 광고들을 통해 퍼지며, 감염에 성공했을 경우 피해 시스템을 클릭봇으로 만들어 놓는다. 시스템에 리소스가 많으면 많을수록 광고 트래픽을 더 많이 생성하며, 이는 범죄의 수익성을 높여주는 결과로 이어진다. 이들의 여러 변종들 중 몇몇은 랜섬웨어 페이로드를 다운로드 받기도 했다.

레지스트리에 악성 코드를 주입시키는 공격을 할 경우 현존하는 탐지기술 대부분을 우회하는 게 가능하다. 게다가 악성 레지스트리 키의 증거 역시 그 값을 암호화하고 접근을 통제함으로써 숨길 수 있다. OS의 업데이트나 패치도 공격을 막지 못한다. 그 어떤 취약점을 노리고 들어간 것이 아니기 때문이다. 물론 레지스트리에 쓰기를 못하게 설정한다면 이런 공격은 처음부터 성립되지 않는다. 하지만 레지스트리에 쓰기를 못하게 한다면 굉장히 많은 정상 프로그램을 사용하지 못하게 된다.

이런 파일 없는 유행에 맞서려면 어떻게 해야 할까? 그저 바이러스의 정의를 최신화시킨 차세대 솔루션을 등장시키는 게 능사는 아니다. 사용자와 시스템의 행동 패턴을 분석하되, 여러 가지 다양한 상황과 컨텍스트, 프로세스 안에서 해야 한다. 태고적부터 있어왔지만 아마도 영원히 고칠 수 없는 취약점은 사람이다. 파일이 없는 공격이 노리는 유일한 취약점도 아마 이 ‘사람’이라고 볼 수 있다.

이메일과 웹 게이트웨이 시스템을 마련하는 것이 좋은 방법이 될 수 있다. 게이트웨이가 악성 링크를 걸러낸다면, 사람이 실수를 할 확률도 줄일 수 있다. 그리고 이런 링크가 접근해왔다는 걸 다른 시스템과 공유할 수 있어야 한다. 다만, 이런 첩보 공유가 정말 ‘공유’에만 그쳐서는 안 된다. 네트워크 트래픽 분석을 통해 최근 트래픽을 스캔한 다음 이미 감염되었을 수도 있는 컴퓨터나 기기를 찾아내는 데에까지 이르러야 한다.

또한 이런 악성 이메일이 반드시 최초 침투 경로라는 법은 없으므로 엔드포인트 보안을 강화해 개별 기기에서 일어난 레지스트리의 변화와 파워쉘(PowerShell)과 윈도우 관리 도구(Windows Management Instrumentation) 등 스크립트에 기반을 둔 관리자 툴의 실행도 민감하게 관찰, 분석할 수 있어야 한다.

해커들이 레지스트리 감염을 들고 나왔다면 보안 측에선 최근 하드웨어에 기반을 둔 메모리 보호라는 카드를 내놓고 있다. 행동 분석 또한 무섭게 떠오르고 있으며, 보안의 강력한 카드로서 기대를 받고 있다. 잡기 힘든 걸 잡으려면, 그물코 촘촘한 종합적인 방어 네트워크가 필요하다.
글 : 빈센트 위퍼(Vincent Weafer)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>