• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

프로세스 도플갱잉, 멀웨어의 가장 효과적인 로딩법? 2017.12.08

MS, AVG, ESET, 시만텍, 비트디펜더, 카스퍼스키 등 솔루션, 탐지 실패
프로세스 할로윙과 비슷하지만 더 효율적...곧 세부 기술 내용 공개

[보안뉴스 문가용 기자] 보안 업체 엔실로(enSilo)가 보안 제품에 탐지되지 않고 멀웨어를 윈도우 환경에서 실행시키는 방법을 새롭게 발견해냈다. 그리고 이 방법을 ‘프로세스 도플갱잉(Process Doppelganging)’이라고 불렀다.

[이미지 = iclickart]


엔실로에 의하면 프로세스 도플갱잉은 프로세스 할로윙(process hollowing)과 비슷한 방법이다. 프로세스 할로윙이란, 정상 프로세스의 새로운 인스턴스를 생성해 정상 코드를 악성 코드와 바꿔치기 하는 식의 코드 주입 기법이다. 이미 사이버 범죄자들은 수년 동안 이 기법을 사용해왔고, 그래서 대부분 보안 제품들은 이 공격을 탐지할 수 있다.

그런 상황에서 프로세스 할로윙과 비슷하지만 조금 다른 방법을 엔실로가 찾아낸 것. 심지어 프로세스 도플갱잉이 더 효율적이라고까지 한다. 이 방법만 익히면 이전보다 쉽게 랜섬웨어 등의 멀웨어를 표적이 될 시스템의 정상 프로세스에 심을 수 있다. “프로세스 도플갱잉은 윈도우 로더를 악용해 코드를 디스크에 쓰지 않고도 실행할 수 있도록 해줍니다. 디스크에 실체가 없는 악성 코드이므로 탐지가 매우 어렵고요.”

엔실로가 실험한 바에 의하면 프로세스 도플갱잉 기법을 사용할 때 악성 코드가 디스크 내 파일로 올바르게 매핑된다. 매핑되지 않는 코드에 경보를 울리는 보안 솔루션의 입장에선 정상 프로세스와 다르지 않다. 심지어 악성 DLL도 로딩하는 데 프로세스 도플갱잉을 사용할 수 있다.

엔실로는 프로세스 도플갱잉을 여러 환경에서 실험했다. 그리고 윈도우 7, 윈도우 8.1, 윈도우 10에서 MS, AVG, 비트디펜더(Bitdefender), 이셋(ESET), 시만텍(Symantec), 맥아피(McAfee), 카스퍼스키(Kaspersky), 팬더 시큐리티(Panda Security), 어베스트(Avast) 제품을 상대로 공격을 성공시켰다.

프로세스 도플갱잉을 하려면 트랜잭셔널 NTFS(transactional NTFS) 환경이 필요하다. 이는 앱 개발자들과 관리자들이 보다 쉽게 오류를 처리하고 데이터 무결성을 유지하도록 하기 위해서 설계된 파일 시스템으로, 엔실로는 NTFS에서의 정보 처리(transaction) 과정에 개입하여 디스크에 실제 변경을 적용하지 않고 실행파일을 변경시키는 방법을 찾아냈다고 한다. 그런 후 윈도우 프로세스 로더의 기능을 악용하여 악성 실행파일을 로딩할 수 있게 되었다. 이 프로세스 로더의 기능은 윈도우 공식 매뉴얼 등에 명시되지 않은, 숨은 기능이다.

“NTFS에서의 정보 처리(transaction)가 이뤄지는 상황에서 정상 파일을 덮어쓰기 하는 거라고 볼 수 있습니다. 그런 후 조작된 파일로부터 섹션을 하나 생성하고, 거기서부터 프로세스를 또 생성합니다. 현재까지 저희가 확인한 보안 제품 중에서는 처리 과정(transaction) 중 파일을 검사하는 게 가능한 솔루션은 없었습니다. 그래서 탐지에 전부 실패했습니다.” 게다가 시스템을 빠져나오면서 파일을 원상 복귀시켰기 때문에 흔적도 남지 않았다.

물론 프로세스 도플갱잉이 마냥 간단하기만 한 공격 기법은 아니다. 기술적으로 익혀두어야 할 것이 꽤나 많다. “가장 어려운 건 섹션에서 프로세스를 발동시키는 겁니다. 디스크에 저장되어 있는 파일을 실행시켜 프로세스를 시작하는 것과 다릅니다. 이 때 NtCreateProcess를 활용해야 하는데, 이는 즉 첫 시작 단계에서의 작업이 거의 전부 수동으로 진행된다는 뜻입니다. 전부 수동으로 진행하려면 윈도우를 직접 만든 것처럼 프로세스 생성에 대해 잘 알고 있어야 하죠.”

엔실로는 “이 실험 결과를 가지고 우리 백신 제품을 강화했다”고 밝혔다. “그러니 다른 제조사들 역시 백신을 강화하는 게 그리 어렵지 않을 겁니다. 요는 사이버 범죄자들이 프로세스 도플갱잉을 익숙하게 사용하기 전에 미리 탐지 장치를 마련하자는 것이죠. 보안 커뮤니티 전체가요.” 하지만 전문가들 중 이러한 방법이 “정상 프로세스를 전면에 내세우고 있는 것이기 때문에 패치로 해결하는 게 불가능하다”고 말하는 사람도 있다.

아직 안전을 위해 프로세스 도플갱잉에 대한 기술적 세부 내용 및 개념증명은 미공개 상태다. 패치가 나오거나 적절한 조치가 취해졌을 때 공개할 것이라고 엔실로는 예고했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>