• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

해커들로부터 영감 받은 전문가, 새로운 탐지 툴 곧 공개 2018.02.21

파일레스 공격 극성...기존 보안 솔루션 농락하는 기법 대유행
cmd.exe라는 정상 윈도우 명령 통해서도 악성 코드 숨길 수 있어

[보안뉴스 문가용 기자] 러시아의 사이버 범죄단인 FIN7 혹은 카르바낙(Carbanak)은 주로 병원을 공격하는 것으로 유명하다. 그러다 최근에는 숙박 및 요식 업계의 사업체도 노리기 시작했다가 보안업체 파이어아이(FireEye)에 들켰다. 당시 이들은 cmd.exe 윈도우 바이너리를 익스플로잇 하고 있었다.

▲ 사건 대응해야 하는데 없어서 고민하셨던 분들을 위해 [이미지 = iclickart]


그 방법이 너무나 독특해 파이어아이의 수석 보안 연구원인 다니엘 보하논(Daniel Bohannon)은 영감을 받았다. 그래서 정상적인 윈도우 명령이나 바이너리 뒤에 악성 페이로드를 숨기는 공격에 대한 방어를 효과적으로 해낼 수 있게 해주는 툴을 만들기에 이르렀다. 보하논은 이 툴을 다음 달 싱가포르에서 열리는 블랙햇 아시아를 통해 공개할 예정이다.

“FIN7의 공격자들이 윈도우의 명령 프로세스를 공격에 활용하는 기법을 발견하고 아무 말도 할 수 없었습니다. 그냥 너무나 놀라웠고, 전 감탄 소리도 내지 못했어요. 그 때부터 명령 실행을 통한 공격과 방어 기법에 몰두했습니다.”

정상적인 윈도우 명령 프로세스를 익스플로잇해서 공격을 감행한다는 건, 쉽게 말해 요즘 보안 전문가들이 예의주시하고 있는 ‘파일레스 공격’을 뜻한다. 보안 솔루션들이 ‘정상’으로 판단할만한 요소들 뒤에 숨어 공격을 실시하는 방법이 바로 이 ‘파일레스 공격’이다. “파일레스 공격을 하면 멀웨어를 디스크에 심을 필요가 없게 됩니다. 그냥 윈도우에 원래 있는 툴들을 사용하고, 메모리에서 자신들이 원하는 걸 실시하면 되거든요.” 보하논의 설명이다.

파일레스 공격이 화제가 되는 건, 보안 업체 카본블랙(Carbon Black)의 보고서에 따르면, 이미 지난 해 발견된 사이버 공격 중 절반이 정상적인 윈도우 툴인 파워셸과 WMI를 통해 발생했기 때문이다. 왜? 사용자들 대부분이 가지고 있는 기존의 보안 솔루션들은 ‘멀웨어가 디스크에 존재해야만’ 탐지할 수 있어, 메모리 층위에서의 공격은 파악할 수 없어서다. 흔적도 남지 않는 공격, 매력적일 수밖에 없다.

보하논은 블랙햇 아시아에서 먼저 놀라움으로 그의 입을 닫아버린 FIN7의 공격 방법에 대해 자세히 공개할 예정이다. 그들이 기본적인 윈도우의 명령 체계를 어떻게 이용하고, 어떤 식으로 스스로의 모습을 감추는지를 말이다. “FIN7은 문자열 제거 혹은 문자열 대체 기법과 독특한 엔코딩 기법을 시스템 메모리 내에서 발휘하는데, 이게 굉장히 놀랍습니다. 이들이 주로 사용하는 건 cmd.exe이고요.”

보하논이 FIN7의 공격법을 상세히 공개하는 목적은 “지피지기면 백전백승이기 때문”이다. “공격자의 방법을 알면 방어가 한결 더 탄탄해질 수 있습니다. 왜 그들의 이러한 방법이 통하는지, 어떤 원리로 성공하는 건지를 알면 아무리 대단해 보이는 트릭이라도 의외로 간단히 풀려버리죠. 물론 제가 이러한 사실을 알림으로써 공격자들 역시 자신들의 기법을 바꿀 겁니다. 하지만 공격 기법을 매번 바꾼다는 것 역시 쉬운 일이 아니고, 그들의 공격 비용을 높이는 일이기에 가치가 있다고 봅니다.”

보하논은 강의에 앞서 살짝 FIN7의 공격 기법에 대한 힌트를 제공했다. “눈웃음 표시(^)와 쌍따옴표(“”)를 명령 문자열에 넣으면 페이로드를 숨길 수 있게 됩니다. 악성 문자열 앞뒤로 따옴표를 삽입하면 탐지를 피해갈 수 있게 된다는 것이죠. 기존 탐지의 규칙에 없는 것들이기 때문입니다.”

FIN7은 원래 DOCX나 RTF 문서에 LNK 단축 링크를 숨기는 것으로 유명했다. 이것만으로도 당시의 보안 솔루션들을 대부분 피해갈 수 있었기 때문이다. 하지만 작년 파이어아이가 발견한 바 자바스크립트와 cmd.exe에도 악성 명령을 숨기기 시작했다. “예를 들어 Word.Application이란 것을 “Wor”+“d.Application”으로 대체하더군요. 이렇게만 해도 숨기에 충분했습니다.”

그러한 사실로부터 그가 제작한 툴의 이름은 Invoke-DOSfuscation으로, cmd.exe나 파워셸 뒤에 숨어드는 공격자들을 탐지해내는 기능을 가지고 있다고 한다. 보하논은 이전에도 파워셸을 통한 공격을 탐지하는 프레임워크를 개발해 발표한 바 있다. 이 툴들의 이름은 Invoke-Obfuscation과 Invoke-CradleCrafter이다.

한편 최근 공격자들은 어떻게 해서든 탐지를 우회하기 위해 새로운 방법을 끊임없이 개발 중에 있다. 파일레스 공격도 그 중 하나다. 또 다른 방법으로는 누구나 사용할 수 있는 오픈소스 툴을 사용하는 것이 있다. “오픈소스를 활용하면 공격 비용을 한 차례 더 낮출 수 있다는 장점이 있습니다. 그래서 최근 국가가 후원하는 해커들도 즐겨 사용하죠.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>