지능형지속가능위협(APT) 공격과 같이 잘 알려지지 않은 악성코드를 통한 공격을 방지하는데 사용되는 '샌드박스'를 회피하는 해킹 기법이 등장해 주의가 필요하다.
파이어아이는 20일 '파일기반의 샌드박스를 쉽게 회피하는 악성코드 기법(Hot Knives Through Butter: How Malware Evades Automated File-based Sandboxes)' 보고서를 통해 이 같은 내용을 공개했다.
보고서에 따르면 최근 멀웨어는 단일 플로우나 파일 기반 샌드박스 솔루션을 무력화시킨다. 또한 여러 기법들을 동원해 잠복하거나 복제시키는 등의 방법으로 탐지를 회피한다.
샌드박스는 사용자 PC와 같은 가상 환경을 구축하고 이곳을 통해 새로 유입된 파일이 실제로 어떻게 실행되는지에 대해 미리 알 수 있게 해주는 기능을 제공한다. 애플은 애플스토어에 애플리케이션(앱)을 등록하기 전에 이 과정을 거친다.
젱 부 파이어아이 연구팀 수석 이사는 최근 위협 동향에서 전통적인 샌드박스 솔루션은 갈수록 정교해지고 있는 공격에 더 이상 대응하지 못하고 있다며 지능화된 멀웨어는 언제 가상 환경이 실행 중인지를 판단하고, 그에 따라 그들의 악성 행위를 멈춰 탐지를 피할 수 있는 방식으로 점차 진화해 가고 있다고 말했다.
그는 이어 효과적인 탐지를 위해서는 행동 기반의 문맥 분석 기법과 멀티 플로우 분석을 통한 각 공격 단계간의 상관관계 분석이 중요하다고 설명했다.
파이어아이 연구팀은 악성코드의 새로운 우회 기법을 밝혀내기 위해 자사의 멀티-벡터 가상 실행(MVX) 엔진의 비-시그니처에 기반한 동적 실시간 탐지 기능을 활용했다. 악성코드 개발자가 파일 기반의 샌드박스를 우회하기 위해 사용하는 방법들에 대해 설명했으며 이는 일반적으로 아래 범주 중 하나 이상에 속하는 것으로 나타났다.
자동화된 파일 기반 샌드박스를 우회하는 기법은 크게 4가지로 분류했다. 먼저 '휴먼 인터랙션'은 사용자의 움직임이 없으면 실제 사용자 환경이 아니라고 판단해 악성코드가 작동하지 않는다. 가상머신 환경에서는 유입된 악성코드가 휴면상태로 존재한다는 것이다. 실제 사용자PC처럼 마우스나 키보드의 움직임이 확인될 경우에만 악성코드를 실행하도록 한다.
이 회사는 지난해 12월 발견한 '업클리커 트로이목마(UpClicker Trojan)'는 사용자의 마우스 좌측 버튼 클릭이 감지된 이후에만 해커가 좀비PC에 명령을 내리는 C&C서버와 커뮤니케이션하도록 하는 기법을 사용했다.
'설정'은 샌드박스 기능이 사용자 PC에 유입된 파일에 대해 몇 분 동안만 가상 환경에서 모니터링 한 뒤 실제 사용자의 PC에서 실행된다는 점을 악용한 것이다. 공격자는 대상의 PC가 해당 악성코드에 감염되면 몇 분간 시간이 지난 다음 실행되도록하는 방법으로 샌드박스를 우회한다.
관련기사
- 인터넷뱅킹 자금이체 거래 중단 해킹 경보2013.08.20
- SGA-파이어아이, 국내 침해사고 공동대응2013.08.20
- 파이어아이, 6.25 해킹 샌드박싱도 우회2013.08.20
- 파이어아이, KISA 사이버 위협 정보공유키로2013.08.20
'환경'은 특정 버전의 운영체제(OS)와 응용 프로그램에서만 발견되는 취약점을 공략한다. 샌드박스에서 미리 정의된 구성이 다양한 OS와 응용 프로그램의 조합을 갖추지 못한다면 악성코드들은 가상환경 기반 탐지 솔루션에 탐지되지 않고 내부 사용자를 감염시킬 수 있다.
'VM웨어 회피 기술'은 VM웨어 솔루션을 통해 구축한 가상 환경에서 악성행위가 탐지되지 않도록 만든다. 파이어아이측은 지난 6.25 분산서비스거부(DDoS) 공격 때도 가상 환경에서 샌드박스의 분석을 어렵게 하기 위해 공격자는 더미아 패킹 프로그램을 악용해 악성코드를 패킹해서 공격에 성공했다. 이로 인해 대다수의 보안 업체가 이 악성 코드를 분석 하는데 많은 시간이 소요됐다고 이 회사는 설명했다.
