Information Security ˗ˋˏ ♡ ˎˊ˗

Security/보안뉴스요약

[210210] 사용자의 눈을 피해 침투한다, 파일리스 공격

토오쓰 2021. 2. 10. 23:56

www.boannews.com/media/view.asp?idx=94776&page=2&mkind=1&kind=1

 

[보.알.남] 사용자의 눈을 피해 침투한다, 파일리스 공격

무협 소설에서는 간혹 검술의 경지에 오른 주인공이 ‘무형검’을 쓰는 모습을 묘사한다. 무형검은 이름 그대로 정해진 형태가 없거나 아예 모습이 보이지 않는 검을 말하며, 이를 마주한 적은

www.boannews.com

줄거리

파일리스 공격(Fileless Malware Attack)

flaticon

- 일반적으로 안티 바이러스 소프트웨어는 악성 파일의 시그니처를 탐지해 이를 차단하거나 파일 자체를 삭제해 피해를 막는다. 이와 달리 파일리스 공격은 정상적인 소프트웨어나 운영체제에 내장된 도구를 통해 악성 스크립트를 실행하는 방식으로 이뤄진다.

- 기존 멀웨어와 달리 저장장치(HDD 등)에 직접적인 흔적을 남기지 않으며, 메모리(RAM)에서 악성 행위가 실행되기 때문에 상대적으로 탐지 및 차단이 어렵다. 이 때문에 인 메모리 악성코드(In-Memory Malware)라는 이름으로 불리며, 휘발성 저장장치인 RAM의 특성상 전원을 끄면 기록이 사라지기 때문에 어떤 악성 행위를 했는지 파악하기도 어렵다.

 

실행되는 방법

1) 대표적으로 플래시를 이용한다. 악의적인 목적을 위해 피싱 사이트를 제작하고 악성 플래시 콘텐츠를 배치한다. 다행히 현재로서는 플래시 플레이어에 대한 지원이 종료됐으며, 플래시 콘텐츠 역시 차단돼 최신 브라우저를 사용하는 사람이라면 이러한 유형에 노출될 가능성이 없다.

2) 문서 파일을 이용한 스크립트 실행 역시 대표적인 파일리스 공격 사례다. MS 오피스 워드, 엑셀, 파워포인트 등의 매크로를 이용하는 것이다. 악성 행위를 수행하는 비주얼 베이직 스크립트(VBS) 작성해 MS 오피스 매크로 기능을 통해 실행되도록 미리 설정한다.

3) 랜섬웨어, 실행 중인 프로세스에 다른 악성행위를 위한 프로세스를 삽입하는 DLL 인젝션이나 파워셸, 자바스크립트 등을 통해 변형된 랜섬웨어를 유포하는 방법도 있었지만, 가장 눈에 띄는 것은 윈도우 운영체제에 기본 포함된 암호화 기능 ‘비트로커’를 악용하는 방식이다.

 

대응방안

- EDR(엔드포인트 탐지 및 대응): ㅍ-기존에 알려진 유형의 공격에만 대응할 수 있는 보안 소프트웨어와 달리, 알려지지 않은 유형의 위협도 탐지 및 대응할 수 있다.

- 알 수 없는 상대방이 보낸 메일의 첨부 파일 및 URL을 주의하는 것

- 주기적인 소프트웨어 업데이트-> 취약점 개선 

- 안티 바이러스 등 보안 소프트웨어의 실시간 감시 기능을 켜고 자동 업데이트 기능을 활성화

 

 

알게 된 지식 

DLL Injection: 다른 프로세스에 특정 DLL파일을 강제로 삽입시키는 것, 정확하게 표현하면 다른 프로세스에게 LoadLibrary() API를 호출하도록 명령하여 내가 원하는 DLL을 Loading 시키는 것이다. 

비트로커(BitLocker): 마이크로소프트 윈도우 비스타, 윈도우 서버 2008, 윈도우 7, 윈도우 8, 윈도우 8.1, 윈도우 10 운영 체제에 포함된 완전한 디스크 암호화 기능이다. 원래 사용자의 데이터가 유출되는 것을 방지하기 위해 암호화하는 기능이지만, 사용자가 아닌 공격자에 의해 무단으로 실행될 경우 랜섬웨어 없는 랜섬웨어 공격이 이루어진다.