평범한 멀웨어, 관심 받지 않기 때문에 오히려 더 큰 위협 되기도

[이미지 = iclickart]

덱스폿이 처음 발견된 건 2018년 10월이다. 그 후로 지금까지 수만 대의 컴퓨터를 감염시켰다. 하지만 그 사실이 매체나 보안 업계에 큰 관심을 끌지 못했다. 또한 당시 덱스폿은 20~30분에 한 번씩 바뀌는 파일들을 수만 대의 시스템에 퍼트리고 있었고, 그 이유가 난독화, 암호화, 무작위화를 통한 탐지 회피인데도 화제가 되는 일이 없었다.

이를 분석한 MS에 의하면 덱스폿은 “현대 멀웨어들처럼 메모리에서만 작동하도록 설계되었다”고 한다. 또한 “정상 프로세스들을 하이재킹해 사용함으로써 보안 솔루션들이 악성 행위를 탐지하지 못하도록” 작동하기도 한다. 시스템에 설치된 이후 덱스폿은 모니터링 서비스와 미리 스케줄링 된 임무의 목록을 활용해 피해자의 삭제 시도가 있어도 계속해서 스스로를 설치한다.

덱스폿 개발자는 지난 1년 동안 덱스폿에 여러 가지 기능을 꾸준히 추가했다고 한다. “추가된 기능의 대부분은 탐지 기술을 회피하기 위한 것들이었습니다. 정상 프로세스를 통해 악성 행위를 실시하는 점이 방어자들을 가장 괴롭히고 있습니다. 지속적인 업그레이드를 통해 덱스폿은 최초 설치만 빼놓고 모든 행위를 정상 프로세스로 실시합니다.”

그 외에도 덱스폿은 ‘프로세스 할로윙(process hollowing)’이라는 기술도 사용하기 시작했다. 프로세스 할로윙이란, 멀웨어가 정상 프로세스 내에 숨어있는 것을 말한다. 주로 svchost.exe, tracert.exe, setup.exe와 같은 프로세스가 활용된다. “이렇게 숨어있는 멀웨어는 찾아내기가 힘듭니다. 그래서 요즘 멀웨어들이 죄다 이런 프로세스 속을 파고드는 것이죠.”

또한 프로세스 할로윙을 하게 되면, “파일레스(fileless) 공격이 저절로 이뤄진다는 장점도 있다”고 한다. “파일레스 공격은 악성 코드가 하드드라이브에 남지 않기 때문에 탐지가 불가능에 가까울 정도로 어려우며, 포렌식을 통해서도 자취를 찾아내는 게 까다로워집니다. 공격자들이 파일레스를 선호하기 시작한 이유가 분명히 있습니다.”

이렇게 공격 대상이 되는 시스템 내에 존재하는 프로세스와 도구를 악의적으로 활용하는 공격 전략을 크게 ‘리빙 오프 더 랜드(living-off-the-land)’라고 부르는데, MS는 최근 사이버 공격자들 가운데서 가장 ‘뜨거운’ 주제라고 한다. 보안 업체 라피드7(Rapid7) 역시 최근 공격자들이 정상 프로세스를 공격에 활용하는 것을 고발했다. 그 때 언급된 프로세스는 위 세 가지 외에 cmd.exe, ADExplorer.exe, procdump64.exe, rudll32.exe, schtasks.exe 등이다.

“기본 탑재된 윈도우 기능들을 공격자들이 활용하기 시작하면서 탐지가 훨씬 어려워지고 있습니다.” 라피드7이 보고서 결과다. 관리자 툴이나 정상 프로세스 속 안까지 들여다보며 악성 행위를 근절시키는 보안 솔루션들은 극히 드물며, 따라서 ‘리빙 오프 더 랜드’ 전략이 성행하는 한 기업들은 정상 프로세스에 대한 모니터링도 강화해야 한다고 라피드7은 강조했다.

3줄 요약

1. 덱스폿, 평범하기 때문에 주목받지 않고, 그 동안 수만 대 컴퓨터 감염시킴.

2. 최근 공격자들, 정상 프로세스 통해서만 공격 실시하기도 함.

3. 정상 프로세스와 정상 도구 사용하는 전략, ‘리빙 오프 더 랜드’라고 불림.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=84812&page=3&mkind=1&kind=1]​