[사이버 피싱②] 해커의 공격... 방어기술 과 대응방법

일반적인 채널과 프로토콜 사용
서명된 바이너리를 사용해 난독화된 악성코드 실행

김문선 기자 승인 2021.07.12 21:05 | 최종 수정 2021.07.15 13:09 의견 0
X
사진 : pixabay

사람들이 신뢰하는 플랫폼, 브랜드와 마찬가지로 합법적인 애플리케이션에서 사용하는 암호화된 채널이나 포트, 프로토콜 역시 공격자에게는 족적을 숨기는 수단이 된다.

◇ 일반적인 채널과 프로토콜 를 사용한다.

예를 들어, HTTPS는 오늘날 웹의 모든 곳에 사용되는 필수적인 프로토콜이지만 바로 그 이유로 포트 443(HTTPS/SSL에 사용되는 포트)은 기업 방화벽에서 차단하기가 매우 어렵다. 도메인 확인에 사용되는 프로토콜인 DNS 오버 HTTPS(DNS over HTTPS, DOH)도 포트 443을 사용하며, 맬웨어 제작자들이 지휘통제(C2) 명령을 감염된 시스템으로 전송하는 데 사용된다.

이 문제에는 두 가지 측면이 있다. 첫째, 공격자들은 HTTPS 또는 DoH와 같이 일반적으로 사용되는 프로토콜을 악용함으로써 합법적 사용자와 마찬가지로 종단간 암호화된 채널이 제공하는 개인정보보호의 이점을 얻는다.

둘째, 네트워크 관리자 입장에서 대처하기가 어렵다. 어느 형태든 DNS를 차단하는 것이 어렵기도 하지만, DNS 요청과 응답이 HTTPS를 통해 암호화되는 지금 상황에서 보안 전문가가 네트워크를 통해 오가는 수많은 HTTPS 요청 중에서 의심스러운 트래픽을 가로채 판별하고 분석하기는 쉽지 않다.

35개 이상의 대형 기술기업을 대상으로 한 윤리적 해킹을 통해 종속성 혼동 수법을 증명한 연구원 알렉스 버산은 DNS(포트 52)를 사용해 기본적인 정보를 빼내는 방법으로 해킹 성공률을 극대화할 수 있었다. 버산은 기업 방화벽이 성능 요구사항과 합법적인 DNS 사용을 고려, DNS 트래픽을 차단하지 않을 가능성이 높은 데 착안해 DNS를 선택했다.

◇ 서명된 바이너리를 사용해 난독화된 악성코드 실행한다.

자급자족형 바이너리(LOLBIN)를 사용하는 익숙한 파일리스(fileless) 악성코드 개념이 여전히 유효한 회피 수법으로 사용되고 있다.

LOLBIN은 마이크로소프트가 서명한 윈도우 실행 파일과 같이 합법적이고 디지털 서명된 실행 파일로, 공격자가 승격된 권한으로 악성 코드를 실행하거나 안티바이러스와 같은 엔드포인트 보안 제품을 회피하는 용도로 악용할 수 있다.

지난 달 마이크로소프트는 기업에서 마이크로소프트 애저 LOLBIN 악용을 통한 공격을 차단하는 데 사용할 수 있는 방어 기술에 관한 몇 가지 지침을 공개했다.

또 다른 사례로, 최근 발견된 리눅스 및 맥OS 악성코드는 필자가 분석해 보니 모든 주요 안티바이러스 제품에서 완벽한 제로 탐지율을 기록했다.

바이너리에는 회피에 도움이 되는 난독화된 코드가 포함되어 있었다. 추가로 조사한 결과 이 맬웨어는 수백 개의 합법적인 오픈소스 구성요소를 사용해 제작됐으며, 관리자 권한 획득과 같은 악의적인 활동을 합법적 애플리케이션과 동일한 방식으로 수행한 것으로 드러났다.

난독화된 악성코드, 런타임 패커, VM 회피 또는 이미지에 악성 페이로드 숨기기는 지능적 위협에 사용되는 알려진 회피 수법이지만, 이들의 진정한 파괴력은 보안 제품을 피해가는 능력, 즉 레이더에 포착되지 않는 은밀한 움직임에 있다.

이는 신뢰받는 소프트웨어 구성 요소, 프로토콜, 채널, 서비스 또는 플랫폼과 페이로드가 일정 수준으로 결합될 때 가능하다.

결론적으로 사용자 인증 정책 외부망 사용자는 외부망에서 내부망 시스템으로 접속을 시도하는 사용자들이다. 이러한 접속은 다이얼 인라인이나 재택 근무자, 여행중인 내부 사용자 등이 네트워크 상의 모든 곳에서 시도할 수 있다. 내부망에 대한 모든 접속 시도는 방어벽(Firewall)의 강한 인증 서비스를 통해 허용되어야 한다

침입탐지 기술의 태동 배경을 아래 그림을 통해 살펴보면, 초기에 컴퓨터 시스템 관리자들 은 막대한 양의 감사 기록(audit record) 정보들로부터 보안 관리에 필요한 정보들만을 선택 적으로 수용하고 분석하기 위해서 일일이 저장된 로그 파일들을 수작업으로 처리해야 했다.

침입탐지 및 대응 침입 대응 모듈은 대응 형태에 따라 수동적 대응과 능동적 대응으로 구분된다. 대부분의 침입탐지 도구는 수동적이다. 즉, 공격이 발견되면 경보가 생성되지만 공격을 좌절시킬 대응을 능동적으로 수행하지 않는다.

이는 침입탐지시스템이 많은 수의 잘못된 경보를 발생시켜 시스템의 가용성을 떨어뜨릴 수 있으므로 일면 타당할 수 있다. 주기적인 분석에 기반을 둔 다수의 침입탐지도구들에는 시스템의 구성에 보안문제가 발생하는 경우 능동적으로 대처할 수 있는 능력이 추가되었다.

이러한 도구들은 취약점을 탐지하고 시스템을 이전상태로 되돌리는 스크립트들을 생성한다. 침입탐지 제품들의 도래와 함께 대응 요소들도 현저하게 증가했는데 오늘날 대부분의 침입탐지시스템들은 공격이 행해지고 있는 연결을 끊고 공격이 시작된 호스트로부터의 트래픽을 막거나 방화벽이나 라우터 등의 설정을 변경하는 기능을 포함하고 있다.

최근, 침입탐지시스템이 보다 신뢰할 수 있게 됨에 따라 이러한 보안정책은 더욱 활성화되고 있다.

저작권자 ⓒ 디지털비즈온, 무단 전재 및 재배포 금지