안티 이베이전 플랫폼, 우회공격 차단해 지능형 공격 방어
상태바
안티 이베이전 플랫폼, 우회공격 차단해 지능형 공격 방어
  • 데이터넷
  • 승인 2019.01.09 10:12
  • 댓글 0
이 기사를 공유합니다
보안 솔루션 무력화하는 공격 탐지하는 AEP…위협 인텔리전스 연동해 신종 위협 대응

공격자는 언제나 방어 기술을 교묘하게 피하면서 안전하게 공격 할 수 있는 방법을 찾아낸다. 이를 ‘안티 이베이전(Anti-Evasion)’이라고 하는데, 보안 탐지·분석을 위해 조성한 환경에서는 동작하지 않거나 정상 프로세스에 숨어서 안전하게 침입하는 등의 방법을 사용한다. 보안 회피 기술인 안티 이베이전을 보안 솔루션에서도 사용할 수 있는 플랫폼 ‘AEP’가 주목된다. AEP는 방어 솔루션 탐지 회피 기술을 가진 멀웨어를 차단하고 위협 인텔리전스와 연동해 알려지지 않은 위협을 알려진 위협으로 만들어준다. <허효승 소프트와이드시큐리티 기술본부 이사 herstar@softwidesec.com>

중요한 데이터를 훔치거나 데이터를 인질로 잡고 몸값을 요구하는 공격이 일상화되고 있다. 범죄 조직은 데이터의 가치를 잘 알고 있기 때문에 네트워크, 시스템, 데이터에 대한 액세스 권한을 확보할 수 있는 새로운 방법을 고안한다.

공격이 지능화될수록 안티 멀웨어 공급 업체는 악의적인 공격 형태를 분석해 방어하는 능력을 고도화하고 있다. 악의적인 응용 프로그램의 시그니처 기반 탐지 기능에서 최신의 멀웨어 변종까지도 탐지하기 위해 기계 학습, 휴리스틱, 인공 지능, 분석 및 기타 고급 방법을 제공한다. 그러나 업계 최고의 노력에도 불구하고 악성코드는 보안 솔루션의 방어를 회피하면서 계속 증가하고 있는 것이 현실이다.

노비포(knowbe4) 리포트에 따르면 2017년 33%의 기업이 랜섬웨어 공격을 경험했으며 2017년 1분기에만 공개적으로 발생한 사건이 전 분기 대비 53% 증가했다. 공격자들은 탐지 회피 기술을 사용해 최신 안티 멀웨어 제품을 우회한다. 파일을 암호화하거나 고객의 네트워크에 불법적인 접근을 하기 위한 악성코드에 완벽하게 탐지를 회피하기 위한 멀웨어 방법론을 사용한다.

공격자는 안티바이러스(AV) 제품의 지속적인 향상에도 불구하고 계속해서 탐지 기반 멀웨어 회피 접근법을 찾아낸다. 아무리 좋은 AV를 사용한다 해도 공격은 여전히 발생하기 때문에 AV에만 의존해서는 피해를 막을 수 없다.

엔드포인트 보안 솔루션 유형

● AV, 차세대 AV, EPP

- 알려진 멀웨어 식별 패턴으로 파일을 스캔하고 악성이거나 의심스러운 파일의 액세스 차단

- 알려진 멀웨어 행위를 추적해 임계치를 초과하는 행위가 발견되면 프로세스를 중단시킴

- 차세대 AV 등 진일보한 개념의 방어 솔루션에도 불구하고 공격자는 지속적으로 탐지 기반 안티 멀웨어 기술을 회피하는 방식으로 진화함

● EDR

- AV는 많은 멀웨어를 차단하지만, 접근 방식은 공격 툴과 악성코드에 대한 지식을 기반으로 함

- EDR은 감염 발생 후 침입을 조사하거나 감지하는 솔루션

- 감지는 중요하지만, 너무 많은 이벤트로 인해 리스크가 될 수 있음

● 애플리케이션 격리

- 의심스러운 프로그램을 시스템의 영역과 별도로 분리된 환경에서 수행

- 애플리케이션을 통해 이전에 알려지지 않은 위협 방어 가능

- 격리 대상이 아닌 부분을 보호 할 수 없음

- 사용자와의 상호 작용을 위하여 높은 성능과 하드웨어 리소스 필요

- 신뢰 영역의 리스트, 파일 위치, 다른 정책 운영 등 관리 부담 증가

● 애플리케이션 컨트롤

- 명시적으로 허용되지 않은 프로그램 실행 차단

- 에이전트는 수행 전에 실행 파일이 이미 허용된 것인를 검증

- 관리자는 허용된 애플리케이션의 화이트리스트를 유지해야 함

- 관리자는 파일의 해시, 패스, 상세 인증 등을 사전에 승인해야 함

- 운영·비즈니스 비용 과다

성공적인 공격의 탐지 회피 기술

공격자는 악성코드가 탐지되지 않도록 적대적 환경 즉, 분석을 당할 수 있는 환경은 회피한다. 대부분의 엔드포인트, 샌드박스 등의 보안 제품들은 이러한 회피 기술을 탐지해 계속적으로 악성코드가 실행될 수 있도록 유도하는 기술을 가지고 있다.

공격자는 최대한 방어 솔루션을 피해 갈 수 있는 방법을 찾아 공격을 수행하고 탐지를 회피하는 일반적으로 알려진 기술을 포렌식 환경이나 샌드박스 환경을 회피하고, 합법적인 프로세스를 이용하는 파일리스(fileless) 형태의 공격을 진행한다. 매크로와 같이 애플리케이션의 정상 기능을 이용하고, 파워쉘 등의 스크립팅 방법을 활용한다.

퀄리스(Qualys) 조사에 따르면 멀웨어 중 89%는 적어도 하나 이상의 회피 기술이나 안티 리버스 엔지니어링 기술을 활용하고 11%는 회피 기술이 없는 복잡도가 낮은 위협으로 발표됐다.

탐지 회피 멀웨어는 고급 기술이 아니다. 다크웹에서는 MaaS(Malware As A Service)로 제공되는 고급 멀웨어를 100달러 이하로 구입할 수 있으며, 낮은 수준의 회피 기술은 무료로도 이용할 수 있다. 구글에서 ‘Bypass Antivirus’라고 검색만 해도 다양한 회피 기술을 쉽게 찾을 수 있다.

멀웨어가 보안 탐지를 회피하는 방법으로 ▲멀웨어에게 ‘적대적’ 환경에서 악성 행위 중지 ▲메모리 인젝션 사용 ▲문서 파일 사용 등이 많이 사용된다.

<그림 1> 멀웨어가 사용하는 탐지 회피 방법 (자료: 맥아피 위협 분석 리포트 2017)

● 적대적 환경에서 악성행위 중지

멀웨어 입장에서 ‘적대적 환경’은 보안 시스템이 탐지·분석을 위해 조성한 환경을 말한다. 대표적인 예로 포렌식 분석을 위해 조성한 가상환경에서 멀웨어는 프로세스를 스스로 종료하거나 슬립(Sleep) 상태를 유지하도록 설계한다.

자동화 분석을 위한 샌드박스에서도 멀웨어는 공격과 관련된 행위를 하지 않는다. 샌드박스는 의심스러운 파일을 폭파(Detonating) 해 위협 여부를 판단하는데, 악성코드는 샌드박스를 인지해 악의적인 동작을 하지 않도록 설계된다.

AV와 같은 엔드포인트 보안 솔루션이 설치된 환경에서도 악성 프로세스의 활동은 중단된다. AV 도구가 멀웨어를 인식할 가능성이 있다고 판단하면 해당 AV가 설치된 엔드포인트에서는 멀웨어가 실행되지 않도록 설계된다. AV가 샘플을 탐지하면 이 세부정보를 다른 보안 제품 및 공급업체와 공유하기 때문에 다른 AV에서도 탐지될 가능성이 높다. 그래서 특정 AV에서 탐지되면 악성 행위를 중단하도록 설계한다.

이처럼 적대적인 환경에서 악성 프로세스를 종료함으로써 멀웨어 흔적을 추적당하는 위험을 피하고 공격이 시작되기 전 까지 보안 탐지 레이더를 회피한다. 3·20 사고의 예를 들어보면, 이 공격에 사용된 멀웨어는 특정 날짜에만 실행되는 코드가 삽입됐다. 이 멀웨어는 1년 전부터 전파됐지만, 공격 날짜가 되기 전에는 아무런 행위도 일어나지 않았기 때문에 보안 시스템이 탐지하지 못했다.

● 메모리 인젝션 사용

AV는 잠재적으로 악의적인 모든 응용 프로그램을 감시하고 차단하기 위해 새로운 파일, 원하지 않는 파일 및 프로세스를 찾고 있다. 따라서 악성코드는 여러 운영 체제 별 기능을 활용해 자체 프로세스의 메모리에서 직접 실행하지 않고, 잘 알려진 프로세스에 침입해서 활동한다.

이러한 기술은 악용이나 취약점에 감지되는 것 없이 작동할 수 있고 또한 운영체제의 합법적인 기능을 활용한다. 이러한 악성코드는 패커(packer) 또는 다른 기술을 사용해 파일 내에 숨겨져 있기 때문에 보안 시스템에 탐지되지 않고 엔드포인트에 도착할 수 있다. 악성코드를 풀고 다른 응용 프로그램에 주입하면 멀웨어가 AV 솔루션에서 탐지되지 않고 확장돼 정상적인 프로세스처럼 보이게 돼 공격자에게 필요한 발판을 제공할 수 있다.

● 문서 파일 사용

MS 워드, 엑셀, PDF 등 문서로 사용되는 일반적인 파일은 단순한 데이터 저장소가 아니다. 문서가 제공하는 기능이 다양해지면서 공격에 이용할 수 있는 요소도 많아지고 있다. 문서에 실행 가능한 코드를 삽입하고, 매크로를 이용하며, 웹사이트와 상호 작용하는 등의 기능을 이용한다.

예를 들어 PDF에는 웹 브라우저를 시작하는 매크로가 포함된 워드 문서에 임베디드 돼 있어 엔드포인트에서 악성코드를 다운받고 실행할 수 있다. 복잡한 것 같다만 악성코드가 실제가 방어솔루션이 탐지할 수 있는 방법을 회피하기 위해 의도적으로 그러한 방식으로 설계됐기 때문이다. 이러한 유형의 방식으로 문서 파일을 활용하면 AV 솔루션이 악성 파일과 악성 파일을 구분하는 것이 어려워진다.

그레이리스트, 블랙리스트로 만드는 AEP

이처럼 지능적으로 보안 탐지를 회피하는 기술을 ‘안티 이베이전(Anti-Evasion)’이라고 한다. 안티 이베이전은 멀웨어가 엔드포인트 환경을 감지하고 공격하기에 안전한 상황이 아니라면 실행을 유보하는 지능저인 회피 기술을 말한다.

최근에는 안티 이베이전을 역으로 보안 기술로 사용하는 방법이 주목된다. 상황인지 공격, 파일리스 공격, 랜섬웨어 등 지능적인 공격의 수행을 방해하고 차단한다. 구체적인 차단 방법은 다음과 같다.

- 분석 툴과 같은 도구가 존재한다면 실행하지 않도록 설계된 멀웨어를 속임

- 멀웨어가 자신을 소멸시키는 환경을 조성

- 다른 프로세스에 코드를 인젝션하는 OS 기능을 남용하는 멀웨어 차단

- 파워셀 등이 포함된 문서의 악의적인 행위 차단

- 이미 자신이 이전에 감염시킨 엔드포인트라고 인지하도록 멀웨어를 속임

안티 이베이전 기술을 활용하면 다음과 같은 효과를 볼 수 있다.

- 이미 알려진 위협은 자동으로 차단해 AV 대체

- 파일리스 공격이나 합법적인 애플리케이션을 악용하는 최신의 위협에 효과적으로 대응

- 신·구 OS 및 하드웨어 버전에 호환

- 관리자 설정·튜닝·유지보수 부담 최소화

- 업무 사용자, 애플리케이션에 영향 최소화

- AV나 다른 보안 툴과 상호 보완

안티 이베이전 기술을 이용하는 엔드포인트 보안 플랫폼 ‘안티 이베이전 플랫폼(AEP)’은 기존 방어 솔루션 탐지를 회피하는 기술을 사용하는 멀웨어를 차단하고 기존 방어 솔루션의 인텔리전스와 연동해 알려지지 않은 위협을 알려진 위협으로 간주해 차단한다. AEP가 차단한 공격은 패턴 업데이트를 해 그레이리스트를 블랙리스트로 만든다.

안티 이베이션 기술은 단일 기술로서 의미도 있겠지만 기존의 방어 솔루션과 연동해 위협 인텔리전스를 최신으로 자동 업데이트한다. 이렇게 기존 방어 체계를 강화시켜 보안 투자를 최대한 극대화할 수 있다.

<그림 2> ‘미네르바 안티 이베이전 플랫폼’
저작권자 © 데이터넷 무단전재 및 재배포 금지
데이터넷
데이터넷 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사