포스팅 내용

국내외 보안동향

[해외보안동향] 파일이 없는 멀웨어 발견

파일이 없는 멀웨어 발견


파일이 없는 ‘파일리스 멀웨어’가 발견되었습니다. 이번에 발견된 파일리스 멀웨어는 다른 대부분의 멀웨어들과는 달리 탐지되기 어려운 곳에 자신을 숨기는 특징을 가지고 있습니다. 파일리스 멀웨어는 타겟의 컴퓨터 하드 드라이브에 설치되지 않고 메모리에만 존재하며, RAM에 직접 입력됩니다.


파일리스 멀웨어 감염 사례로는 POWELIKS를 들 수 있습니다.  POWELIKS는 2014년 말에 발생해 급격히 증가하였으며, 악성코드를 윈도우의 레지스트리에 숨길 수 있습니다.


파일리스 멀웨어의 다른 예로는 'Phasebot'가 있습니다.  Phasebot는 멀웨어나 악성 온라인 툴을 판매하는 웹사이트에서 판매되고 있습니다. Phasebot은 루트킷과 파일리스 실행 기능 등을 수행합니다. 이는 2013년 말에 처음으로 발견된 Solarbot과 동일한 기능들 입니다. 그러나 기존의 Solarbot와 비교해보면, Phasebot는 잠행 및 침범 메커니즘에 중점을 두고 있다는 점에서 뚜렷한 차이를 보이고 있습니다. 또한, C&C 서버와 연결할 때마다 랜덤 패스워드를 사용하여 통신을 암호화합니다.


멀웨어는 아래의 프로그램이 시스템에 설치되어 있는지 확인합니다.


.NET Framework Version 3.5

Windows PowerShell


확인 후, 암호화된 쉘 코드가 입력되는 위치에 아래와 같은 레지스트리 키를 생성합니다. 


HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{Bot GUID}


만약 시스템에서 위의 프로그램들이 발견되지 않을 시, Phasebot은 자기 자신을 %User Startup% 폴더에 복사합니다. 이후 사용자로부터 파일을 숨길 수 있는 유저단 루트킷을 위해 API를 후킹합니다. 이 과정에서 파일을 숨기기 위해 NtQueryDirectoryFile을 후킹하며 멀웨어 프로세스를 숨기기 위해서는 NtReadVirtualMemory를 후킹합니다.


Phasebot의 흥미로운 점은 보안 서프트웨어의 탐지를 피하기위해 윈도우 시스템 관리 툴인 Windows PowerShell을 사용한다는 점입니다. Powershell은 레지스트리에 숨겨둔 컴포넌트들을 실행하기 위해 사용됩니다. 이러한 파일리스 멀웨어 형식은 앞으로도 증가할 것이라고 예상되고 있습니다. 



참고:

http://blog.trendmicro.com/trendlabs-security-intelligence/without-a-trace-fileless-malware-spotted-in-the-wild/



  1. 궁그미 2015.05.14 09:15  수정/삭제  댓글쓰기

    파일리스 멀웨어를 탐지하는 방법과 대응방안은 어떻게 되나요?

    • 알약(Alyac) 2015.05.14 17:36 신고  수정/삭제

      메모리에 존재하는 악성코드를 탐지하고 있습니다. 추후 발견되는 유사한 형태의 악성코드도 신속히 대응하도록 하겠습니다. 감사합니다.

티스토리 방명록 작성
name password homepage