악성코드, 분석을 피하기 위해 Any.Run 샌드박스 탐지 기술 사용

Malware adds Any.Run sandbox detection to evade analysis

악성코드 개발자들이 연구원들의 분석을 피하기 위해 악성코드가 Any.Run 악성코드 분석 서비스에서 실행 중인지 확인하기 시작한 것으로 나타났습니다.

Any.Run은 악성코드 분석 샌드박스 서비스로 연구원과 사용자들이 자신의 컴퓨터를 감염시킬 위험 없이도 안전하게 악성코드를 분석할 수 있습니다.

Any.Run에 실행파일이 등록되면, 샌드박스 서비스는 대화식 원격 데스크톱이 있는 윈도우 가상 머신을 생성하여 여기에서 해당 파일을 실행합니다.

연구원들은 이 대화식 윈도우 데스크톱을 활용해 악성코드의 행동을 살펴볼 수 있으며, Any.Run은 네트워크 활동, 파일 활동, 레지스트리 변경 사항 등을 체크합니다.

악성코드, 자신이 Any.Run 환경에서 실행 중인지 탐지하기 시작해

보안 연구원인 JAMESWT가 발견한 새로운 패스워드 스틸링 트로이목마 스팸 캠페인에서는 악성 PowerShell 스크립트가 컴퓨터에 악성코드를 다운로드 및 설치합니다.

<악성 PowerShell 스크립트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/malware-adds-anyrun-sandbox-detection-to-evade-analysis/>

위 스크립트가 실행되면, 피해자의 컴퓨터에 난독화된 내장 악성코드를 포함하는 PowerShell 스크립트 2개를 다운로드합니다.

위 스크립트는 내장된 악성코드를 복호화하여 컴퓨터에서 실행합니다.

두 번째 스크립트가 실행되면, 이는 Azorult 패스워드 스틸링 트로이목마로 보이는 것을 실행하려 시도합니다.

프로그램이 Any.Run 환경에서 실행된다는 것을 탐지할 경우, 이는 ‘Any.run Detected!’라는 메시지를 표시하며 종료됩니다. 

이로써 악성코드가 분석을 위해 샌드박스에서 실행되는 것을 방지합니다.

< Any.run Detected! 메시지>

<이미지 출처: https://www.bleepingcomputer.com/news/security/malware-adds-anyrun-sandbox-detection-to-evade-analysis/>

이 방법을 통해 공격자는 연구원들이 자동화된 시스템을 통해 악성코드를 분석하는 것을 더욱 어렵게 만들 수 있습니다.

이 악성코드는 일반 가상 머신이나 라이브 시스템에서는 실행이 가능하며, 브라우저와 FTP 프로그램 등 소프트웨어에서 저장하고 있는 로그인 크리덴셜을 훔칩니다.

이로써 다른 방식으로 악성코드를 분석하는 것은 막을 수 없지만 분석을 위해 연구원들이 더 많은 노력을 기울여야 합니다.

많은 연구원들이 온라인 악성코드 분석 샌드박스 플랫폼을 사용하고 있어, 앞으로 더 많은 악성코드가 이를 노릴 것으로 예상됩니다.

현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.GenericKD.34147618'으로 탐지 중에 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/malware-adds-anyrun-sandbox-detection-to-evade-analysis/