은행 및 조직 노리는 새로운 '파일리스 악성코드' 발견

은행 및 조직 노리는 새로운 '파일리스 악성코드' 발견

New “Fileless Malware” Targets Banks and Organizations Spotted in the Wild

전 세계 100곳 이상의 은행 및 금융 기관들이 탐지가 불가능한 정교한 메모리 기반 악성코드에 감염되어, 관련 전문가들이 주의를 당부했습니다.

Kaspersky Lab이 최근 발표한 자료에 따르면, 공격자가 해킹된 컴퓨터의 메모리에만 존재하는 ‘파일이 없는’ 악성코드를 사용해 미국, 남미, 유럽, 아프리카 등 40개국의 은행, 통신사 및 정부 기관들을 노리고 있는 것으로 나타났습니다.

파일리스 악성코드는 지난 2014년 처음 발견되었으며, 지금까지는 주류가 아니었습니다. 파일리스 악성코드는 실행을 위해 어떠한 파일이나 폴더를 하드 드라이브에 복사하지 않습니다. 대신 페이로드들은 직접적으로 실행 중인 프로세스의 메모리에 주입되며, 악성코드는 시스템의 RAM에서 실행되는 특징을 갖고 있습니다.

이 악성코드는 메모리에서 실행되기 때문에 시스템이 재부팅 될 경우 메모리를 확인하더라도 흔적을 찾을 수 없습니다. 따라서 디지털 포렌식 전문가들이 이 악성코드를 탐지해내기 어렵습니다.

은행 보안팀은 마이크로소프트 도메인 컨트롤러의 물리적인 메모리 내에서 Meterpreter(Metasploit의 인-메모리 컴포넌트)를 확인하여, 이 공격을 발견해낼 수 있었습니다.

 <이미지 출처 : http://thehackernews.com/2017/02/fileless-malware-bank.html>

보안 연구원들은 포렌식 분석을 실행해 공격자들이 윈도우 PowerShell을 이용해 Meterpreter 코드를 디스크에 쓰지 않고 지접 메모리에 로드하는 것을 알아냈습니다. 이 사이버 공격자들은 C&C 서버와 통신하고 원격으로 감염된 호스트를 제어하기 위한 프록시 터널을 설정하는데에 마이크로소프트 NETSH 네트워킹 툴을 사용했습니다.

또한 그들은 기기가 재부팅된 후 로그나 하드 드라이브에 남아있는 거의 모든 공격의 흔적들을 제거하기 위해 PowerShell 명령어들을 윈도우의 레지스트리에 숨겼습니다. 공격자들의 궁극적인 목표는 ATM을 제어하는 컴퓨터들을 해킹해 금전을 갈취하는 것으로 예상되고 있습니다.

이 악성코드는 이미 140개 이상의 기업 네트워크들을 공격했으며, 가장 많은 피해자들은 미국, 프랑스, 에콰도르, 케냐, 영국 및 러시아에 위치해있습니다. 또한 해당 위협은 탐지하기 매우 어렵기 때문에, 실제 감염 숫자는 훨씬 높을 것으로 보입니다.

출처 :

http://thehackernews.com/2017/02/fileless-malware-bank.html

https://securelist.com/blog/research/77403/fileless-attacks-against-enterprise-networks/