작동 원리
대부분의 애플리케이션 및 파일 기반 멀웨어는 디스크에 기록되는 파일로 시작합니다. 해당 파일이 실행되면 복사본이 메모리에 로드되고 프로그램의 명령이 실행됩니다. 파일리스 멀웨어는 메모리에만 존재하는 디스크에 기록되는 단계를 건너뜁니다.
이를 수행할 수 있는 몇 가지 방법은 다음과 같습니다.
- 육지에서 생활하기: 멀웨어가 수행하는 많은 작업은 합법적인 시스템 기능을 사용하여 수행할 수 있습니다. 파일리스 멀웨어는 일반적으로 악성 실행 파일에서 일반적으로 사용되는 기본 제공 Windows API 함수에 액세스하기 위해 PowerShell을 사용합니다.
- 악성 문서: Microsoft Office 문서에는 PowerShell을 사용하여 명령을 실행하는 악성 매크로가 포함될 수 있습니다. 여기에는 디스크에 쓰지 않고 추가 멀웨어를 다운로드하고 실행하는 것이 포함될 수 있습니다.
- 취약성 악용: 애플리케이션에는 버퍼 오버플로 또는 기타 RCE(원격 코드 실행 ) 취약성이 포함될 수 있습니다. 공격자는 이 취약성을 악용하여 디스크에 아무 것도 쓰지 않고 취약한 프로세스 내에서 악의적인 명령을 실행할 수 있습니다.
- 프로세스 하이재킹: 파일이 메모리에 로드되면 메모리 공간을 수정할 수 있습니다. 멀웨어는 기존 프로세스의 메모리 공간에 코드를 작성하고 해당 프로세스 내에서 악성 기능을 실행할 수 있습니다.
- 레지스트리 기반 멀웨어: Windows 레지스트리에는 자동 실행을 포함하여 Windows 운영체제에 대한 구성 정보가 포함되어 있습니다. 파일리스 멀웨어는 시스템 시작 시 또는 사용자가 로그인할 때 LoLBins를 통해 악성 코드를 실행하는 자동 실행을 정의할 수 있습니다.
파일리스 멀웨어는 무엇을 할 수 있습니까?
파일리스 멀웨어는 기존의 파일 기반 멀웨어 변종이 할 수 있는 모든 작업을 수행할 수 있습니다. 여기에는 인포스틸러, 랜섬웨어, 원격 액세스 툴킷(RAT) 및 크립토마이너 역할이 포함됩니다.
파일리스 멀웨어와 파일 기반 멀웨어의 주요 차이점은 악성 코드를 구현하는 방법입니다. 파일리스 멀웨어는 일반적으로 독립 실행형 실행 파일에서 악성 기능을 구현하는 대신 운영 체제의 기본 제공 기능에 더 많이 의존합니다.
파일리스 공격의 단계
파일리스 멀웨어 공격은 파일 기반 멀웨어 공격과 매우 유사합니다. 몇 가지 주요 단계는 다음과 같습니다.
- 초기 액세스: 멀웨어는 조직의 시스템에 액세스할 수 있는 수단이 필요합니다. 파일리스 멀웨어는 피싱을 통해 악성 문서를 전달하거나 취약한 웹 애플리케이션을 악용할 수 있습니다.
- 실행: 파일리스 멀웨어는 다양한 수단을 통해 코드를 실행할 수 있습니다. 예를 들어 악성 문서는 소셜 엔지니어링을 사용하여 수신자가 매크로를 사용하도록 속여 악성 매크로가 PowerShell 명령을 실행할 수 있도록 할 수 있습니다.
- 고집: 멀웨어가 대상 시스템에 대한 액세스 권한을 얻으면 해당 액세스를 유지하려고 합니다. Windows 레지스트리에 자동 실행 키를 추가하는 것은 지속성을 달성하는 일반적인 방법이며 디스크에 코드를 작성하지 않고도 수행할 수 있습니다.
- 목적: 멀웨어는 일부 작업을 수행하도록 설계되었습니다. 파일리스 멀웨어는 자격 증명을 훔치거나, 파일을 암호화하거나, 추가 멀웨어를 다운로드하거나, 기타 악의적인 활동을 수행하려고 시도할 수 있습니다.
파일리스 멀웨어 공격 탐지 및 보호
파일리스 멀웨어는 기존의 파일 기반 멀웨어 변종보다 탐지하기 더 어렵게 설계되었습니다. 그 이유는 일부 엔드포인트 보안 솔루션이 시스템의 파일 검사에 집중하고 활발하게 실행 중인 프로세스에 악성 코드나 비정상적인 활동이 있는지 검사하지 않기 때문입니다.
그러나 감지하기 어렵다는 것은 감지할 수 없다는 것과 같지 않습니다. 조직이 파일리스 멀웨어 공격으로부터 스스로를 보호할 수 있는 몇 가지 방법은 다음과 같습니다.
- 잠금 기능: 파일리스 멀웨어는 종종 목표를 달성하기 위해 기본 제공 기능을 사용하여 "육지에서 생활"합니다. PowerShell과 같은 고위험 애플리케이션을 사용하지 않도록 설정하거나 모니터링하면 파일리스 멀웨어 공격을 방지하고 감지하는 데 도움이 될 수 있습니다.
- 매크로 관리: Microsoft Office 매크로는 파일리스 멀웨어가 초기 액세스 및 실행을 달성하는 일반적인 방법입니다. 매크로를 비활성화하면 이 감염 벡터를 차단하는 데 도움이 될 수 있습니다.
- 패치 취약점: 공격자는 버퍼 오버플로와 같은 취약성을 악용하여 취약한 애플리케이션 내에서 코드를 실행할 수 있습니다. 침입 방지 시스템(IPS)(IPS)을 사용하여 패치를 적용하고 가상 패치를 구현하면 취약성 악용의 위험이 제한됩니다.
- 보안 인증: 사이버 범죄자들은 손상된 자격 증명과 RDP와 같은 원격 액세스 솔루션을 사용하여 멀웨어를 배포하고 실행하는 경우가 점점 더 많아지고 있습니다. 다중 인증(MFA) 및 제로 트러스트 보안 정책을 구현하면 손상된 계정의 잠재적 영향을 제한할 수 있습니다.
체크 포인트의 Harmony Suite 및 XDR 플랫폼
파일리스 멀웨어는 조직이 직면한 여러 위협 중 하나입니다. 현재 사이버 위협 환경에 대해 자세히 알아보려면 체크 포인트의 2022년 중기 사이버 공격 동향 보고서를 확인하세요.
Implementing defense in depth is essential to managing the risk of sophisticated malware and other leading cyber threats. Check Point Infinity XDR provides centralized visibility and threat management across an organization’s IT infrastructure, while Harmony Endpoint secures the endpoint.
Find out how Check Point can help improve your organization’s malware defenses. Sign in for a free demo of Harmony Endpoint today.
피드백