파일리스 맬웨어 공격, 보호 및 탐지

Fileless Malware 는 대부분의 사람들에게 새로운 용어일 수 있지만 보안 업계는 수년 동안 그것을 알고 있었습니다. 작년 에 은행, 통신 및 정부 기관을 포함하여 전 세계적으로 140개 이상의 기업 이 이 파일리스 맬웨어 의 공격을 받았습니다. (Fileless Malware –)Fileless Malware 는 이름에서 알 수 있듯이 디스크를 건드리지 않거나 프로세스에서 파일을 사용하지 않는 일종의 맬웨어입니다. 합법적인 프로세스의 컨텍스트에서 로드됩니다. 그러나 일부 보안 회사는 파일리스 공격이 맬웨어 공격을 시작하기 위해 손상 호스트에 작은 바이너리를 남깁니다. 이러한 공격은 지난 몇 년 동안 크게 증가했으며 기존 맬웨어 공격보다 더 위험합니다.

파일 없는 멀웨어

파일리스 악성코드 공격

비 멀웨어(Fileless Malware) 공격이라고도 하는 파일리스 멀웨어 공격(Non-Malware attacks) . 그들은 탐지 가능한 맬웨어 파일을 사용하지 않고 시스템에 침투하기 위해 일반적인 기술 세트를 사용합니다. 지난 몇 년 동안 공격자는 더 똑똑해지고 공격을 시작하는 다양한 방법을 개발했습니다.

(Fileless)파일 없는 맬웨어는 로컬 하드 드라이브에 파일을 남기지 않고 컴퓨터를 감염시켜 기존 보안 및 포렌식 도구를 우회 합니다.

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

파일이 없는 맬웨어는 컴퓨터 시스템 의 랜덤 액세스 메모리 에 상주하며 어떤 바이러스 백신 프로그램도 메모리를 직접 검사하지 않습니다. 따라서 공격자가 PC에 침입하여 모든 데이터를 훔치는 가장 안전한 모드입니다. (Random Access Memory)최고의 바이러스 백신 프로그램도 때때로 메모리에서 실행되는 맬웨어를 놓칩니다.

전 세계적으로 컴퓨터 시스템을 감염시킨 최근의 Fileless Malware 감염 중 일부는 (Fileless Malware)Kovter , USB Thief , PowerSniff , Poweliks , PhaseBot , Duqu2 등 입니다.

파일리스 맬웨어는 어떻게 작동합니까?

파일이 없는 맬웨어가 메모리 에 도달하면 (Memory)PowerShell , SC.exenetsh.exe 와 같은 기본 및 시스템 관리 Windows 기본 제공 도구 를 배포하여 악성 코드를 실행하고 시스템에 대한 관리자 액세스 권한을 얻을 수 있습니다. 명령을 내리고 데이터를 훔칩니다. Fileless Malware 는 (Fileless Malware)루트킷(Rootkits)(Rootkits) 이나 Windows 운영 체제 의 레지스트리(Registry) 에 숨어 있을 수도 있습니다 .

일단 침입하면 공격자는 Windows 썸네일(Windows Thumbnail) 캐시를 사용하여 맬웨어 메커니즘을 숨깁니다. 그러나 멀웨어는 여전히 호스트 PC에 진입하기 위해 정적 바이너리가 필요하며 이메일이 가장 많이 사용되는 매체입니다. 사용자가 악성 첨부 파일을 클릭하면 Windows 레지스트리(Windows Registry) 에 암호화된 페이로드 파일을 씁니다 .

Fileless MalwareMimikatzMetaspoilt 와 같은 도구를 사용 하여 PC 메모리에 코드를 삽입하고 거기에 저장된 데이터를 읽는 것으로 알려져 있습니다. 이러한 도구는 공격자가 PC에 더 깊숙이 침투하여 모든 데이터를 훔치는 데 도움이 됩니다.

행동 분석 및 파일리스(Fileless) 악성코드

대부분의 일반 바이러스 백신 프로그램은 서명을 사용하여 멀웨어 파일을 식별하기 때문에 파일이 없는 멀웨어는 탐지하기 어렵습니다. 따라서 보안 회사는 행동 분석을 사용하여 맬웨어를 탐지합니다. 이 새로운 보안 솔루션은 사용자와 컴퓨터의 이전 공격과 행동을 처리하도록 설계되었습니다. 악성 콘텐츠를 가리키는 모든 비정상적인 동작은 경고로 알려줍니다.

엔드포인트 솔루션이 파일 없는 맬웨어를 감지할 수 없는 경우 행동 분석은 의심스러운 로그인 활동, 비정상적인 근무 시간 또는 비정형 리소스 사용과 같은 비정상적인 동작을 감지합니다. 이 보안 솔루션은 사용자가 애플리케이션을 사용하고, 웹사이트를 탐색하고, 게임을 하고, 소셜 미디어에서 상호 작용하는 등의 세션 동안 이벤트 데이터를 캡처합니다.

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

Fileless Malware 로부터 보호하고 탐지하는 방법

Windows 컴퓨터를 보호(precautions to secure your Windows computer) 하려면 기본 예방 조치를 따르십시오 .

  • (Apply)모든 최신 Windows 업데이트,(Windows Updates –) 특히 운영 체제에 보안 업데이트를 적용 하십시오.
  • (Make)설치된 모든 소프트웨어가 최신 버전으로 패치되고 업데이트되었는지 확인 하십시오.
  • 컴퓨터 메모리를 효율적으로 스캔하고 Exploits 를 호스팅할 수 있는 악성 웹 페이지를 차단할 수 있는 우수한 보안 제품을 사용하십시오 . 동작(Behavior) 모니터링, 메모리(Memory) 스캔 및 부트 섹터(Boot Sector) 보호 를 제공해야 합니다 .
  • 이메일 첨부 파일을 다운로드(downloading any email attachments) 하기 전에 주의하십시오 . 이는 페이로드 다운로드를 방지하기 위한 것입니다.
  • 네트워크(Network) 트래픽 을 효과적으로 제어할 수 있는 강력한 방화벽 을 사용하십시오.(Firewall)

다음 읽기(Read next) : Living Off Land 공격(Living Off The Land attacks) 이란 무엇입니까 ?



About the author

저는 10년 이상의 경험을 가진 웹 개발자이자 오디오 엔지니어입니다. 저는 Chrome/Web Audio 앱과 Discord 애플리케이션 개발을 전문으로 합니다. 두 분야의 기술을 통해 사용하고 유지 관리하기 쉬운 고품질 제품을 만들 수 있습니다. 또한 저는 Discord의 숙련된 사용자이며 현재 2년 이상 앱 작업을 하고 있습니다.



Related posts