美 보안업체 Damballa社는 2016년 1/4분기 보안 보고서(State of Infections Report Q1 2016)를 발표했다. 보고서는 공격자들이 적발을 피하는 데 사용하는 새로운 기법을 설명하고, 기업들은에게 현재 사용 중인 보안 툴을 재점검할 것을 권했다.
Damballa社 CTO 스티븐 뉴먼은 현재 언더그라운드 커뮤니티가 크게 활성화되어 공격자들은 커맨드&컨트롤 인프라에 필요한 익스플로잇 키트나 맬웨어를 쉽게 구매나 대여가 가능하다고 말했다.
보고서에 의하면 Damballa社는 지난 8개월 동안 Pony Loader 맬웨어에 관한 연구를 수행했으며 그 결과 사이버 범죄자들이 어떤 방식으로 탐지를 우회하는지 알아낼 수 있었다고 한다. 먼저 Pony Loader는 적발을 피하기 위해 각 ISP마다 소수의 IP만 이용했다. 예를 들어 Damballa社가 연구한 8개월 동안 Pony Loader와 관련된 범죄자들은 281개의 도메인을 사용했고 100개의 ISP를 통해 약 120개의 IP를 사용했다.
또한 다운로드 받는 맬웨어도 지속적으로 변경해 단속을 피했다. 예를 들어 작년 5월 Pony Loader는 뱅킹 트로이인 Dyre를 다운로드 하도록 설정되어 있었지만 9월부터는 다른 뱅킹 트로이 Vawtrack로 변경되었고, 12월 2일 랜섬웨어 기능을 갖춘 Nymaim으로 변경, 이후 12월 14일 다시 Vawtrak으로 변경되었다.
소니픽쳐스와 사우디 정유회사 아람코 시스템 침입에 사용되었던 Destover 트로이는 감염된 기기에서 파일 삭제가 가능하고, 공격자들이 네트워크에 머물러도 탐지되지 않고, 수 테라바이트의 민감한 정보를 빼낼 수 있다.
etMFT와 afset는 공격 탐지 우회에 사용되는 Destover 유틸로 로그파일 삭제, 리다이렉트, 합법적인 시스템 파일 속에 섞이는 등의 기법이 사용되므로 현재 보안 전문가들이 공격자 식별에 사용하는 많은 툴과 기법들은 setMFT와 afset를 제대로 탐지하지 못하는 경우가 많다고 보고서는 지적했다. 위협 활동을 지속적으로 모니터링하는 솔루션을 사용하지 않는다면 놓칠 가능성이 크므로 조직들은 보안 대책을 전면 점검해야 한다고 보고서는 강조했다.
출처: Damballa社 보고서