미국 보안회사 Palo Alto 네트웍스는 최근 미국, 캐나다, 유럽 기업을 대상으로 스피어피싱, 악성 매크로 워드문서, 파일리스(fileless) 맬웨어 3가지를 조합한 공격이 발생하고 있다며 주의를 요했다.
파일리스 공격은 맬웨어를 하드디스크에 저장하지 않고 직접 메모리에 로드(load)하는 방식으로 새로운 기술이 아니지만 이 3가지를 조합한 공격은 적발하기가 극히 어렵기 때문에 고위험도로 간주되어야 한다고 연구원들은 전했다.
연구원들에 의하면 공격자는 피싱메일에 받는 사람의 이름, 소속, 해당 회사에 관한 정보 등 읽는 이로 하여금 신뢰를 갖도록 작성해 첨부 악성 워드문서 파일을 열게 할 확률이 높다고 한다. 윈도우 컴퓨터에서 파일을 열면 매크로는 숨겨진 인스턴스를 윈도우 파워쉘(powershell.exe)을 이용해 실행시킨다. 파워쉘은 윈도우에 기본으로 포함되는 작업 자동화 및 설정 관리를 위한 프레임워크로 자체적인 스크립트 언어를 사용한다.
파워쉘 커맨드가 실행되면 맬웨어는 OS가 32비트인지 64비트인지 여부를 확인해 해당 버전에 맞는 특수 제작된 파워쉘 스크립트를 추가로 다운로드한다. 이 스크립트는 먼저 해당 컴퓨터가 맬웨어 분석에 사용되는 가상머신이나 샌드박스인지 여부를 확인하고, 네트워크 설정을 스캔해 해당 머신이 ‘학교’, ‘병원’, ‘대학’ 등의 특정 단어를 포함하는지를 확인한다. 캐쉬된 URL 중 은행 웹사이트 등이 있는지도 검색한다. 연구원들에 의하면 공격자들의 목적은 금융거래에 이용되는 시스템을 찾는 데 있기 때문에 보안 연구원이나 병원, 교육기관 등의 시스템을 피하기 때문이라고 한다. 이렇게 해서 공격자가 원하는 시스템이 발견되면 커맨드&컨트롤 서버로부터 암호화된 악성 DLL 파일을 다운로드해 해당 시스템 메모리에 적재한다. 연구원들은 이 공격이 고도로 개인화된 스피어피싱과 메모리에 상주하는 맬웨어를 사용하기 때문에 위험도가 높다고 말했다.
SANS 연구소 인터넷 스톰 센터(Internet Storm Center)도 지난 주 파워쉘과 파일리스 맬웨어를 조합한 유사한 공격에 관하여 전한 바 있다. 이 맬웨어는 숨겨진 파워쉘 인스턴스를 런치하는 레지스트리 키를 생성하여 실행 가능한 파일의 암호화를 해제, 실행파일을 디스크에 write 하지 않고 메모리에 직접 로드(load)한다고 SANS 연구소는 전했다. SANS 연구소의 Mark Baggett는 공격자들이 하드 드라이브를 거치지 않고 파워쉘을 이용해 맬웨어를 심었기 때문에 탐지되지 않았다고 말했다.
악성 코드를 시스템 레지스트리에 스토어(store), 윈도우 파워쉘 이용, 악성 매크로 문서에 추가 등은 새로운 기술이 아니지만 이것들이 조합되는 경우 탐지가 아주 힘든 실정이다.