오늘날과 같이 서로 연결된 세상에서는 컴퓨터 보안이 가장 중요합니다. 사이버 위협이 증가함에 따라 데이터와 시스템을 보호하려면 최신 위협에 대한 정보를 지속적으로 파악하는 것이 필수적입니다.
이러한 새로운 위협 중 하나는 파일리스 멀웨어 가 급격히 증가하고 있습니다.
워치가드의 엔드포인트 기술은 2021년 말까지 "2020년 한 해 동안 목격된 파일리스 또는 생계형 공격의 약 80%를 이미 탐지"했습니다. 출처
이름에서 알 수 있듯이 대상 시스템에 파일을 생성하지 않고 작동하는 멀웨어의 일종으로, 탐지 및 제거가 어렵습니다.
이 글에서는 파일리스 멀웨어의 정의와 작동 방식, 멀웨어로부터 보호하기 위해 취할 수 있는 조치에 대해 살펴봅니다.
파일리스 멀웨어란 무엇인가요?
파일리스 멀웨어는 하드 드라이브에 파일을 생성하지 않고 컴퓨터 시스템의 메모리에서만 작동하는 악성 코드의 일종입니다. 바이러스, 트로이 목마, 웜과 같은 기존 멀웨어는 파일에 의존하여 시스템을 감염시키고 확산시킵니다.
반면 파일리스 멀웨어는 시스템의 RAM, 레지스트리 및 기타 휘발성 저장 영역에 상주하므로 기존 안티바이러스 소프트웨어로는 탐지하기 어렵습니다.
파일리스 멀웨어는 어떻게 작동하나요?
파일을 사용하지 않는 멀웨어는 컴퓨터 메모리에 들어가서 작동합니다. 따라서 유해한 코드가 하드 드라이브에 저장되지 않습니다. 다른 악성 소프트웨어와 놀라울 정도로 유사한 방식으로 시스템에 침입합니다.
예를 들어, 해커가 피해자를 속여 피싱 이메일의 링크나 첨부 파일을 클릭하도록 유도할 수 있습니다. 피싱 이메일. 공격자는 피해자가 첨부 파일이나 링크를 클릭하도록 유도하기 위해 소셜 엔지니어링을 활용하여 피해자의 감정을 자극할 수 있습니다. 그 후 멀웨어가 시스템에 침입하여 한 장치에서 다른 장치로 확산됩니다.
공격자는 파일리스 멀웨어를 사용하여 조직의 활동을 방해하기 위해 훔치거나 악용할 수 있는 데이터에 액세스할 수 있습니다. 파일리스 멀웨어는 Windows 스크립팅 도구 또는 PowerShell 등 시스템 관리자가 일반적으로 신뢰할 수 있는 도구를 사용하여 자신을 숨깁니다.
파일리스 멀웨어는 회사의 애플리케이션 허용 목록에 포함되는 경우가 많습니다. 파일리스 멀웨어는 신뢰할 수 있는 프로그램을 손상시키므로 하드 디스크의 별도 파일에 있는 악성 소프트웨어보다 탐지하기가 더 어렵습니다.
파일리스 멀웨어 공격 체인
출처
파일리스 멀웨어는 메모리에서 작동하고 신뢰할 수 있는 기술을 사용하기 때문에 서명 기반 안티바이러스 소프트웨어와 침입 탐지 시스템이 이를 정상 소프트웨어로 오인하는 경우가 많습니다.
은밀하게 작동하고 지속성을 유지하며 필요한 도구가 부족한 표적 조직이 눈치채지 못하게 할 수 있기 때문에 본질적으로 지속적인 침입을 인지하지 못하게 만듭니다.
기업이 네트워크를 보호하기 위해 시그니처 기반 솔루션에 의존하는 것은 CTA가 네트워크에 대한 파일리스 멀웨어 공격을 시작하도록 조장하는 주요 요인입니다.
파일리스 멀웨어의 유형
파일리스 멀웨어는 다양한 유형으로 인해 확산되는 방식은 다음과 같습니다:
- 메모리 기반 파일리스 멀웨어 는 가장 일반적인 유형의 파일리스 멀웨어로, 시스템의 RAM 및 기타 휘발성 저장 영역에 상주합니다.
- 스크립트 기반 파일리스 멀웨어 는 PowerShell 또는 JavaScript와 같은 스크립팅 언어를 사용하여 대상 시스템의 메모리에서 악성 코드를 실행합니다.
- 매크로 기반 파일리스 멀웨어 는 Microsoft Office 파일이나 PDF와 같은 문서에 포함된 매크로를 사용하여 대상 시스템의 메모리에서 악성 코드를 실행합니다.
- 레지스트리 기반 파일리스 멀웨어 는 운영 체제 및 설치된 소프트웨어의 구성 정보를 저장하는 데이터베이스인 시스템의 레지스트리에 상주합니다.
파일리스 공격의 단계
다음은 공격자가 파일리스 공격 중에 취할 수 있는 단계입니다:
초기 액세스
공격자는 피싱 또는 다른 사회 공학 기법을 통해 초기 액세스 권한을 얻습니다.
실행
공격자는 여러 가지 기법(예: 이메일 첨부 파일)을 사용하여 대상 네트워크의 하나 이상의 컴퓨터에 악성 코드를 전달합니다. 악성 코드는 디스크를 건드리지 않고 메모리에서 실행됩니다. 따라서 바이러스 백신 소프트웨어가 공격을 탐지하고 공격이 성공하지 못하도록 방지하기가 어렵습니다.
지속성
공격자는 초기 진입 지점을 떠난 후 또는 감염된 모든 디바이스에서 초기 멀웨어가 제거된 후에도 네트워크에 대한 액세스를 유지할 수 있는 도구(예: PowerShell 스크립트)를 설치합니다.
이러한 도구는 새로운 멀웨어 구성 요소를 설치하거나 대상 시스템에 관리 권한이 필요한 기타 작업을 수행하는 작업을 완료한 후 디스크나 메모리에 흔적을 남기지 않기 때문에 바이러스 백신 소프트웨어에 탐지되지 않은 채 동일한 네트워크에 대한 공격을 실행하는 데 사용할 수 있습니다.
목표
공격자가 피해자의 시스템에 대한 지속성을 확보하면 피해자의 은행 계좌에서 데이터나 돈을 훔치거나 민감한 데이터를 유출하거나 기타 악의적인 활동을 하는 등 궁극적인 목표를 향해 작업을 시작할 수 있습니다.
파일리스 공격의 목적은 비밀번호 탈취, 자격 증명 탈취, 네트워크 내 시스템에 대한 액세스 권한 획득, 네트워크에서 데이터 유출, 시스템에 랜섬웨어 또는 기타 멀웨어 설치, 원격으로 명령 실행 등 기존 공격의 목적과 매우 유사한 경우가 많습니다.
파일리스 멀웨어로부터 보호하는 방법은?
이제 이 심각한 위협으로부터 어떻게 자신을 보호할 수 있을지 걱정되실 겁니다. 안전한 방법을 소개합니다:
소프트웨어를 최신 상태로 유지하세요: 파일리스 멀웨어는 합법적인 소프트웨어 애플리케이션의 취약점을 악용합니다. 소프트웨어를 최신 보안 패치와 업데이트로 업데이트하면 공격자가 알려진 취약점을 악용하는 것을 방지할 수 있습니다.
바이러스 백신 소프트웨어를 사용하세요: 기존 바이러스 백신 소프트웨어는 파일리스 멀웨어에 효과적이지 않을 수 있지만, 행동 기반 탐지 또는 애플리케이션 제어와 같은 특수 엔드포인트 보호 솔루션은 파일리스 멀웨어 공격을 탐지하고 방지하는 데 도움이 될 수 있습니다.
최소 권한 사용: 파일리스 멀웨어는 공격을 실행하기 위해 관리자 권한이 필요한 경우가 많습니다. 사용자 액세스를 업무 수행에 필요한 최소 수준으로 제한하는 최소 권한 원칙을 사용하면 파일리스 멀웨어 공격의 영향을 줄이는 데 도움이 될 수 있습니다.
네트워크 세분화 구현: 네트워크 세분화에는 네트워크를 각각 보안 정책과 액세스 제어가 있는 더 작고 격리된 세그먼트로 나누는 것이 포함됩니다. 네트워크 세분화를 구현하면 파일리스 멀웨어 공격의 확산을 억제하여 조직에 미치는 영향을 제한하는 데 도움이 될 수 있습니다.
평결
파일리스 멀웨어는 컴퓨터 시스템과 네트워크에 심각한 위협을 가하는 고도로 정교한 사이버 공격입니다. 파일리스 멀웨어는 기존 멀웨어와 달리 대상 시스템의 메모리에서 작동하기 때문에 기존 안티바이러스 소프트웨어로는 탐지 및 제거하기가 어렵습니다.
파일리스 멀웨어로부터 보호하려면 소프트웨어를 최신 상태로 유지하고, 전문 엔드포인트 보호 솔루션을 사용하며, 최소 권한 원칙을 구현하고, 네트워크 세분화를 적용하는 것이 필수적입니다. 사이버 위협이 진화함에 따라 최신 공격 기법에 대한 정보를 파악하고 데이터와 시스템을 보호하기 위한 선제적인 조치를 취하는 것이 중요합니다.
- 블록체인이 이메일 보안을 개선할 수 있을까요? - 2024년 5월 9일
- 데이터센터 프록시: 프록시 세계의 주력 제품 공개 - 2024년 5월 7일
- 최근 피싱 공격에서 DMARC "없음" 정책을 악용한 킴수키(Kimsuky) - 2024년 5월 6일