Fileless malware는 E-Mail의 첨부파일, 인터넷 상에서 쉽게 다운 받을 수 있는 PDF, JPEG 등에 삽입되어 배포됩니다.
그리고 이를 다운 받은 사용자가 타겟이 됩니다.
Fileless malware가 있는 프로그램을 실행시키게 되면 Drive by download 방식과 달리 하드디스크 내에 악성코드 파일을 설치하지 않고 바로 메모리에 적제 됩니다.
때문에 사용자가 눈치채기 어렵고 백신 프로그램도 바로 잡아내기 어렵습니다.
이 Fileless 공격은 Windows 도구, 특히 PowerShell과 WMI (Windows Management Instrumentation)에 접근해 실행되므로 Windows나 백신 프로그램들은 정상 실행으로 간주하게 됩니다.
요즘 백신 기술의 발달로 인해 Drive by download 방식의 공격 기법들은 대부분 막히고 있는 추세인데, 이를 대체하기 위해 Fileless malware attack 공격이 활발해 지고 있다고 합니다.
한 예로 2018년 1월 4일, 이스트시큐리티 시큐리티대응센터(ESRC)에 올라와 있는 글을 인용해 보자면 다음과 같습니다.
대북 관련 자료를 가장한 HWP형식의 파일에 Fileless Script를 넣어 E-Mail에 첨부하여 불특정 사람들에게 전송했었습니다.
그리고 이 파일이 첨부된 자료를 분석하여 다음과 같은 코드를 발견했다고 합니다.
이 스크립트는 쓰레드를 생성해 특정 메모리 함수에 맵핑되며 별도의 파일을 생성하지 않는다고 합니다.
또한 'Anti-VM'기능을 보유하고 있어서 백신프로그램의 분석환경에서 실행되지 않는다고 합니다.
이 Fileless malware 들의 기능들은 다양한데, 하드디스크에 저장된 내용들을 포맷시켜 버리거나,
공격자가 원격에서 다른 악성파일을 다운로드 하게 하거나, 사용자의 로그들을 수집하는 등 여러가지 기능을
수행한다고 합니다.
따라서 이를 막기 위해선 출처가 분명하지 않는 첨부 파일들은 열어보지 말고, 백신 프로그램의 업데이트 상태를
최신으로 유지하라고 권장하고 있습니다.
마지막으로 Fileless malware와 Ransomware가 결합된다면 매우 위협적인 바이러스로 재 탄생할 수 있음으로
경계를 늦춰선 안된다고 합니다.
'보안뉴스' 카테고리의 다른 글
| 2019-04-01 / 금융 서비스 사용자를 노린 밀웨어 '구스터프' (0) | 2019.04.01 |
|---|---|
| 2019-03-22 / APT공격 대응으로 인한 기업들의 솔루션 사용은 17%의 불과... (0) | 2019.03.22 |
| 2019-03-21 / 페이스북 오픈소스 피즈에서 취약점 발견, 피즈란? (0) | 2019.03.21 |
| 2019-03-20 / 중고나라 피싱 사이트 조심!! (0) | 2019.03.20 |
| 2019-03-19 / WinRAR버그(CVE-2018-20250) 아직까지 활발히 악용돼... (0) | 2019.03.19 |
댓글