모듈형 악성코드 - 데이터를 훔치는 새로운 스텔스 공격 방법

모듈형 악성코드 - 데이터를 훔치는 새로운 스텔스 공격 방법

악성 소프트웨어( 맬웨어 )는 다양한 형태와 규모의 공격입니다. 또한 악성 코드의 정교함은 수년에 걸쳐 크게 발전했습니다. 공격자들은 전체 맬웨어 패키지를 시스템에 한 번에 주입하는 것이 항상 가장 효과적인 방법은 아니라는 것을 알고 있습니다.

시간이 지나면서 악성코드는 모듈화되었습니다. 일부 맬웨어 변종은 다른 모듈을 사용하여 대상 시스템에 영향을 미치는 방식을 변경할 수 있습니다. 그렇다면 모듈형 악성 코드는 무엇이며 어떻게 작동합니까? 다음 글을 통해 알아보도록 하겠습니다!

모듈형 악성코드 - 데이터를 훔치는 새로운 스텔스 공격 방법

모듈형 악성 코드란 무엇입니까?

모듈형 악성 코드는 다양한 단계에서 시스템을 공격하는 위험한 위협입니다. 악성코드 모듈은 직접적인 공격 대신 2차적인 접근 방식을 취합니다.

이를 위해서는 필수 구성 요소만 먼저 설치하면 됩니다. 그런 다음 팡파르를 터뜨리고 사용자에게 그 존재를 알리는 대신 첫 번째 모듈은 시스템과 사이버 보안을 목표로 합니다. 어떤 부분이 주로 책임이 있는지, 어떤 유형의 보호 방법이 적용되고 있는지, 악성코드가 어디에서 취약점을 찾을 수 있는지, 어떤 공격이 성공 가능성이 가장 높은지 등을 살펴봅니다.

로컬 환경을 성공적으로 탐지한 후 1단계 악성코드 모듈은 명령 및 제어(C2) 서버와 통신할 수 있습니다. 그런 다음 C2는 악성 코드가 작동하는 특정 환경을 활용하기 위해 추가 악성 코드 모듈과 함께 추가 지침을 보내 응답할 수 있습니다.

모듈형 악성 코드는 모든 기능을 단일 페이로드로 묶는 악성 코드보다 더 유용합니다. 특히 다음과 같습니다.

  • 맬웨어 제작자는 바이러스 백신 및 기타 보안 프로그램을 회피하기 위해 맬웨어의 신원을 신속하게 변경할 수 있습니다 .
  • 악성 코드 모듈을 사용하면 다양한 환경으로 기능을 확장할 수 있습니다. 이를 통해 맬웨어 제작자는 특정 대상에 반응하거나 특정 환경에서 사용할 특정 모듈을 표시할 수 있습니다.
  • 원래 모듈은 매우 작았고 변경하기가 더 쉬웠습니다.
  • 여러 악성 코드 모듈을 결합하면 보안 연구원이 다음에 무슨 일이 일어날지 예측하는 데 도움이 됩니다.

모듈형 악성 코드는 새로운 위협이 아닙니다. 맬웨어 개발자는 오랫동안 모듈식 맬웨어 프로그램을 효과적으로 사용해 왔습니다. 차이점은 보안 연구원들이 다양한 상황에서 더 많은 악성 코드 모듈을 접하고 있다는 것입니다. 연구원들은 또한 악성 코드 모듈을 확산시키는 대규모 Necurs 봇넷 (Dridex 및 Locky 랜섬웨어 변종 배포로 악명 높음 )을 발견했습니다.

악성코드 모듈 예시

악성코드 모듈의 매우 흥미로운 예가 있습니다. 다음은 그 중 몇 가지입니다.

VPN필터

VPNFilter 는 라우터와 IoT(사물인터넷) 장치를 공격하는 최신 버전의 악성코드입니다 . 이 악성코드는 세 단계로 작동합니다.

1단계 악성 코드는 명령 및 제어 서버에 접속하여 2단계 모듈을 다운로드합니다. 두 번째 단계 모듈은 데이터를 수집하고 명령을 실행하며 장치 관리에 개입할 수 있습니다(라우터, IoT 장치 또는 NAS를 "정지"하는 기능 포함). 두 번째 단계에서는 두 번째 단계의 플러그인 역할을 하는 세 번째 단계 모듈을 다운로드할 수도 있습니다. 3단계 모듈에는 SCADA 트래픽 탐지 패킷, 감염 모듈, 2단계 악성코드가 Tor 네트워크를 사용해 통신할 수 있게 해주는 모듈이 포함된다 .

다음 문서를 통해 VPNFilter에 대해 자세히 알아볼 수 있습니다. VPNFilter 맬웨어가 라우터를 파괴하기 전에 탐지하는 방법.

모듈형 악성코드 - 데이터를 훔치는 새로운 스텔스 공격 방법

T9000

Palo Alto Networks 보안 연구원들은 T9000 악성 코드(Terminator 또는 Skynet과 관련 없음)를 발견했습니다.

T9000은 정보 및 데이터 수집 도구입니다. T9000을 설치하면 공격자는 Microsoft Office 제품 파일뿐만 아니라 "암호화된 데이터를 캡처하고, 특정 애플리케이션의 스크린샷을 찍고, 특히 Skype 사용자를 표적으로 삼을 수 있습니다". T9000에는 24가지 보안 제품을 회피하도록 설계된 다양한 모듈이 포함되어 있어 설치 프로세스가 감지되지 않도록 변경됩니다.

다나봇

DanaBot은 공격자가 기능을 확장하기 위해 사용하는 다양한 플러그인을 갖춘 다단계 뱅킹 트로이 목마 입니다 . 예를 들어, 2018년 5월 호주 은행에 대한 일련의 공격에서 DanaBot이 탐지되었습니다. 당시 연구진은 감염 탐지 플러그인 묶음, VNC 원격 보기 플러그인, 데이터 수집 플러그인, 보안 통신이 가능한 Tor 플러그인을 발견했다.

Proofpoint DanaBot 블로그에 따르면 "DanaBot은 뱅킹 트로이 목마입니다. 즉, 어느 정도 지역을 타겟팅해야 한다는 의미입니다."라고 합니다. “미국 캠페인에서 보았던 것처럼 많은 예방 조치가 취해졌음에도 불구하고 악성 코드의 활발한 성장, 지리적 확장 및 정교함을 쉽게 볼 수 있습니다. 피해가 증가하고 있습니다. 악성 코드 자체에는 여러 가지 분석 방지 기능은 물론 정기적으로 업데이트되는 정보 도용 및 원격 제어 모듈이 포함되어 있어 대상에 대한 위협이 가중됩니다.”

Marap, AdvisorsBot 및 CobInt

Proofpoint의 뛰어난 보안 연구원들이 세 가지 변종을 동시에 조사했기 때문에 이 기사에서는 세 가지 악성 코드 모듈 변종을 하나의 섹션으로 결합했습니다. 이러한 악성 코드 모듈 변종은 유사하지만 용도가 다릅니다. 또한 CobInt는 은행 및 금융 부문의 수많은 사이버 범죄자와 관련이 있는 범죄 조직인 Cobalt Group 캠페인의 일부입니다.

Marap과 AdvisorsBot은 방어를 위해 전체 대상 시스템을 표적으로 삼고 네트워크를 매핑한 다음 악성 코드가 전체 페이로드를 다운로드해야 하는지 여부를 결정하기 위해 만들어졌습니다. 대상 시스템이 요구 사항을 충족하는 경우(예: 가치가 있는 경우) 악성 코드는 공격의 2단계를 계속합니다.

다른 악성 코드 모듈 버전과 마찬가지로 Marap, AdvisorsBot 및 CobInt는 3단계 프로세스를 따릅니다. 첫 번째 단계는 일반적으로 초기 악용 목적으로 악성 코드에 감염된 첨부 파일이 포함된 이메일입니다. 익스플로잇이 완료되면 악성코드는 즉시 2단계를 요청합니다. 두 번째 단계에서는 대상 시스템의 보안 조치와 네트워크 환경을 평가하기 위한 정찰 모듈을 수행합니다. 악성코드가 모든 것이 정상이라고 말하면 마지막 단계에서는 기본 페이로드를 포함하여 세 번째 모듈을 다운로드합니다.

모듈형 악성코드 - 데이터를 훔치는 새로운 스텔스 공격 방법

신체 상해

Mayhem은 악성 코드 모듈의 약간 오래된 버전입니다. 2014년에 처음 등장했습니다. 그러나 Mayhem은 여전히 ​​훌륭한 모듈식 악성 코드의 예입니다. Yandex의 보안 연구원이 발견한 이 악성코드는 Linux 및 Unix 웹 서버를 표적으로 삼습니다. 악성 PHP 스크립트를 통해 설치됩니다.

일단 설치되면 스크립트는 악성코드의 최적 사용법을 결정하는 여러 플러그인을 호출할 수 있습니다.

플러그인에는 FTP, WordPress 및 Joomla 계정을 대상으로 하는 무차별 비밀번호 크래커 , 기타 취약한 서버를 검색하는 웹 크롤러, Heartbleed 익스플로잇 OpenSLL이 포함되어 있습니다.

다이아몬드폭스

오늘 기사의 최종 악성코드 모듈 변종 역시 가장 완전한 버전 중 하나입니다. 이것은 또한 몇 가지 이유로 가장 걱정스러운 것 중 하나입니다.

첫째, DiamondFox는 다양한 지하 포럼에서 판매되는 모듈식 봇넷입니다. 잠재적인 사이버 범죄자는 DiamondFox 모듈식 봇넷 패키지를 구매하여 다양한 고급 공격 기능에 액세스할 수 있습니다. 이 도구는 정기적으로 업데이트되며 다른 모든 온라인 서비스와 마찬가지로 맞춤형 고객 지원을 제공합니다. (변경 로그도 있습니다!)

두 번째 이유는 DiamondFox 모듈식 봇넷이 여러 플러그인과 함께 제공된다는 것입니다. 이러한 기능은 스마트 홈 앱에 적합하도록 대시보드를 통해 켜고 끌 수 있습니다. 플러그인에는 적합한 스파이 도구, 자격 증명 도용 도구, DDoS 도구, 키로거 , 스팸 메일 및 RAM 스캐너도 포함됩니다.

모듈형 악성코드 - 데이터를 훔치는 새로운 스텔스 공격 방법

모듈형 악성 코드 공격을 방지하는 방법은 무엇입니까?

현재로서는 악성 코드 모듈 변종으로부터 사용자를 보호할 수 있는 특정 도구가 없습니다. 또한 일부 악성 코드 모듈 변종은 지리적 범위가 제한되어 있습니다. 예를 들어 Marap, AdvisorsBot 및 CobInt는 주로 러시아와 CIS 국가에서 발견됩니다.

Proofpoint 연구원들은 현재의 지리적 제한에도 불구하고 다른 범죄자들이 모듈식 악성 코드를 사용하는 확립된 범죄 조직을 발견하면 확실히 그 뒤를 따를 것임을 보여주었습니다.

맬웨어 모듈이 시스템에 어떻게 도달하는지 인식하는 것이 중요합니다. 기록된 사례의 대부분은 악성 VBA 스크립트가 포함된 Microsoft Office 문서를 포함하는 악성 코드에 감염된 이메일 첨부 파일을 사용했습니다. 공격자가 이 방법을 사용하는 이유는 맬웨어에 감염된 이메일을 수백만 명의 잠재적인 대상에게 보내기가 쉽기 때문입니다. 게다가 초기 익스플로잇은 규모가 매우 작아 일반 Office 파일로 쉽게 위장됩니다.

언제나 그렇듯이 시스템을 최신 상태로 유지하고 고품질 바이러스 백신 소프트웨어에 투자하는 것을 고려하십시오. 그것은 가치!

더보기:


Chromebook을 별도의 화면이나 TV에 연결하는 방법

Chromebook을 별도의 화면이나 TV에 연결하는 방법

Chrome OS는 사용자가 Chromebook을 별도의 화면이나 TV에 연결할 수 있는 다양한 방법을 지원합니다.

ITop Data Recovery를 사용하여 컴퓨터 데이터를 복원하는 방법

ITop Data Recovery를 사용하여 컴퓨터 데이터를 복원하는 방법

iTop Data Recovery는 Windows 컴퓨터에서 삭제된 데이터를 복구하는 데 도움이 되는 소프트웨어입니다. 이 가이드에서는 iTop Data Recovery 사용 방법에 대해 자세히 설명합니다.

Cleaner One Pro로 Mac, Windows PC 속도를 높이는 방법

Cleaner One Pro로 Mac, Windows PC 속도를 높이는 방법

느린 PC와 Mac의 속도를 높이고 유지 관리하는 방법과 Cleaner One Pro와 같은 유용한 도구를 알아보세요.

MSIX란 무엇인가요? Windows의 새로운 파일 형식에 대해 알아보기

MSIX란 무엇인가요? Windows의 새로운 파일 형식에 대해 알아보기

MSIX는 LOB 애플리케이션부터 Microsoft Store, Store for Business 또는 기타 방법을 통해 배포되는 애플리케이션까지 지원하는 크로스 플랫폼 설치 관리자입니다.

키보드 없이 Windows 컴퓨터 화면에 로그인하는 방법

키보드 없이 Windows 컴퓨터 화면에 로그인하는 방법

컴퓨터 키보드가 작동을 멈춘 경우, 마우스나 터치 스크린을 사용하여 Windows에 로그인하는 방법을 알아보세요.

AMD Ryzen Master로 RAM을 쉽게 오버클럭하는 방법

AMD Ryzen Master로 RAM을 쉽게 오버클럭하는 방법

다행히 AMD Ryzen 프로세서를 실행하는 Windows 컴퓨터 사용자는 Ryzen Master를 사용하여 BIOS를 건드리지 않고도 RAM을 쉽게 오버클럭할 수 있습니다.

MS Edge를 실행하고 명령줄에서 URL을 여는 방법

MS Edge를 실행하고 명령줄에서 URL을 여는 방법

Microsoft Edge 브라우저는 명령 프롬프트와 같은 명령줄 도구에서 열 수 있도록 지원합니다. 명령줄에서 Edge 브라우저를 실행하는 방법과 URL을 여는 명령을 알아보세요.

컴퓨터에서 가상 드라이브를 생성하는 최고의 소프트웨어

컴퓨터에서 가상 드라이브를 생성하는 최고의 소프트웨어

이것은 컴퓨터에 가상 드라이브를 생성하는 많은 소프트웨어 중 5개입니다. 가상 드라이브 생성 소프트웨어를 통해 효율적으로 파일을 관리해 보세요.

이제 Windows Store에서 Surface 노트북 하드웨어 테스트 도구를 사용할 수 있습니다.

이제 Windows Store에서 Surface 노트북 하드웨어 테스트 도구를 사용할 수 있습니다.

Microsoft의 공식 Surface 하드웨어 테스트 도구인 Surface Diagnostic Toolkit을 Windows Store에서 다운로드하여 배터리 문제 해결 등의 필수 정보를 찾으세요.

USB에 숨겨진 파일과 폴더를 표시하는 방법

USB에 숨겨진 파일과 폴더를 표시하는 방법

바이러스가 USB 드라이브를 공격하면 USB 드라이브의 모든 데이터를 "먹거나" 숨길 수 있습니다. USB 드라이브의 숨겨진 파일과 폴더를 표시하는 방법은 LuckyTemplates의 아래 기사를 참조하세요.