[데일리시큐]마이크로소프트, 최근 확산되는 러스트 악성코드 분석 도구 ‘RIFT’ 공개

내용 요약

Microsoft가 러스트(Rust)로 작성된 악성코드 분석 도구 'RIFT'를 오픈소스로 공개했습니다. RIFT는 방대한 러스트 표준 라이브러리 함수에서 악성 행위를 신속하게 식별하여 분석 시간을 단축시키는 데 목적을 두고 있습니다. 러스트 기반 악성코드는 BlackCat 랜섬웨어를 시작으로 Hive, 정보탈취기 등 다양한 형태로 증가하는 추세이며, 이에 대한 효율적인 분석의 필요성이 커지고 있습니다.

핵심 포인트

• Microsoft의 위협 인텔리전스 센터(MSTIC)에서 RIFT라는 러스트 악성코드 분석 도구를 오픈소스로 공개.
• RIFT는 러스트 표준 라이브러리 함수에서 악성 행위를 자동으로 식별하여 분석 시간 단축.
• BlackCat/ALPHV, Hive 랜섬웨어, 정보탈취기 등 러스트 기반 악성코드 증가 추세.
• RIFT를 통해 러스트 기반 악성코드 분석 효율 증대 기대

기술 세부 내용

1️⃣ RIFT (Rust Malware Identification and Function Tracking)

• 기능: 러스트로 작성된 악성 코드에서 공격자가 작성한 코드를 자동으로 식별하는 도구
• 목적: 수많은 러스트 표준 라이브러리 함수 사이에서 악성 행위를 빠르게 찾아 분석 시간 단축
• 작동 방식: RIFT는 러스트 악성코드의 바이너리를 분석하여 표준 라이브러리 함수 호출과 그 외의 함수 호출을 구분합니다. 이를 통해 분석가는 핵심 악성 로직에 집중할 수 있도록 도와줍니다.
• 장점: 악성코드 분석가가 러스트 기반 악성코드 분석에 소요되는 시간을 대폭 줄여줌으로써, 더 빠른 대응과 방어 전략 수립을 가능하게 합니다.
• 오픈소스: RIFT는 오픈소스로 공개되어 보안 커뮤니티의 참여와 개선을 통해 더욱 발전될 것으로 기대됩니다.

2️⃣ 러스트(Rust) 기반 악성코드 증가 추세

• 2021년: BlackCat/ALPHV 랜섬웨어 등장 - 러스트로 작성된 최초의 랜섬웨어로 주목
• 2022년: Hive 랜섬웨어가 러스트로 전면 재작성 - 기존 악성코드가 러스트로 재작성되는 사례 증가
• 2023년: 러스트 정보탈취기가 GitHub Codespaces 악용 - 다양한 유형의 러스트 악성코드 등장
• 증가 원인: 러스트는 메모리 안전성과 성능 면에서 장점을 가지고 있어 악성코드 개발자들이 선호하는 언어로 떠오르고 있음. 기존 C/C++ 악성코드 대비 분석 난이도 증가, 탐지 회피 용이 등 보안 측면에서 위협적임.

3️⃣ 러스트 악성코드 분석의 어려움

• 러스트는 비교적 새로운 언어이기 때문에 분석 도구 및 전문가 부족.
• 러스트의 복잡한 메모리 관리 구조로 인해 분석 난이도가 높음.
• 러스트 표준 라이브러리 함수가 많아 악성코드 분석 시 많은 시간 소요. RIFT는 이러한 어려움을 해결하는 데 도움을 줄 것으로 기대됨.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=167461