[보안뉴스]“평범한 사진인 줄 알았는데 해킹”…‘RoKRAT’, 스테가노그래피·파일리스 공격으로 진화

내용 요약

RoKRAT 악성코드가 진화하여 다단계 암호화된 셸코드와 스테가노그래피 기법을 결합, 사진 파일 내에 악성코드를 숨겨 시그니처 기반 보안 솔루션의 탐지를 회피하고 있다는 내용입니다. 이는 파일리스(Fileless) 공격의 일종으로, 기존 보안 시스템의 한계를 파고드는 최신 공격 트렌드를 보여줍니다.

핵심 포인트

• RoKRAT은 다단계 암호화된 셸코드를 사용하여 악성 행위를 분산시키고 분석을 어렵게 합니다. ️
• 사진 파일 내에 악성코드를 은닉하는 스테가노그래피 기법으로 시각적인 위장과 함께 탐지를 회피합니다. ️
• 파일리스 공격 방식을 채택하여 디스크에 파일을 남기지 않고 메모리에서 직접 실행되어 시그니처 기반 보안 솔루션의 탐지를 우회합니다.
• 이러한 복합적인 기술들은 기존의 시그니처 기반 탐지 방식을 무력화하여 악성코드 탐지를 어렵게 만듭니다.

기술 세부 내용

1️⃣ RoKRAT

• RoKRAT은 북한 해킹 그룹과 연관된 것으로 알려진 특정 악성코드 패밀리입니다. ️‍♂️
• 주로 스피어 피싱(Spear Phishing) 공격을 통해 유포되며, 시스템 정보 탈취, 추가 악성코드 다운로드 및 실행 등 다양한 악성 행위를 수행합니다.
• 본문에서는 LNK 파일을 시작점으로 다단계 셸코드와 스테가노그래피를 활용하여 탐지를 회피하는 방식으로 진화했음을 강조하고 있습니다.

2️⃣ LNK File (바로가기 파일)

• LNK 파일은 Windows 운영체제에서 특정 파일, 폴더, 프로그램 또는 웹사이트에 대한 바로가기를 생성하는 데 사용되는 확장자명입니다.
• 사용자가 해당 LNK 파일을 클릭하면, 실제 연결된 대상이 실행됩니다. ️
• 공격자들은 이 LNK 파일의 특성을 악용하여, 합법적인 아이콘이나 파일명으로 위장한 악성 LNK 파일을 생성합니다.
• 이 악성 LNK 파일은 사용자가 클릭 시 직접 악성코드를 실행하거나, PowerShell, cmd.exe와 같은 Windows 기본 도구를 호출하여 추가적인 악성 명령을 실행하도록 설정될 수 있습니다. ️
• 본문에서는 RoKRAT이 LNK 파일을 초기 감염 벡터로 사용하여 다단계 셸코드 실행의 시작점으로 활용했음을 시사합니다.

3️⃣ 셸코드 (Shellcode) & 다단계 셸코드 (Multi-stage Shellcode)

• 셸코드 (Shellcode):
  • 셸코드는 일반적으로 익스플로잇(Exploit) 성공 후 시스템에서 실행되도록 설계된 작은 크기의 기계어 코드 조각입니다. ⚙️
  • 주로 시스템의 셸(Shell)에 접근 권한을 획득하거나, 특정 명령을 실행하는 데 사용되기 때문에 '셸코드'라는 이름이 붙었습니다.
  • 매우 압축적이고 효율적으로 작성되어 시스템 리소스를 적게 사용하면서 원하는 악성 행위를 수행할 수 있습니다.
• 다단계 셸코드 (Multi-stage Shellcode):
  • '다단계'는 셸코드가 한 번에 모든 악성 기능을 포함하지 않고, 여러 단계에 걸쳐 기능을 로드하거나 실행하는 방식을 의미합니다.
  • 첫 번째 작은 셸코드(Stager)는 단순히 다음 단계의 셸코드(Stage)를 다운로드하거나 복호화하여 실행하는 역할을 합니다. ⬇️
  • 이러한 방식은 다음과 같은 이점을 제공합니다:
    • 탐지 회피: 초기 단계의 셸코드가 매우 작고 단순하여 보안 솔루션의 시그니처 기반 탐지를 우회하기 쉽습니다.
    • 분석 방해: 모든 악성 코드가 한 곳에 있지 않으므로, 보안 분석가가 전체 공격 흐름을 파악하기 어렵게 만듭니다.
    • 유연성: 공격자는 필요에 따라 다음 단계의 페이로드(Payload)를 변경할 수 있습니다.
  • RoKRAT은 다단계 암호화된 셸코드를 사용하여 분석 및 탐지를 더욱 어렵게 만들고 있습니다.

4️⃣ 스테가노그래피 (Steganography)

• 스테가노그래피는 이미지, 오디오, 비디오 파일 등 일반적인 미디어 파일 내부에 비밀 정보(여기서는 악성코드)를 숨기는 기술입니다. ️
• 정보를 감추는 것이 목적이며, 숨겨진 정보가 있다는 사실 자체를 드러내지 않는다는 점에서, 정보 자체를 암호화하여 내용을 알아볼 수 없게 만드는 암호화(Cryptography)와는 다릅니다.
• 작동 원리: 주로 파일의 미세한 부분을 조작합니다. 예를 들어, 이미지 파일의 경우 육안으로는 감지하기 어려운 픽셀 값의 최하위 비트(Least Significant Bit, LSB)를 변경하여 데이터를 삽입합니다. 이 변화는 시각적으로 거의 인지할 수 없습니다. ✨
• 보안 공격에서의 활용: ️
  • 악성코드를 정상적인 파일(예: JPG, PNG 이미지)처럼 위장하여 전송하고 배포합니다. ️
  • 보안 솔루션은 파일을 일반 이미지로 인식하고 악성 행위를 탐지하지 못하게 됩니다.
  • 숨겨진 악성코드는 특정 트리거(예: 다른 악성 스크립트에 의한 실행)에 의해 추출되어 실행됩니다.
• RoKRAT은 사진 파일 내에 악성코드를 은닉하는 데 이 기법을 사용하여 탐지를 회피하고 있습니다.

5️⃣ 파일리스 (Fileless) 공격

• 파일리스 공격은 디스크에 실행 가능한 파일을 직접 저장하지 않고, 주로 운영체제의 메모리(RAM)나 레지스트리(Registry) 등의 비영구적 저장 공간을 활용하여 악성 행위를 수행하는 공격 방식입니다.
• 작동 방식:
  • 메모리 상주: 악성코드가 네트워크를 통해 직접 메모리에 로드되거나, 합법적인 프로그램(PowerShell, WMI, PsExec 등)의 취약점을 이용해 메모리에서 실행됩니다.
  • 레지스트리 활용: 악성코드를 레지스트리에 저장하고, 시스템 부팅 시 또는 특정 이벤트 발생 시 레지스트리에 저장된 코드를 메모리로 로드하여 실행하도록 설정할 수 있습니다.
  • 스크립트 기반: PowerShell, JavaScript, VBScript 등 스크립트 언어를 사용하여 디스크에 파일을 남기지 않고 명령을 실행합니다.
• 탐지 회피 능력:
  • 기존의 백신 프로그램은 주로 디스크에 저장된 파일의 시그니처를 기반으로 악성코드를 탐지하므로, 파일리스 공격은 이러한 방어를 쉽게 우회합니다.
  • 포렌식 분석도 어려워집니다. ️‍♀️
• RoKRAT은 파일리스 기법을 사용하여 시그니처 기반 보안 솔루션의 탐지를 방해하고 있습니다.

6️⃣ 시그니처 기반 보안 솔루션 (Signature-based Security Solutions)

• 시그니처 기반 보안 솔루션(예: 전통적인 백신 프로그램)은 알려진 악성코드의 고유한 패턴 또는 '시그니처(Signature)'를 데이터베이스에 저장해 놓고, 시스템 내의 파일이나 프로세스를 스캔하여 이 시그니처와 일치하는지 여부를 확인하는 방식으로 작동합니다.
• 작동 원리:
  • 악성코드의 특정 바이트 시퀀스, 해시 값, 파일명, 레지스트리 키 등 고유한 특징을 식별하여 데이터베이스에 등록합니다. ✍️
  • 새로운 파일이 생성되거나 실행될 때, 해당 파일의 특징을 추출하여 데이터베이스의 시그니처와 비교합니다. ↔️
  • 일치하는 시그니처가 발견되면 해당 파일을 악성코드로 간주하고 격리하거나 삭제하는 등의 조치를 취합니다. ❌
• 한계:
  • 알려진 위협에만 효과적: 새로운(제로데이) 악성코드나 변형된 악성코드에는 취약합니다. 시그니처가 데이터베이스에 업데이트되기 전까지는 탐지할 수 없습니다.
  • 변형 공격에 취약: 악성코드가 일부만 변형되어도 기존 시그니처와 일치하지 않아 탐지를 우회할 수 있습니다. (예: 난독화, 패킹, 암호화)
  • 파일리스 공격에 무력: 디스크에 시그니처를 남기지 않는 파일리스 공격에는 근본적으로 대응하기 어렵습니다.
• RoKRAT이 사용하는 다단계 셸코드, 스테가노그래피, 파일리스 기법 등은 바로 이러한 시그니처 기반 솔루션의 한계를 극대화하여 탐지를 회피하는 데 초점을 맞추고 있습니다.

7️⃣ 탐지 회피 (Evasion Techniques)

• 탐지 회피는 악성코드나 공격자가 보안 시스템(안티바이러스, IPS, IDS, EDR 등)의 탐지를 우회하여 목표 시스템에 침투하거나 악성 행위를 수행하는 일련의 기법들을 의미합니다. ‍♀️
• 본문에 언급된 RoKRAT의 탐지 회피 전략은 여러 기법의 복합적인 활용을 통해 이루어집니다:
  • 스테가노그래피: 악성코드를 정상 파일처럼 보이게 하여 파일 기반의 스캐닝을 우회합니다. ️
  • 다단계 셸코드: 초기 페이로드를 작고 단순하게 유지하여 시그니처 기반 탐지를 어렵게 하고, 주요 악성코드는 나중에 다운로드/복호화합니다.
  • 파일리스 기법: 디스크에 파일을 남기지 않고 메모리에서 직접 실행하여 파일 시그니처 검사를 무력화합니다. ➡️
  • 암호화/난독화: 코드 자체를 암호화하거나 난독화하여 정적 분석 및 시그니처 매칭을 방해합니다.
• 이러한 기법들은 단순히 한 가지 방어 체계를 우회하는 것을 넘어, 여러 방어 계층을 동시에 무력화하여 공격의 성공률을 높입니다.

 

출처: http://www.boannews.com/media/view.asp?idx=138521&kind=&sub_kind=