비디오: KTìì´ë¸ë¡, CJì¼ì´ë¸ë· ë± ì´íë¡ì§ ì¤í ë¦¬ì§ ì±ê³µ êµ¬ì¶ ì¬ë¡ (십월 2024)
통제 된 환경 또는 "샌드 박스"에서 알려지지 않은 소프트웨어를 동적으로 분석하는 것은 보안 전문가가 맬웨어를 제거하는 데 사용하는 강력한 도구입니다. 그러나 나쁜 사람들은 기술에 현명하고 샌드 박스에서 벗어나 시스템에 새로운 트릭을 도입했습니다.
보안 회사 LastLine의 공동 창립자이자 수석 과학자 인 크리스토퍼 크루 겔 (Christopher Kruegel)은“동적 분석은 올바른 방법이며 많은 사람들이 그렇게한다”고 말했다. "하지만 실제로는 표면을 긁는 것입니다." 기존의 AV 솔루션 모델은 알려진 맬웨어 목록에 중점을 두 었으며 해당 목록과 일치하는 항목을 차단했습니다. 문제는이 방법으로 제로 데이 익스플로잇이나 기존 맬웨어의 수많은 변형을 막을 수 없다는 것입니다.
가상 머신과 같은 제어 된 환경에서 알 수없는 소프트웨어를 실행하고 맬웨어처럼 동작하는지 감시하는 샌드 박싱을 입력하십시오. AV 회사는 프로세스를 자동화함으로써 이전에는 볼 수 없었던 위협에 대해 실시간 보호 기능을 제공 할 수있었습니다.
샌드 박스 깨기
당연히 나쁜 사람들은 샌드 박스를 속여 악성 코드를 무시하고 통과시키는 새로운 도구를 도입했습니다. Kruegel은 맬웨어가이를 수행하기 시작한 두 가지 방법을 언급했습니다. 첫 번째는 환경 트리거를 사용하는 것입니다.이 트리거는 맬웨어가 샌드 박스 환경에서 실행 중인지 여부를 미묘하게 검사합니다. 맬웨어는 때때로 하드 디스크 이름, 사용자 이름, 특정 프로그램이 설치되어있는 경우 또는 다른 기준을 검사합니다.
Kruegel은 두 번째로 복잡한 방법으로 실제로 샌드 박스를 제거하는 맬웨어라고 설명했습니다. 이 시나리오에서 맬웨어는 검사를 실행할 필요가 없지만 샌드 박스가 충족 될 때까지 쓸모없는 계산을 수행합니다. 샌드 박스가 시간 초과되면 맬웨어가 실제 컴퓨터로 전달됩니다. Kruegel은 "이 악성 코드는 실제 호스트에서 실행되고 루프를 수행 한 다음 나쁜 일을한다"고 말했다. "동적 분석을 사용하는 모든 시스템에 심각한 위협입니다."
이미 야생에
이러한 샌드 박스 침입 기법의 변형은 이미 유명한 공격을 시작했습니다. Kruegel에 따르면 지난주 한국 컴퓨터 시스템에 대한 공격은 탐지를 피할 수있는 매우 간단한 시스템이었습니다. 이 경우 Kruegel은 맬웨어가 특정 날짜 및 시간에만 실행될 것이라고 말했습니다. "샌드 박스가 다음날 또는 그 전날에 가져 오면 아무 것도하지 않는다"고 설명했다.
크루 겔 (Kruegel)은 Aramco 공격에서 비슷한 기술을 사용하여 맬웨어가 중동 석유 회사에서 수천 대의 컴퓨터 터미널을 무너 뜨 렸습니다. Kruegel은“그들은 IP 주소가 해당 지역의 일부인지 확인하고있었습니다. 만약 샌드 박스가 해당 지역에 있지 않으면 실행되지 않을 것입니다.
KLinegel은 LastLine이 발견 한 악성 코드 중 적어도 5 %가 이미 정지 코드를 사용하고 있다고 SecurityWatch에 말했습니다.
AV 팔 레이스
디지털 보안은 항상 새로운 대응을 지속적으로 수행하는 대응책으로 확대되고 있습니다. Kruegel의 LastLine은 이미 코드 에뮬레이터를 사용하고 잠재적 인 맬웨어가 직접 실행되지 않도록하여 잠재적 인 맬웨어를 더 심층적으로 조사하려고했기 때문에 샌드 박스 회피는 다르지 않습니다.
Kruegel은 잠재적 인 스톨 링 루프를 차단하여 잠재적 인 맬웨어를 나쁜 행동으로 "밀어 넣으려고"한다고 말했다.
안타깝게도 맬웨어 제작자들은 끝없이 혁신적이며 5 %만이 샌드 박스를 극복하기 위해 노력하기 시작했지만 우리가 모르는 다른 것들도있을 것입니다. Kruegel은“공급 업체가 새로운 솔루션을 개발할 때마다 공격자가 적응하고이 샌드 박스 문제는 다르지 않습니다.
좋은 소식은 기술 푸시 앤 풀이 곧 끝나지 않을 수도 있지만 다른 사람들이 멀웨어 제작자가 돈을 벌기 위해 사용하는 방법을 목표로하고 있다는 것입니다. 아마도 이것은 영리한 프로그래밍조차도 그들을 보호 할 수없는 나쁜 사람들, 즉 지갑을 때릴 것입니다.
