대부분의 사람들은 멀웨어를 이메일이나 웹에서 다운로드한 악성 실행 파일이라고 생각하지만, 파일리스 멀웨어는 데이터 보호에 새로운 변화를 가져옵니다. 사용자가 시스템을 부팅할 때마다 로드되는 파일을 사용하는 대신, 파일리스 멀웨어는 Windows 레지스트리에서 메모리로 직접 로드되거나 문서에 저장된 악성 코드를 사용하여 멀웨어를 로드합니다. 파일리스 멀웨어는 안티바이러스 소프트웨어를 우회하도록 구축되므로, 이를 차단하기 위해 추가적인 보안 계층이 필요합니다.
파일리스 악성코드란?
파일리스 멀웨어는 컴퓨터 메모리 내에서 전적으로 작동하는 악성 소프트웨어의 한 유형으로, 하드 드라이브에 파일을 생성하지 않습니다. 악성코드 작성자는 기존의 악성코드를 사용해 실행 파일을 컴파일하고 이를 표적에게 전달하는 방법을 찾아야 합니다. 예를 들어, 멀웨어 작성자는 데이터 센터 직원이 실행 파일을 다운로드하는 스크립트를 열도록 설득하기 위해 이메일 메시지를 작성할 수 있습니다. 실행 파일은 악성 코드를 메모리에 로드합니다. 사용자가 재부팅할 때마다 실행 파일이 메모리로 다시 로드됩니다.
파일리스 악성코드는 파일 기반 악성코드보다 훨씬 더 가볍습니다. 파일리스 멀웨어를 사용하면, 코드가 Windows 레지스트리에 로드되거나, 악성 코드가 실행 파일 없이 메모리에 로드됩니다. 예를 들어 PowerShell 스크립트는 서버 메모리에 로드되어 인터넷에서 공격자가 제어하는 서버로 데이터를 전송하는 데 사용될 수 있습니다.
파일리스 악성코드의 작동 방식
대부분의 공격은 악의적인 피싱 이메일에서 시작되지만, 공격자는 웹 서버에서 호스팅되는 드라이브-바이 다운로드를 사용할 수도 있습니다. 공격을 시작하는 또 다른 일반적인 방법은 소셜 엔지니어링입니다. 공격자는 문자 메시지로 표적에게 연락하여 악성 스크립트가 있는 웹 페이지를 열도록 설득할 수 있습니다. 웹 상의 악성 리디렉션 또는 이블-트윈 Wi-Fi 핫스팟에 대한 중간자 공격으로 인한 피싱은 드물지만 멀웨어 공격에서는 가능합니다.
파일리스 악성코드는 보통 Windows 시스템을 표적으로 하기 때문에 PowerShell은 이러한 공격에 사용되는 일반적인 스크립팅 언어입니다. 사용자는 먼저 이메일 메시지에 첨부되는 PowerShell 스크립트를 실행하도록 설득을 받고 PowerShell 스크립트가 지침을 실행합니다. 랜섬웨어를 설치하거나, 사용자 컴퓨터의 데이터를 훔치거나, 암호를 들으며, 로컬 머신의 원격 제어를 위한 루트킷을 설치하는 것이 그 방법일 수 있습니다. PowerShell은 사용자의 컴퓨터에 설치된 현재 애플리케이션을 실행할 수 있으므로, 파일리스 멀웨어는 악성 코드가 포함된 문서를 생성하거나 기존 문서에 악성 코드를 삽입하려고 시도할 수 있습니다. 사용자가 문서를 다른 사용자와 공유하면 악성 코드가 페이로드를 실행하고 전달합니다.
일반적인 공격 벡터
대부분의 페이로드에서 가장 일반적인 공격 경로는 피싱이며, 파일리스 공격에서도 가장 일반적입니다. 이메일을 사용하여 페이로드를 전달하려면 공격자는 사용자에게 악성 첨부 파일을 열거나 악성코드를 호스팅하는 웹사이트로 연결하도록 설득해야 합니다. 엔터프라이즈 기업은 이러한 메시지가 직원의 받은 편지함에 전달되지 않도록 항상 이메일 보안을 설정해야 합니다.
Microsoft Office 문서는 매크로와 코드를 저장하여 문서가 열릴 때 활동을 트리거할 수 있습니다. 운영은 무해할 수 있지만, Office 문서(예: Word, Excel 또는 PowerPoint)에 저장된 악성 코드는 여러 페이로드를 수행할 수 있습니다. 페이로드에는 데이터 유출, 루트킷 설치 또는 로컬 시스템이나 네트워크 환경에 랜섬웨어 전달이 포함됩니다.
소셜 엔지니어링은 공격의 구성 요소일 수 있습니다. 예를 들어, 보다 정교한 피싱 공격에는 일반적으로 회계사나 인사 담당자와 같은 높은 권한을 가진 직원을 속이기 위해 노력하는 여러 공격자가 있습니다. 이러한 표적은 민감한 데이터에 액세스할 수 있기 때문에 위협 저자들은 더 많은 노력을 기울일 수 있습니다. 위협 저자는 소셜 엔지니어와 팀을 이루어 피싱 이메일에 참여하도록 설득하기 위해 표적에게 전화를 걸 수 있습니다.
파일리스 악성코드의 영향
파일리스 공격은 일반적으로 데이터 손실 또는 장기 백도어를 초래하며, 이 경우 멀웨어는 제거 후에도 지속될 수 있습니다. 대부분의 사이버 범죄자들은 데이터를 유출하기 위해 협력합니다. Ransomware는 일반적인 페이로드이며, 실행 가능한 데이터 백업이 없는 경우 수백만 달러를 지불하여 데이터를 복구하도록 할 수 있습니다.
지속적인 위협은 탐지 전 몇 개월 동안 실행되는 경우가 많습니다. 이러한 위협은 데이터를 조용히 유출하는 데 사용될 수 있습니다. 지속적인 위협은 실행되지만, 일반적으로 백도어를 생성하여 보안 직원이 완전히 제거하거나 억제할 수 없습니다. 탐지 및 제거 후, 네트워크 관리자는 보안에 대한 잘못된 감각을 가질 수 있으며, 지속적인 위협의 백도어는 공격자가 환경을 다시 침해할 수 있도록 합니다.
대부분의 데이터 침해는 소송 및 규정 준수 벌금으로 인한 수익 손실로 이어집니다. 브랜드 손상은 억제되어야 하며, 고객 신뢰 상실은 매출을 낮출 수도 있습니다. 파일리스 멀웨어는 탐지를 우회하도록 구축되어 비즈니스 연속성과 향후 수익에 특히 위험할 수 있습니다.
탐지 및 예방 전략
파일리스 악성코드 공격의 여파를 피하기 위해서는 조기 탐지가 매우 중요합니다. 조기 탐지는 데이터 침해 후 정리해야 하는 많은 재해 복구 요구 사항을 방지합니다. 네트워크 인프라 및 엔드포인트(예: 사용자 모바일 장치)에 설치된 모니터링 도구는 메모리에 로드되기 전에 파일리스 멀웨어를 포착할 수 있습니다. 네트워크 모니터링 솔루션은 악성 코드가 민감한 파일 및 데이터에 액세스하려고 할 때 비정상적인 동작을 감지합니다.
침입 방지에는 위협이 자동으로 포함됩니다. 모니터링은 멀웨어를 탐지하고 관리자에게 경고하지만, 침입 방지는 사이버 보안을 한 단계 더 발전시키고 자동으로 데이터 유출을 방지합니다. 네트워크 관리자는 여전히 조치를 취해야 하지만 침입 방지 및 억제를 통해 피해를 완화합니다.
오늘날의 모니터링 및 예방은 분석 및 행동 패턴을 사용하여 악의적인 활동을 탐지합니다. 예를 들어, 민감한 데이터가 있는 파일은 연중 몇 번의 액세스 요청만 받을 수 있습니다. 멀웨어가 단기간에 여러 번 파일에 액세스하려고 하면, 탐지 솔루션은 이를 의심스러운 활동으로 보고 관리자에게 알립니다. 제로데이 위협은 변칙적인 벤치마크와 검색을 통해 탐지할 수도 있습니다.
결론
파일리스 멀웨어는 관리자가 처리해야 하는 많은 사이버 보안 위험 중 하나에 불과합니다. 올바른 모니터링 도구, 침입 탐지 및 예방 솔루션을 통해 위험을 최소화하고 완화할 수 있습니다. 모든 사용자 디바이스, 특히 타사 Wi-Fi 핫스팟에 연결되는 디바이스에 엔드포인트 탐지 및 대응(EDR) 보호 기능을 설치합니다. 마지막으로, 데이터를 보호하고 데이터 보호의 우선순위를 정하는 솔루션을 제공하는 신뢰할 수 있는 기술 파트너와 협력하세요.
