멀웨어란 무엇인가? 주의해야 할 멀웨어 유형

멀웨어 악성 소프트웨어를 의미하며, 사용자의 시스템에 파괴적이거나 다른 방식으로 타겟이 되는 개인 및 기업에 해를 끼치도록 설계된 소프트웨어입니다.

빠른 기술 발전은 다양한 종류의 멀웨어를 확산시켰습니다. 이는 민감한 정보를 훔치고, 스파이하며, 디지털 자산을 비활성화하고, 데이터를 조작하는 등 많은 나쁜 행위를 할 수 있습니다.

멀웨어 개발자는 보통 사이버 공격자, 해커, 또는 적대자라고 불립니다. 이들은 법적 책임을 피하기 위해 정체를 숨깁니다. 하지만, 때때로 그들은 무언가를 주장하기 위해 이를 공개하기도 합니다. 그래서 그들은 그들의 악성 활동에 대해 공개합니다.

멀웨어가 무엇인지 알았으니, 이제 일반적인 멀웨어 유형들을 살펴보겠습니다. 사이버 방어를 적절히 사용하려면 공격 벡터를 이해하는 것이 중요합니다. 기업 수준에서 사이버 보안을 실천하는 조직에게는 적시에 위협 탐지 규칙이 공격자를 앞서기 위해 필수적입니다. 알려진 멀웨어를 탐지하고 아직 패치되지 않은 스텔스 공격을 사냥하기 위해 SOC Prime의 Detection as Code 플랫폼 및 SOC Prime 검색 엔진을 살펴보세요.

탐지 및 헌트 위협 컨텍스트 탐색

멀웨어의 유형은 무엇입니까?

오늘날에는 너무나 많은 유형의 멀웨어가 있어서 새로운 유형을 만드는 것이 마치 새로운 디지털 트렌드처럼 보입니다(다음은 TikTok 챌린지 후). 매일 새로운 -웨어 단어가 들어간 뉴스 기사를 볼 수 있습니다. Cryware, spyware, scareware, rogueware, 당신이 이름 붙이면 됩니다. 이 블로그 게시물에서는 오늘날 모든 사람에게 잠재적으로 타격을 줄 수 있는 가장 널리 사용되는 멀웨어 유형을 설명하겠습니다. 이러한 멀웨어 유형에 대한 사이버 방어 조치를 강화하는 것은 모든 SOC 팀의 최우선 과제입니다.

아래에 나열된 용어들은 또한 서로 상호 교환하여 사용될 수 있습니다. 예를 들어, 바이러스는 랜섬웨어일 수 있고, 스파이웨어는 트로이목마일 수 있으며, 랜섬웨어는 봇넷일 수 있습니다.

바이러스

A 바이러스 는 스스로 무수히 복제할 수 있는 멀웨어 유형이며 실행을 위해 호스트가 필요합니다. 바이러스는 적법한 프로세스의 일부로 실행되기를 원합니다. 종종 사용자는 바이러스 활동이 너무 늦기 전까지 아무것도 알지 못합니다.

바이러스는 인터넷 초기부터 알려졌으며 여전히 전 세계 수백만 대의 컴퓨터에 감염을 일으키고 있습니다. 20년이 넘는 이전에 악명 높은 ILOVEYOU 변종은 유명한 기관 내부를 포함하여 천만 대 이상의 컴퓨터를 감염시켰습니다. 진정한 사랑처럼, 자신을 위해 아무것도 요청하지 않았으며, 단지 컴퓨터를 비활성화시켜 수십억의 피해를 입혔습니다.

이전의 바이러스와 달리 새로운 바이러스는 더 재정적인 중심으로 움직이고 있습니다. Statista 에 따르면 전 세계의 모든 바이러스 중 가장 큰 비중을 차지하는 것은 크립토 마이너입니다. 바이러스는 다크웹에서 구매할 수 있으므로, 많은 공격자에게 이것은 악마적 천재 코딩 경험보다는 비즈니스 벤처에 가까울 것입니다.

웜

웜 도 여러 번 복제할 수 있으며 네트워크 안으로 깊이 파고들면서 대역폭을 소비합니다. 바이러스와 달리, 다른 프로그램에 자신을 첨부하지 않으며 링크나 파일을 클릭하는 것과 같은 인간 상호작용이 필요하지 않습니다. 웜은 종종 운영 체제의 취약점을 악용하여 자동화된 루틴을 남용하고 통제할 수 없이 퍼집니다.

WannaCry는 최근 윈도우 운영체제를 겨냥한 가장 큰 랜섬웨어 웜일 것입니다. 이는 NSA에서 도난당한 EternalBlue 익스플로잇을 사용했습니다. 흥미롭게도, 공격 캠페인이 시작되었을 때 해당 익스플로잇은 패치되었습니다. 교훈: 업데이트를 절대 무시하지 마세요.

로직 폭탄

로직 폭탄 은 특정 조건에서 실행되는 멀웨어 유형입니다. 로직 폭탄은 코드 문자열이나 스크립트를 주입하는 것만으로 시작되기 때문에 새로운 유형의 ‘파일 없는’ 멀웨어에 속합니다.

로직 폭탄의 유명한 사례는 한 소프트웨어 개발자가 회사에서 해고된 후 발생한 회사 네트워크의 대량 데이터 삭제를 설명합니다. 멀웨어 분석 에 따르면 폭탄의 트리거는 급여 명단에 직원 이름이 없다는 것이었습니다.

백도어

이름 그대로, 백도어 는 표준 인증 및 권한 부여 방법을 우회할 수 있도록 하는 멀웨어 유형입니다. 기본적으로, 그들은 감염된 시스템에 숨어 들어가고 나올 수 있으며 의심스러운 활동이 탐지될 때까지 알아차리지 못합니다. 백도어는 일반적으로 Initial Access를 얻으려고 하며 악성 서버와 연결하려는 관련 멀웨어 파일에 의해 설치됩니다. 백도어는 여러 페이로드의 게이트웨이 역할을 하며 오랜 기간 동안 작동할 수 있습니다.

그러나 일부 백도어는 합법적인 소프트웨어 및 하드웨어에 기본 기능으로 제공되기도 합니다. 물론, 공격자는 이 기능을 기꺼이 남용합니다. 또한 OWASP Top 10 에서 제공한 일반적인 백도어에 대한 흥미로운 개요도 있습니다 – 분명히 고려할 만합니다.

트로이 목마

트로이 목마 바이러스는 피해자가 원하는 것으로 가장합니다. 이는 신뢰할 수 없는 소스에서 다운로드한 게임 또는 소프트웨어가 될 수 있습니다. 가장 악명 높은 예 중 하나는 사실은 바이러스인 무료 백신 프로그램입니다. 이는 브라우저 확장 프로그램으로도 제공될 수 있습니다. 연구원들은 또한 감염된 워드 문서를 트로이 목마라고 언급합니다. 이들은 피싱 이메일로 전송됩니다.

트로이 목마의 페이로드는 공격자의 목표에 따라 달라질 수 있습니다. 이는 지불을 요구하거나, 데이터를 훔치거나 암호화하거나, 화면을 잠그고, 시스템 리소스를 소모하고, 통제를 무력화하며, 다른 바이러스를 배포할 수 있습니다. 가장 큰 멀웨어 봇넷 중 하나인 Emotet은 은행 트로이 목마로 시작하여 여러 국가의 정부가 대규모 특별 작전을 실시한 후에도 다시 살아났습니다.

RAT

RAT 는 원격 액세스 도구를 나타냅니다. 이는 적들이 피해자의 시스템을 원격 제어할 수 있도록 합니다. 즉각적인 손상 또는 금전적 이득은 이러한 멀웨어의 주된 목표는 아닙니다. 이 경우, 공격자는 네트워크의 다른 기기 및 사용자의 권한을 발견하기 위해 시간을 가질 수 있습니다. 그들은 인프라에서 더 중요한 자산으로 측면 이동할 수 있습니다. RAT는 또한 자격 증명, 키스트로크, 이메일 및 채팅 메시지를 기록하거나 스크린샷을 찍을 수 있습니다. 데이터가 획득되면 악성 서버로 전송될 수 있습니다. SUNBURST와 같은 일부 유형의 멀웨어는 특정 일정에 따라 C&C 서버와 통신할 수 있습니다. 이를 비콘이라고 합니다.

랜섬웨어

랜섬웨어 는 피해자의 데이터를 암호화하고 잠가 관습 솔루션의 일환으로 랜섬을 요구하는 멀웨어 유형입니다. 최신 랜섬웨어 통계에 따르면 이 멀웨어 유형은 공격 캠페인 운영의 급증에 가능성 있는 기복을 가집니다. 이는 공격 중에서 가장 큰 사이버 공격 시장 중 하나입니다. 랜섬웨어 인프라는 봇넷 및 Ransomware-as-a-Service 네트워크뿐만 아니라 시장 점유율의 더 큰 몫을 차지하기 위해 서로 경쟁하는 그룹으로 구성됩니다.

또 다른 수익성 있는 사업은 주로 변호사가 운영하는 랜섬웨어 협상 서비스입니다. 가장 큰 랜섬 중 하나로 여겨지는 CNA Financial Corp.에 의해 지급된 4000만 달러는 6000만 달러에서의 감소라고 말해집니다. 일부 협상가는 손을 더럽히는 것도 두려워하지 않습니다. Bloomberg는 해커가 협상가들로부터 랜섬 액수에 대한 문서화된 증거를 요구한 사례를 보도했습니다. 알고 보니 해커들은 이전에 협상가들에게 속았습니다. 그들은 피해자들이 더 적은 금액을 지불할 준비가 되었고 실제 금액과 공격자에게 전달한 차이를 포켓했다는 것입니다. Bloomberg 는 이를 이렇게 표현했습니다: ‘사기꾼이 사기를 당할까 걱정했다.’

랜섬웨어도 트렌드를 가지고 있습니다. 예를 들어, 이중 및 삼중 협박입니다. 이중 협박은 공격자가 데이터를 훔치고 암호화하여 랜섬이 지불되지 않으면 판매하겠다고 위협하는 경우입니다. 삼중 협박은 공격자가 해킹당한 회사뿐만 아니라 영향을 받은 제3자를 위협할 때입니다.

때로는 기적도 일어납니다. 예를 들어, Colonial Pipeline의 랜섬은 종종 사용된 ‘신뢰할 수 있는’ 비트코인 블록체인에서 DOJ에 의해 거의 완전히 회수되었습니다.

회복력을 유지하려면 조직은 데이터 복구 절차를 구현하고 파괴될 가능성이 낮은 곳에 항상 백업을 보관해야 합니다. 말씀하신 김에, 전문가들은 인프라 재현성 이 추적해야 할 일반적인 사이버 메트릭이 되어야 한다고 제안합니다.

키로거

키로거 는 키스트로크 로거의 약어입니다. 즉, 컴퓨터의 키보드에서 모든 작업을 기록하는 멀웨어입니다. 하지만 다른 입력도 기록할 수 있습니다:

• 클립보드에 복사된 모든 것
• 마우스 클릭
• 활동 (열린 프로그램, 폴더 등)
• 스크린샷을 찍을 수 있습니다
• 텍스트 값(마스크 뒤의 비밀번호)을 검색할 수 있습니다

키로거는 자격 증명, 신용카드 번호, 채팅 및 이메일 대화, 브라우징 기록, 심지어 피해자 기기를 원격으로 제어하려 할 수 있습니다. 이 멀웨어는 사용자가 알지 못하는 상태에서 다운로드될 수 있으며 백그라운드에서 은밀하게 실행됩니다. 로그는 보통 파일에 저장되므로, 키로거를 탐지하는 한 가지 방법은 자주 업데이트되는 파일을 검사하는 것입니다. 이러한 파일은 또한 C&C 서버로 전송되므로 설정된 연결을 찾는 것이 중요합니다.

스파이웨어

스파이웨어 는 피해자의 개인 데이터를 악성 서버에 모니터링, 기록, 암호화 및 exfiltrate하기 위해 설계된 멀웨어 유형입니다. 또한 비콘 작업을 수행하여 추가 멀웨어를 다운로드할 때를 C&C 서버에 알려줄 수도 있습니다. 스파이웨어는 인간의 행동에 관심이 있으므로 주된 대상은 개인 컴퓨터나 모바일 기기입니다.

그러나 고급 스파이웨어는 개개인을 겨냥하기보다는 대규모 조직에 침투할 수 있습니다. 널리 알려진 예로는 Starwood 호텔 체인을 감염시킨 국가 후원 멀웨어로 추정되는 것이 있습니다. 이 멀웨어는 여권 정보에 관한 정보를 획득할 수 있었기 때문에 사람의 출현, 위치, 금융 기록 등을 추적할 수 있었습니다.

결국, 스파이웨어는 가능한 모든 정보를 스파이할 수 있습니다: 웹 브라우징, 데이터 입력 및 출력, 위치, 사용 중인 소프트웨어까지. 이는 오디오 및 비디오 콘텐츠를 수집하고 비밀리에 마이크 및 카메라를 켜서 스스로 녹화할 수 있습니다. 일부 예로는 권한이 있는 계정을 하이재킹하고 조직을 스파이할 때 데이터베이스 쿼리를 수행하는 기능이 포함됩니다.

아마도 가장 악명 높은 스파이웨어 예는 페가수스 프로젝트일 것입니다. 최신 버전은 제로 클리크 익스플로잇을 활용할 수 있으며 대상 기기에 감지 가능한 흔적을 남기지 않았습니다. 약 1년 전, 국제 앰네스티 는 Pegasus 탐지 지침이 포함된 상세한 보고서를 발표했습니다.

애드웨어

애드웨어 는 다양한 형태를 가질 수 있습니다. 일부는 해를 끼치려는 의도가 없는 무해한 형태로, 소프트웨어 애플리케이션 내에서 데이터를 수집하고 광고를 표시합니다. 예를 들어, 앱 내 광고를 보기에 동의한 모바일 앱의 무료 버전일 수 있으며, 그 광고를 더 이상 보고 싶지 않다면 프리미엄 버전으로 업그레이드할 수 있습니다. 하지만 이 기사에서는 악성 애드웨어를 간단히 살펴보겠습니다.

곡과 비디오 같은 무료 콘텐츠를 제공하는 일부 웹사이트들은 많은 애드웨어와 같은 일반적인 멀웨어 유형으로 감염되었습니다. 대부분의 사용자는 이 이야기를 인식할 것입니다: 웹사이트를 방문해 플레이를 클릭했는데, 갑자기 다른 웹페이지로 리디렉션되고 수많은 팝업이 나타납니다. 최악의 경우에는, 애드웨어가 성가신 닫을 수 없는 광고를 열고, 화면을 잠그며, 지불을 요구하거나 피해자의 기기를 봇넷 인프라에 추가하는 등의 백그라운드 작업을 해낼 수 있습니다.

봇과 봇넷

A bot 자체

A 는 또한 나쁜 것이 아닙니다. 수많은 고객 지원 봇은 실제 인간 직원과 대화하기 전에 로봇과 대화할 수 있게 해줍니다. 구글 검색 엔진 크롤러도 봇입니다. 그러나 사이버보안 세계에서는 다른 방식의 멀웨어로 불리는 봇이 있습니다. 이는 피해자의 컴퓨터 제어를 비밀리에 장악하여 악성 작업을 수행합니다. 봇넷

은 공동의 목표를 달성하기 위해 함께 작동하는 봇들의 연결된 네트워크입니다. 이들은 종종 악성 C&C 서버나 그런 서버 네트워크에 의해 조작됩니다. 봇은 바이러스와 웜처럼 자가복제가 가능합니다. 피해자는 자신의 기기가 봇넷의 일부라는 사실을 인식하지 못할 수 있습니다. 갑작스러운 충돌, 느린 종료 과정, 느린 소프트웨어 실행, 또는 분명한 이유 없이 느려진 인터넷 트래픽과 같은 징후는 봇넷과의 연결을 암시할 수 있습니다.

봇이 단순히 하나의 악성 서버에 연결되는 대신 P2P 인프라의 일부가 될 때 상황은 더 나빠집니다. 이 경우, 사이버 공격의 출처를 식별하는 것이 더 어렵습니다. 또한, 피해자가 공격자의 일을 수행하고 있다는 것조차 알지 못할 수도 있습니다. 예를 들어, GameOver Zeus는 도메인 생성 알고리듬(DGA)을 봇넷 통신에 활용하여 특히 포식적인 수를 사용했습니다.

루트킷 루트킷

은 컴퓨터의 루트 디렉토리, 즉 커널에 대한 무단 액세스를 획득하는 멀웨어 유형입니다. 이곳은 운영 체제의 중심이므로, 이미 예상하셨겠지만, 루트 액세스를 획득하면 많은 혼란을 일으킬 수 있습니다.

크립토재킹 및 관련 사례

크립토 업계에서 자주 사용되는 단어 중 하나는 기록 최고치입니다. 그러나 최근에는 이는 단순히 암호화폐 가격뿐만 아니라 암호화 범죄도 포함되며, 불법 주소들은 2021년 140억 달러 를 받았습니다.

보시다시피, 사기, 도난 당한 자금, 그리고 다크넷 시장이 2021년 주요 공격이었으며, 암호화 중심의 멀웨어 공격 유형이 모든 경우에 적용됩니다. 그렇다면 어떤 유형이 이러한 경우에 해당할까요?

• 사기 – 사회 공학 공격의 일환일 수 있습니다
• 도난 자금 – 많은 유형의 멀웨어를 언급할 수 있습니다. 대부분은 핫 지갑에 대한 접근 기기를 침투하려 합니다
• 랜섬웨어 – 운영자들은 디지털 통화로 랜섬을 받습니다.

크립토재킹 은 피해자의 장치에서 암호화폐를 조용히 채굴하도록 설계된 멀웨어 유형입니다. 이는 시스템 리소스를 소모하며 가능한 한 오랫동안 숨으려고 합니다.

자금 도난과 관련하여, 일반적인 멀웨어 형태로는 공용 및 개인 키의 조합(때로는 시드 구문)을 찾고 암호화폐 지갑에 접근하기 위해 키로거들이 사용하는 것입니다. 정보 탈취자는 또한 시스템 메모리, 텍스트 문서, 브라우저 세션, 정규식 등 어떤 자격 정보라도 얻을 수 있는 모든 것을 탐색할 수 있습니다. 비보관 지갑은 일반적으로 보관 지갑보다 도난에 더 취약합니다. 그리고 공격자가 블록체인 거래를 수행하는 경우 – 이는 되돌릴 수 없습니다. 암호화 공격에 관심이 있다면, 마이크로소프트 보고서 의 공격 표면 세부 사항과 일반적인 킬 체인 예제를 확인해 보세요.

SOC Prime을 통한 멀웨어 탐지

에 등록되면 SOC Prime Detection as Code 플랫폼에서 26개 이상의 공급업체별 형식으로 번역된 수천 개의 Sigma 기반 탐지 규칙에 접근할 수 있습니다. 전 세계적으로 7000개 이상의 조직이 이러한 규칙을 매일 사용하여 위협 탐지 프로세스를 간소화합니다. 다양한 유형의 멀웨어를 대상으로 하는 새로운 탐지 항목은 공식 발표 후 24시간 이내에 플랫폼에 등장합니다.

위협 사냥 쿼리는 업계 최고의 보안 전문가들에 의해 제작되며, 맞춤 검색을 위해 SIEM, EDR 및 XDR 플랫폼에서 사용됩니다. 네트워크 내에서 새로운 위협을 공격자가 해를 끼치기 전에 발견하세요. 모든 검색 쿼리 및 탐지 규칙은 위협 인텔리전스 컨텍스트 및 MITRE ATT&CK® 매핑과 함께 제공되어 SOC 팀이 새로운 위협을 신속하고 효율적으로 분석할 수 있습니다.

설립된 Threat Hunting 전문가 및 Detection Engineers 또한 Threat Bounty – 전 세계의 위협 환경을 시간에 민감한 탐지 콘텐츠로 하나로 연결하는 크라우드소싱 이니셔티브에 참여합니다. 콘텐츠 작성자들은 그들의 노력에 대한 반복 보상을 받고, Detection as Code 플랫폼 사용자는 사이버 방어 협력의 혜택을 누리며 고립된 보안 접근과 그 결과로부터 해방됩니다.