바이너리 파일을 비교하는 재래적인 방식을 알아차린 해커들은 소위 ‘fileless’ 라는 새로운 악성코드 공격 방식을 고안해냈습니다.
트렌드마이크로가 발견하여 JS_POWMET.De라고 명명한 바이러스는 자동시작 레지스트리 과정을 통하여 침입합니다. 그간의 약한 형태의 파일리스와 달리 이 바이러스는 완전히 파일이 없는 상태이기 때문에 ‘샌드박스’를 통한 시뮬레이션 기법으로 동적분석이 어려워 보안업체 관계자들에게 새로운 숙제를 주었습니다.
현재 이 바이러스는 90%가 아시아지역에서 발견되고 있고 우리나라에도 일부 피해가 있습니다..
아마도 감염된 웹싸이트를 방문할 때 트로얀을 다운로드 당해서 감염되는 것으로 추정이 됩니다. 레지스트리 Dll에 코드가 주입되면 재부팅할 때 원격으로 C&C 서버에 접속해서 다음 작업을 위한 파워쉘 스크립트를 실행시키고 이는 다시 favicon 을 다운받는데 이것의 압축이 풀리면서 exe나 dll 파일에 악성코드를 주입하는 일을 합니다.
모든 루틴은 파워쉘 코드를 통해서 수행되고 시스템에는 일체의 파일 흔적이 남아 있지 않아서 백신이 탐지를 하지 못합니다. 따라서 이런 바이러스를 예방하기 위해서는 원격에서 PowerShell이 진입하는 경로를 차단해야할 것입니다.
트렌드마이크로 백신은 행위기반탐지 방식을 통하여 시스템에 파일이 남아 있지 않은 파일리스 공격도 탐지한답니다.
http://www.itworld.co.kr/news/106580
6490
83
