시낵(SynAck) 랜섬웨어, 정상 프로세스로 위장하는 도플갱어

프로세스 도플갱잉으로 은폐

2017년 9월에 발견됐던 시낵 랜섬웨어가 업그레이드되어 나타났다. 초기엔 평범한 수준이었지만 프로세스 도플갱잉이란 새로운 은폐 기술을 적용해서 탐지가 극도로 어렵게 됐다.

악성코드는 대부분 obfuscation(난독화) 기법을 사용하지만, 백신 프로그램 역시 대부분 이를 해독할 수 있다. 그런데 시낵은 컴파일 전에 철저히 난독화하여 해독을 훨씬 힘들게 했다.

가장 특징적인 부분은 프로세스 도플갱잉(Process Doppelganging) 기법을 사용한 점이다. 이 기법을 이용하면 악성 행위를 합법적이고 무해한 프로세스인 것처럼 수행할 수 있다. 2017년 블랙햇 행사에서 발표됐으며 이후 몇 가지 악성 코드에서 사용됐다. 랜섬웨어에 실전에서 사용된 건 처음이다.

또한 자신이 제대로(in the right directory) 설치되었는지 확인하여, 아닐 경우에는 작동하지 않는다. 백신의 샌드박스를 회피하는 수단이다.

폴더 보호 무력화

시낵은 강력한 암호화를 하는데, 그 과정에 결함이 없어서 현재로선 해독할 방법이 없다. 백업만이 살 길이다.

프로세스 도플갱잉이 문제가 되는 건, 보안 소프트웨어의 접근 제어 기능을 무력화할 수 있기 때문이다. 일부 보안 앱에는 특정 폴더를 보호하여 악성 코드가 접근하지 못하게 하는 기능이 있다. Windows Defender에는 '제어된 폴더 액세스'라는 옵션으로 제공된다.

이 기능은 보안 앱이 자체적으로 판단한 프로그램과 사용자가 허용한 프로그램만이 보호된 폴더에 접근할 수 있도록 하는 화이트 리스트 방식인데, 합법적인 프로세스로 가장하는 악성코드를 제대로 차단할 수 있을지 의문이다.


참고 자료

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다