ASEC 리포트

매달 제공되는 ASEC 리포트에서 보안위협과 이에 대응하는 보안 기술의 최신동향, 전문정보를 확인하실 수 있습니다.

[Vol.97] 2019년 4분기 주요 보안 이슈

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2019-12-30
  • 조회수2010

2019년 4분기 ASEC Report에서는 보안 이슈를 통해 그동안 극히 일부만 공개되었던 안랩과 갠드크랩(GandCrab) 랜섬웨어의 긴 사투를 시간순으로 면밀히 살펴보고, 상세 분석에서는 보안 제품들을 우회하기 위해 점차 고도화되고 있는 다양한 유저 모드 후킹(User-Mode Hooking) 우회 기법들에 대한 분석 내용을 소개하였습니다.

  

 
  2019년 4분기 ASEC Report 주요 내용

  <보안 이슈>
  - 이제는 말할 수 있다! 안랩 vs. 갠드크랩(GandCrab)

  <상세 분석 >
  유저 모드 후킹(User-Mode Hooking) 우회 기법 심층분석
  
   

  


<보안 이슈 미리보기>

이제는 말할 수 있다! 안랩 vs. 갠드크랩(GandCrab)


갠드크랩(GandCrab)은 지난 2018년 초부터 2019년 2분기까지 1년이 넘는 긴 시간 동안 활발하게 유포된 랜섬웨어로 다양한 변종을 통해 전 세계적으로 막대한 피해를 끼쳤다. 국내 사용자를 노린 한글 파일 형식(.hwp) 등으로 위장하기도 하였으나 2019년 4분기 현재는 사실상 자취를 감춘 상태다.

 

대다수의 일반적인 악성코드는 감염 시스템에 백신 제품이 설치되었거나 동작 중인 것이 확인되면 악성코드의 기능을 중단하거나 동작 프로세스를 변경한다. 이에 반해 갠드크랩 랜섬웨어는 랜섬웨어의 본래의 목적인 파일 암호화 외에도 코드 상에 ‘안랩’과 ‘V3 Lite’ 제품을 직접적으로 언급하며 이에 대해 적극적인 공격을 시도했다. 초기 버전은 단순 문자열을 언급하는 정도였으나 점차 V3 제품 취약점 공개, 제품 삭제 등의 기능으로 진화했다. 한편 안랩 또한 갠드크랩 랜섬웨어의 킬스위치를 공개하는 것을 시작으로 V3 제품을 공격하는 기능이 새롭게 확인될 때마다 이를 보완하기 위해 빠르게 대응했다.

유포 기간 내내 지속된 안랩과 갠드크랩 랜섬웨어 제작자와의 긴 싸움은 국내외 IT 언론을 통해 몇 차례 보도된 바 있지만 지금까지 공개되었던 내용은 극히 일부이다. 이번 보고서에서는 안랩 시큐리티대응센터(AhnLab Security Emergency-response Center, 이하 ASEC)가 추적•분석한 내용을 바탕으로 그동안 민감 정보라는 이유로 공개되지 않았던 안랩과 갠드크랩 간의 사투를 시간순으로 면밀히 살펴보고자 한다. 
 

<상세 분석 미리보기>
유저 모드 후킹(User-Mode Hooking) 우회 기법 심층분석

 샌드박스(Sandbox) 기반의 보안 솔루션이나 안티바이러스(Anti-virus, 또는 백신) 제품의 행위 탐지 엔진은 악성코드의 행위를 토대로 악성 여부를 판단하고 탐지한다. 유저 모드 후킹(User-Mode Hooking) 기법은 이러한 악성코드의 행위를 파악하기 위한 대표적인 기법 중 하나이다. 악성코드가 실행될 때 행위에 대한 모니터링을 담당하는 DLL을 인젝션하며, 해당 악성코드 내부에 인젝션된 모니터링 DLL은 악성 행위에 필요한 주요 API 함수들을 후킹한다. 이후 악성코드가 주요 API들을 호출하면 모니터링 DLL에서는 호출된 API들을 로그로 남겨 악성 행위를 판단하고 분석가가 생성한 룰을 통해 탐지까지 진행할 수 있다.

특징적인 점은 유저 모드 후킹 시 주로 ntdll.dll에서 제공하는 Native API를 대상으로 한다는 점이다. 대부분의 악성코드는 악성 행위를 위해 프로세스나 메모리 혹은 파일 입출력과 관련된 자원을 사용하는데, 이 자원을 사용하기 위한 API들 중 대다수는 최종적으로 ntdll.dll을 통해 시스템 콜을 호출하기 때문이다. 

최근 악성코드 제작자는 이러한 유저 모드 후킹 방식을 사용하는 보안 제품들을 우회하기 위해 점차 고도화된 방식의 유저 모드 후킹 우회 기법들을 개발하며 이를 악용하고 있다. 이번 보고서에서는 실제 악성코드 사례를 중심으로 안랩 시큐리티대응센터(AhnLab Security Emergency-response Center, 이하 ASEC)에서 분석한 다양한 유저 모드 후킹 우회 기법들을 소개한다.

2019년 4분기 ASEC Report​ 전문은 PDF 파일을 통해 제공되고 있습니다.

 ​ ​

 ​ ​ ​ ​ 

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.