파이어아이, 파일 기반의 샌드박스 우회 기법에 대한 분석 보고서 발표

아주경제 장윤정 기자= 파이어아이는 20일 진화된 악성코드의 다양한 샌드박스 우회 전술에 대한 정보를 제공하는 ‘파일기반의 샌드박스를 쉽게 회피하는 악성코드 기법(Hot Knives Through Butter: How Malware Evades Automated File-based Sandboxes)’보고서를 발표했다고 밝혔다.

이번 보고서는 진화된 악성코드가 시그니처 기반의 방어를 회피하는데 사용하고 있는 다양한 우회 기법에 대한 분석 결과를 제공한다. 오늘날 보다 정교하고 다양해지고 있는 멀웨어는 단일-플로우나 파일 기반의 샌드박스 솔루션을 무력하게 만들며, 여러 기법들을 사용, 잠복 혹은 복제될 수 있고 호스트 보호를 해제할 수 있다.

파이어아이 연구팀의 수석 이사이자 이번 보고서의 공동 저자인 젱 부(Zheng Bu)는 “전통적인 샌드박스 솔루션은 갈수록 정교해지고 있는 공격에 더 이상 대응하지 못하고 있다”라며,“이에 효과적인 탐지를 위해서는 행동 기반의 문맥 분석 기법과 멀티 플로우 분석을 통한 각 공격 단계간의 상관관계 분석이 중요하다. 파이어아이의 연구팀 역시 이러한 분석 과정을 통해 이번 보고서에 설명된 악성 코드 샘플을 확인할 수 있었다.”라고 밝혔다.

파이어아이 연구팀은 악성코드의 새로운 우회 기법을 밝혀내기 위해 자사의 멀티-벡터 가상 실행(MVX) 엔진의 비-시그니처에 기반하는 동적 실시간 탐지 기능을 활용했다. 파이어아이는 이번 보고서를 통해 악성코드 개발자가 파일 기반의 샌드박스를 우회하기 위해 사용하는 방법들에 대해 설명했으며 이는‘자동화된 파일 기반 샌드박스를 우회하는 악성코드 기법’등을 활용한다고 밝혔다.

실제 지난 국내 6.25 DDOS 사태와 같은 경우에도 가상 환경에서의 샌드박스의 분석을 어렵게 하기 위해 공격자가 'Themida packing program' 을 통해 악성 코드를 숨겨(packing)서 공격에 성공했다. 이로 인해 대다수의 보안 업체가 이 악성 코드를 분석 하는데 많은 시간이 소요 되었다. 반면 파이어아이는 자체 개발한 자사의 멀티 벡터 가상 실행 엔진을 통해 이러한 악성 코드를 수분 내에 분석. 고객사 및 관련 기관에 빠른 응대가 가능 하도록 전달 한 바 있다고 전했다.