스피어피싱 대응을 위한 행위기반 판별에 대한 연구 - 악성코드 감염 경로 -

스피어 피싱 대응을 위한 행위기반 판별에 대한 연구 

1.3 악성코드 감염 경로

   공격 경로는 사용자 PC에 악성코드가 감염된 경로를 바탕으로 악성코드를 정의ㆍ분류하기 위한 부분이다. 이는 전파경로와 매우 흡사하게 표현되나 의미상의 차이로 구분된다. 감염경로는 악성코드가 배포되는 과정에서 사용자 PC에 감염되는 경로이다. 즉, 확보한 악성코드가 전파방법에 따라 자동적인 형태로 감염이 되는 경우와 악성코드 전파를 위해 직접 사람이 개입한 인위적인 경로로 감염이 이루어지는 모든 경우를 포함한 개념이다.

스피어피싱(Spear Phishing)

   스피어피싱은 불특정 다수의 개인정보를 빼내는 피싱과 달리 특정인의 정보를 캐내기 위한 공격이다. 특정인 또는 해당 조직의 직원을 대상으로 이메일을 발송하여 이메일에 첨부된 파일을 사용하여 악성코드에 감염시키거나 유해ㆍ사기 웹 사이트로 유도한다. 모든 공격 대상에 대한 정보는 악성코드가 감염된 시스템에 저장된 연락처 정보에 있다. 임원, 일반 관리자, 영업 관리자, 마케팅 담당자, 친구, 가족 등과 같은 지정된 그룹과 개개인의 연락처, 주소, 직위, 회사 정보는 공격자가 또 다른 공격을 계획하는 데 악용한다.

단축 URL(URL shortening)을 이용한 공격

   트위터나 페이스북과 같은 소셜 네트워크가 활성화되면서 단축 URL의 사용도 같이 증가 되었다. (트위터 글 작성 시 글자 수에 제한) 단축 URL은 원본 URL에 포함된 링크 정보나 콘텐츠 정보를 감출 수 있다. 이는 정상적으로 보이는 URL을 이용해 악성코드를 내려받는 링크로 사용자를 유인할 수 있다.

해킹당한 웹 사이트를 통한 감염

   사용자가 주로 접속하는 뉴스, 상거래, 제품 생산 업체, 기타 웹 사이트가 악성코드를 배포하는 경로로 악용된다. 웹 사이트를 해킹하여 특정 웹 페이지에 악성코드를 내려받는 URL을 삽입한다. 해당 웹 페이지에 방문한 사용자는 악성코드에 감염된다. 웹 사이트의 인지도와 방문자가 많을수록 가치가 높아진다. 몇 시간도 안 되는 짧은 시간 동안 발생한 공격으로도 웹 사이트를 방문하는 수천 명의 시스템을 감염시킬 수 있다. 예를 들어, Drudge Report(미국의 인터넷 신문) 웹 사이트가 해킹당해 악성코드를 배포하면, 하루 동안 웹 사이트를 접속하는 수백만 명의 접속자에게 취약점을 이용한 악성코드를 설치할 수 있다. 웹 사이트의 접속량이 많지 않은 경우에는 해당하지 않는 공격이다.

전자기기를 통한 감염

   USB와 같은 전자기기를 통해 직접 악성코드에 감염되는 사례가 확인되었다. USB 외에도 외장 하드디스크나 네트워크 장치, 디지털 액자의 펌웨어를 통해 감염되기도 한다.

공개 소프트웨어 패키지를 통한 감염

   무료나 기간 제한으로 배포되는 공개 소프트웨어 중 악성코드 제작자가 만든 소프트웨어로 인해 악성코드 감염 피해자가 되기도 한다. 이러한 소프트웨어는 백신 프로그램을 중지시키고 악성코드를 설치한다. 심지어 일부 랜섬웨어(Ransomware)는 해당 시스템 또는 시스템에 저장된 데이터를 볼모로 잡고 공격자에게 돈을 주기 전까지 사용하지 못하게 하거나 파괴하기도 한다.

사회공학 기법을 통한 감염

   사회공학 기법을 이용해 사용자에게 악성코드를 설치하도록 만드는 공격은 수년간 지속해서 발생하여 왔다. 공격자는 개인 계정을 탈취해 해당 계정을 이용해 친구나 아는 사람들에게 악성코드를 보내거나 악성코드를 내려받는 단축 URL을 전송한다.

가짜 소프트웨어 설치 유도

   웹 사이트에 접속하는 사용자에게 설치 필수 요소인 것처럼 가장해 사용자에게 모듈이나 애드온(Add-on)을 설치하도록 하는 방법이다. 이름도 자주 들어보거나 공인된 애플리케이션과 유사하게 만들어(실제로는 확인되지 않은 소프트웨어) 사용자를 속인다.

사용자 기반 공격코드

   사용자가 특정 웹 사이트에 접속하면 사용자가 사용하고 있는 운영체제, 브라우저, 애드온, 설치된 애플리케이션 등의 정보를 확인 후 취약한 버전이 사용되고 있으면 공격을 시도하는 방법이다.

피싱ㆍ파밍(PhishingㆍPharming)

   피싱은 임의의 대상자 또는, 정해진 대상에게 보내지는 효과가 높은 공격 방법의 하나다. 피싱을 시도할 대상은 조직의 일반 직원에서부터 관리자, 경영자 등 다양하게 대상을 선택할 수 있다. 만약 조직의 직원 계정을 이용해 상위 관리자에게 피싱을 시도한다면 성공 확률이 높다. 이러한 피싱 공격을 수직적 피싱(Vertical phishing)이라 한다. 또 다른 방법으로 직원의 계정을 이용해 같은 동료 직원에게 피싱을 시도하는 공격을 수평적 피싱(Horizontal phishing)이라 한다. 파밍 기법은 일반적으로 로컬시스템의 DNS Cache 정보 변경, Hosts.ics, Hosts, DNS를 변조한다.

ARP 스푸핑(Spoofing)

   ARP 스푸핑은 공격자가 다른 시스템에 MAC 주소를 속이는 것이다. 즉, 자신의 MAC address를 특정 PC의 IP에 연결되는 MAC 주소라고 속여 자신이 속한 네트워크 대역의 모든 시스템이 자신을 게이트웨이로 믿도록 위장함으로써 해당 네트워크 대역의 모든 네트워크 통신을 중간에서 가로채는 해킹 기법을 말한다. 공격자는 해당 네트워크 대역의 모든 네트워크 트래픽을 가로챈 후 악성코드를 삽입하여 다른 시스템을 감염시킬 수 있으며, 사용자가 특정 웹 페이지에 접속하려고 요청하는 패킷을 전송하는 경우 공격자가 패킷을 중간에 가로채어 사용자가 변조된 악성 웹 페이지에 접속하도록 위조하여 재전송하게 되면 사용자는 그 패킷을 받아 의심 없이 변조된 페이지에 접속하게 되어 악성코드가 감염될 수 있다. 이외에도 어떠한 시스템을 감염시킨 악성코드가 같은 네트워크 대역의 다른 시스템 또는 감염시키기 위해 자동으로 ARP 스푸핑 하는 경우도 있다.

Adobe Flash Player의 취약점을 악용한 감염

   웹 사이트에 삽입된 Adobe Flash Player의 취약점을 악용하여 악성코드를 설치 및 실행한다.