안랩 "문서 파일 위장한 실행형 악성코드 주의하세요"

 

개요

 

 

 

 

 

안랩[053800]은 24일 '입사 지원 서류', '급여 이체 확인증', '저작권 침해 안내' 등 다양한 주제의 문서파일을 위장한 실행형 악성코드 유포 사례를 잇달아 발견했다면서 주의를 당부했다.

 

안랩은 "피해 예방을 위해 개인은 출처가 불분명한 파일을 내려받거나 실행하지 말고, 조직에서는 지능형 위협 대응 전용 설루션을 구축하는 등 대응을 강화해야 한다"고 강조했다.

 

구체적으로 피해 예방을 위해서는 출처가 불분명한 문서 파일 다운로드·실행 금지, 프로그램 최신 보안 패치 적용, 백신 최신 버전 유지 및 실시간 감시 기능 실행 등의 보안 수칙을 지켜야 한다

.

안랩은 현재 'V3'와 샌드박스 기반 지능형 위협 대응 설루션인 '안랩 MDS'에서 해당 악성코드를 모두 탐지하고 있다고 덧붙였다.

 

 

 

  악성코드 분석 종류

 

 

 

자동화 분석

 자동화 분석은 악성코드의 급격한 증가로 인해 점차 이에 대하여 많은 시간과 인력이 필요하게 되었다. 하지만 모든 악성코드를 수동으로 분석하기에는 이러한 요소들이 많이 부족하다. 그렇게에 악성코드를 자동으로 분석해주는 방법이 지속적으로 나오고 있고, 현재 이러한 자동화 분석 도구가 상용이나 무료로 많이 배포되기 때문에 이들을 이용하면 된다.

자동화라는 단어에서와 같이, 해당 도구는 제작된 형태로만 작동한다는 것이다. 많은 오류를 범 할 수 있고. 만약 악성코드가 특정한 명령어 옵션을 필요로 할 때, 자동화 도구들은 이를 명령어 없이 실행하는 경우가 있다. 이 경우 악성코드는 악의적인 행위를 하지 않으므로, 악성코드라 판별되지 않을 수 있다는 단점이 있다

 

정적 분석

정적 분석이란 악성코드를 실행하지 않고 그 자체가 갖고 있는 내용들을 통해 악의적인 여부를 진단하는 것이다. 그렇기에 비교적으로 쉽고 빠르며, 별도의 지식 없이 이러한 정보들을 수집할 수가 있다. 모든 파일들은 자신만의 해쉬를 갖거나, 사용되는 API, 그리고 문자열 등을 갖는다 

 

 

동적 분석

 악성코드 파일을 실행하지 않는 정적 분석과는 다르게, 동적 분석은 해당 파일을 실행하므로 나타나는 변화를 모니터링하며 어떠한 기능을 수행하는지를 확인하는 분석 방법입니다. 악성코드 파일이 실제 악성 행위를 할 수 있으므로, 가상 환경에서 동적 분석을 수행해야 합니다. 가상 환경에서 독립된 네트워크와 같이 필요한 설정들을 구축한 뒤 동적 분석 도구들을 통해 어떠한 동작을 하는지 확인해야한다.

 

상세분석

 악성코드에 가장 자주 쓰이는 C와 C++등으로 코드를 작성하면 컴파일을 진행하는데, 컴파일은 해당 언어로부터 하드웨어가 읽을 수 있도록 하기 위한 2진수 코드로의 변환작업입니다. 이렇게 2진수로 된 코드는 인간이 읽을 수 없어서 디스어셈블이라는 과정을 필요로 합니다. 디스어셈블을 통해 2진수 코드에서 어셈블리 언어로 변환이 이루어진다.  디스어셈블링된 코드를 통해 상세 분석이 가능해진다.

 

 

 

 

 

 

 

 

 

https://www.yna.co.kr/view/AKR20231124062300017?section=industry/technology-science

안랩 "문서 파일 위장한 실행형 악성코드 주의하세요" | 연합뉴스

https://min-12.tistory.com/25

[악성코드 분석] 악성코드 분석 방법