머신러닝을 회피하는 CERBER (케르베르)

게시일: 2017-4-3 l 작성자: Gilbert Sison (Threats Analyst)

케르베르 랜섬웨어가 새로운 기술을 터득해 감지하기가 더 어려워 졌다고 밝혀졌다. 이러한 새로운 수법은 머신러닝 솔루션의 감지를 피하기 위해 디자인된 새 로더를 사용한다. 새로운 로더는 케르베르 코드가 실행되는 기존의 프로세스를 파내기위해 만들어졌다.

행동과 분석

랜섬웨어가 일반적으로 이메일을 통해서 유입되듯이 새로운 케르베르 변수들도 마찬가지로 이메일을 통해 시작이 된다. 다양한 유틸리티를 사용했을 수 있습니다. 이러한 이메일에는 자체 추출 아카이브로 연결하는 링크가 담겨있고, 아카이브는 공격자가 관리하는 Dropbox (드랍박스) 계정에 업로드 된다. 공격대상자는 이 파일을 다운로드 받아 열고, 그렇게 시스템이 감염이 된다. 아래 차트는 이러한 과정을 설명한 차트이다.

그림 1. 케르베르 행동 순서도

다운로드 된 파일은 세가지 파일을 포함한 자체 추출 아카이브다. 세가지 파일은 비주얼 베이직 스크립트, DLL 파일, 구성 파일처럼 생긴 바이너리 파일이다. 우리가 본 한 샘플에서는 세 파일들이 각 순서대로 38oDr5.vbs, 8ivq.dll, x 로 표기되어 있었다. 똑같은 방식이지만 다른 케이스들은 아마 다른 이름으로 표기 되어 있을 수도 있다.

그림 2. 자체 추출 아카이브 구성

첫번째로, 스크립트는 윈도우 스크립트 호스트를 사용해서 작동된다. 그런 다음 차례로 rundll32.exe 를 DLL의 파일이름으로 사용해 DLL 파일을 로딩하고 빼낸다.
DLL 파일은 그 자체로 심플하고 직선적이다. 구성 파일 (file x)를 읽고, 부분들을 해독 한 후, 해독한 내용에 상관없이 그대로 실행한다. DLL 파일이 압축되어 있거나 암호화 되어 있진 않지만 file x에서 해독한 코드들이 악성코드임은 분명하다.

그림 3. Start of binary file in X

X 는 로더 뿐만 아니라 다양한 구성 세팅들을 포함하고 있다. 이 로더는 파일이 VM에서 혹은 샌드박스에서 실행되고 있는지, 특정한 분석 툴이나 AV 제품 등이 기계에서 사용 되고 있는지 체크할 수 있는 기능을 갖추고 있다. 만약 이 중 한가지라도 확인이 될 시, 멀웨어 실행을 바로 멈춘다. 아래 리스트는 이 소프트웨어가 체크하는 특정 툴과 제품들을 나열한 것이다.

분석 툴

  • Msconfig
  • Sandboxes
  • Regedit
  • Task Manager
  • Virtual Machines
  • Wireshark

보안 업체

  • 360
  • AVG
  • Bitdefender
  • Dr. Web
  • Kaspersky
  • Norton
  • Trend Micro

이 로더의 메인 payload는 코드를 다른 프로세스에 주입하는 방식이다. 이러한 경우에는 주입된 코드가 전체 케르베르 바이너리이며, 다음의 프로세스 중 어느 곳에서 주입될 수 있다.

  • C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe
  • C:\Windows\Microsoft.NET\Framework\v2.0.50727\regasm.exe
  • C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe
  • C:\Windows\SysWow64\WerFault.exe
  • C:\Windows\System32\WerFault.exe

드랍박스 URL 리스트는 드랍박스 보안팀에 제공되었으며, 더 이상 유효하지 않다. 또한 연결된 계정들은 모두 서비스에서 제외 되었다.

머신러닝과 회피

케르베르 방어는 이미 전 단계의 보안 솔루션에서 해결이 되었다. 지난 버전의 케르베르는 이미 특정 행동을 따라한 코드 주입 방식이 있었는데, 왜 별개의 로더가 필요했을까?

정답은 머신러닝 솔루션에 대한 보안 산업의 채택에서 찾을 수 있다. 보안 산업은 시그니처가 아닌 feature에 맞춰 미리 악성 파일을 탐지하는 장치를 만들었다. 케르베르를 이용한 새로운 패키지와 로딩 메커니즘은 고정된 머신러닝 방식에 문제를 일으킬 수 있다. (예: 실행이나 에뮬레이션 없이 파일을 분석하는 방법)

단순하고 직선적인 자체 복원 파일은 고정적 머신러닝 파일 감시에 문제를 일으킬 수 있다. 모든 자체 복원 파일은 내용에 상관없이 구조만 보면 비슷하게 생겼다. 몇몇 특징만 보여지는 압축되지 않은 바이너리들도 악성 파일처럼 보이지 않을 수 있다. 다른 말로, 케르베르가 포장된 방식은 머신러닝 파일 감지를 피하기 위해 디자인이 된 것이다. 새로를 멀웨어 감지 기술을 위해 동등한 회피 기술 또한 필요상 만들어 진다.

이러한 새로운 회피 기술은 다층 보호를 이용한 안티멀웨어 방식을 뚫을 수 없다. 케르베르는 다른 기술들에 약하다. 머신러닝에 지나치게 의존하지 않고 다양한 기술들을 쓰는 솔루션은 이러한 위협에서 고객들을 보호할 수 있다.

트렌드마이크로 솔루션

위협들은 언제가 최신 솔루션을 주위를 돌아다니므로, 유저들은 한가지 보안 방법에만 의지해서는 안된다. 게이트웨이, 엔드포인트, 네트웍과 서버까지 능동적이고, 다층방식의 보안이 더 효과적이다.

트렌드마이크로의 Smart Protection Suties 그리고 기업 보안을 위한 Worry-Free 비즈니스 시큐리티 서비스는 개인 유저들과 기업들을 악성 파일, 스팸메세지를 감지 할 뿐만 아니라 연관된 모든 악성 URL들을 막아준다. 또한 트렌드마이크로 Deep Discovery은 이메일 감시층이 있어 악성 첨부파일과 URL들을 감지한다.

트렌드마이크로 오피스스캔 XGen은 다른 감지 기술들을 접합한 하이파이 머신러닝과, 랜섬웨어와 진화하는 멀웨어에 대항하기하여 종합적인 보호를 갖춘 글로벌 위협 인텔리전스를 불어넣었다. 트렌드마이크로의 머신러닝은 이러한 타입의 회피 기술을 이용해 뛰어난 능력을 갖추었다.

Indicators of Compromise

SHA256 해쉬를 따라오는 파일들은 아래의 위협들과 관련되 있다.

  • 09ef4c6b8a297bf4cf161d4c12260ca58cc7b05eb4de6e728d55a4acd94606d4 (Detected as VBS_CERBER.DLCYG)
  • a61eb7c8d7a6bc9e3eb2b42e7038a0850c56e68f3fec0378b2738fe3632a7e4c (Detected as Ransom_CERBER.ENC)
  • e3e5d9f1bacc4f43af3fab28a905fa4559f98e4dadede376e199360d14b39153 (Detected as Ransom_CERBER.VSAGD)
  • f4dbbb2c4d83c2bbdf4faa4cf6b78780b01c2a2c59bc399e5b746567ce6367dd (Detected as TROJ_CERBER.AL)

원문: Cerber Starts Evading Machine Learning