보안뉴스 - 진화하는 랜섬웨어…"머신러닝 보안툴에 안 잡혀"

머신러닝 기술로 위협을 탐지하는 보안 솔루션에도 탐지되지 않는 랜섬웨어가 등장했다. 다수 보안 업체들이 머신러닝 기술 도입을 신종 사이버위협에 대응할 해법으로 채택하는 추세라 귀추가 주목된다.

미국 지디넷은 28일(현지시간) "랜섬웨어가 더 효과적으로 침입하며 더 탐지되기 어려운 방식의 신기술로 진화하고 있다"며 “위협 식별에 머신러닝을 사용하는 사이버보안 툴의 탐지를 회피하는 능력을 갖췄다” 보도했다.

보도에 제시된 사례는 유명 랜섬웨어 패밀리 '케르베르(Cerber)'였다. 사이버보안솔루션업체 트렌드마이크로가 최근 식별한 신종 케르베르 랜섬웨어 변종 악성코드 얘기다. 케르베르 변종은 어떻게 최신 보안툴의 머신러닝 기반 탐지를 우회했을까

트렌드마이크로 설명에 따르면 케르베르 변종은 기존 대다수 랜섬웨어와 마찬가지로 악성 이메일을 통해 유포된다. 그런데 첨부파일 형태로 사용자의 다운로드를 유도하는 게 아니다. 수신자에게 악성 링크를 누르도록 유도하는 ‘피싱(Phishing)’ 형태다.

메일에 포함된 악성 링크는 공격자가 만든 드롭박스 파일 저장소의 인터넷 주소다. 이걸 누르면 사용자 컴퓨터에 악성 파일이 다운로드된 뒤 스스로 압축을 해제하고 해당 시스템을 케르베르 악성코드로 감염시킨다는 설명이다.

원래 피싱 이메일 링크나 자동 다운로드되는 파일 형태의 악성코드도 기존 보안솔루션 또는 주류 브라우저 개발사가 지원하는 보안 서비스를 통해 탐지될 수 있다.

그런데 이 신종 케르베르 랜섬웨어는 자신이 다운로드되는 환경이 가상머신, 샌드박스, 또는 기기의 특정 제품인지를 확인하는 것으로 드러났다. 그리고 그런 환경에 다운로드된 것으로 확인되면, 동작을 멈춘다. 보안툴에 분석당하지 않게 회피하도록 설계됐다는 뜻이다.

`출처 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170329094307&type=det&re=