The Latest Threat: A Virus Made Just for You'
http://www.technologyreview.com/news/428557/the-latest-threat-a-virus-made-just-for-you/
멀웨어의 제작자들은 안티바이러스 제품을 만드는 회사들이 멀웨어를 자동으로 분석하는 것을 더욱 어렵게 만드는 방법을 찾아냈다.
플래쉬백 바이러스는 올초, 지금까지 상대적으로 침범되지 않았던 애플의 운영체제인 OS X 60만대를 감염시킨 첫 번째 악명을 얻기 시작했다.
그러나 보안 전문가 및 컴퓨터 관려 분야 연구자들은 멀웨어의 또다른 면에 대해 더욱 거정한다. 플래쉬백의 제작자들은 할리웃에서 영화나 음악 파일들이 복사되지 않도록 방지하는데 사용하는 기술을 사용하였다. 이는 보안 회사들이 그들의 연구실에서 해당 바이러스를 연구하는 것을 방지한다.
새로운 연구는 이러한 기술의 발전이 멀웨어 자동 분석이 거의 불가능하도록 만들었음을 보여준다. 죠지아텍의 information security center의 연구원 Paul Royal, 이번주 라스베가스에서 열리는 Black Hat conference에서 이러한 작업을 공개할 계획이다.
죠지아텍의 Royal과 그의 동료들은 host identity-based 암호화라고 불리는 복제 방지 방식을 통해 피해자의 시스템에서 정보를 훔치는 멀웨어 프로그램의 중요한 부분을 키 기반으로 암호화 할 수 있음을 보인다. 그렇게 함으로써 다른 시스템에서 이런 멀웨어에 대한 분석 샘플을 얻는 것을 더욱 어렵게 만드는 것이다.
사람들의 컴퓨터를 감염시키기 위해 범죄자들이 사용하는 악성 소프트웨어를 분석하는 것은 시간이 오래 걸리는 작업이나, 필요한 작업이다. 안티바이러스 소프트웨어의 제작자들은 주기적으로 멀웨어의 샘플을 수집하고 이를 자동으로 분석하여 이들에 대한 특성-signature라고 불리는-들을 모은다.
가끔 개인적인 분석가들이 멀웨어 제작자들의 제약을 극복할 수 있기도 하다-마치 영화 복제 방지가 불법 복제 방지 회사들의 대용량 파일 자동 처리에 의해 공격자들이 피해를 입히는 것을 회피하는 것처럼-
"안티바이러스 모델을 위해서는, 굉장히 많은 양의 멀웨어들을 수집하고 또 분석가들에 의해 실제로 분석하는 작업을 해야하는데 이는 굉장히 복잡하다" Royal은 말한다.
안티바이러스 소프트웨어는 멀웨어로부터 수집한 signature에 의존하기 때문에, 온라인 범죄자들은 주기적으로 분석을 더욱 어렵게 만드는 것을 시도한다. 예를 들어 지난 10년동안, 공격자들은 polymorphism-프로그램을 시간마다, 또는 다른 머신에 복사될 때마다 다르게 만드는-기술으 사용하여 식별되는 것을 더욱 어렵게 했다. 이러한 트렌드는 최근 들어 더욱 가속화되고 있다( The Antivirus Era Is Over http://www.technologyreview.com/news/428166/the-antivirus-era-is-over/를 보자)
시만텍의 천 9백만에 달하는 멀웨어 signature가 데이터베이스로 보관되어 있다. 이는 매년초, Inter Security Threat Report로 배포되며 시만텍은 4억 3백만개의 고유 악성 프로그램의 변형에 대한 자동 번역을 2011년에 시작했다. 이는 2010년의 2억8천6백만의 분석에 비해 증가한 것이다. 자동 분석없이,이러한 작업은 훨씬 어려울 것이다.
"만약 멀웨어의 사용자들이 특정 머신에 엮어서 멀웨어를 작동하는 수준에 도달한다면, 우리의 삶은 보다 복잡해질 것입니다." Kaspersky의 선임 연구원 Roel Schouwenberg은 말한다. Kaspersky는 2011년 10억개 이상의 샘플을 자동화 시스템을 통해 처리해냈다.
만약 플래쉬백이 미래에 대한 일종의 조짐이라면, 자동화는 악성 파일의 쏟아지는 공세를 분석을 통해 막아낼 수 없을 것이며 안티바이러스 회사들은 그들의 비용이 치솟는 것을 볼 수 있을 것이다.
"우리는 하루에 10만개 정도의 샘플을 분석할 수 있습니다". 멀웨어 분석 서비스 회사 ThreatGRID의 CTO인 Bean De Beer은 말한다". "지금 그들이 커브볼을, 그러니까 우리를 기만하기 위한 행동을 하면, 우리는 뒤에 앉아서 '우리가 샘플을 모을 수 있기 위해서 필요한게 뭐지?'하고 말할 수밖에 없습니다."
안티바이러스 회사는 피해자의 시스템에서 등장하는 멀웨어를 가상 머신에서 생성하기 위한 시도를 하고 있다. 그러나 사용자들의 프라이버시에 대한 우려가 커질 수 있다. 분석을 더욱 어렵게 만드는 것은, 멀웨어의 제작자들이 컴퓨터 네트워크에 대한 정보로부터 키를 생성하는 것을 이용하여 command-and control 서버에서 명령을 interpret할 수 있는 기능을 생성할 수 있다는 것이다. 명령어 집합의 localization으로 알려진 기술은 샌프란시스코에 있는 머신을 사용하여 보스턴에 있는 머신에 알아볼 수 없게 명령을 내릴 수 있다.
안티바이러스 회사들은 Royal이 어떻게 그들의 멀웨어를 감연됨 머신으로부터 격리하는 기술을 향상시킬 수 있는지에 대한 높은 수준의 이야기를 계속 해주길 바란다. "플래쉬백은 타격이 큽니다." Schouwenberg는 말한다. "만약 이 이야기가 어떻게 손쉽게 공격자들을 막아낼 수 있는가에 대한 것이라면, 나는 이에 대해 별다른 기대를 안 할 겁니다"
Royal은 프리젠테이션 서버가 공격을 방어하는 사람들이 이 문제를 빠르게 해결하는데 필요한 경고가 되길 바란다." 이 프리젠테이션은 멀웨어 분석 툴이 필요없다는 이유에 대한 것이 아닙니다." 그는 말한다. "이는 일종의 경고에요. 우리는 준비가 필요합니다."
---------------------------------------------------------------------------
음 기사 제목 보곤 개인 차원의 특화된 멀웨어에 대한 것인줄 아닌데 아니었네(...)
멀지 않은 미래엔 개인에 대한 특화된 프라이버시 및 시큐리티 공격이 이루어질 것이라고 생각하고 이에 대한 대비책이 필요하게 되지 않을까.