정보보호

멀웨어 개발자들, 비주류 프로그래밍 언어에 눈 뜨다

페이지 정보

작성자 cfpa 댓글 0건 조회 2,276회 작성일 21-08-01 20:11

본문

출처 : 보안뉴스


https://www.boannews.com/media/view.asp?idx=99388


멀웨어 개발자들도 C와 C++ 등의 주류 언어들을 선호한다. 하지만 이 언어들은 너무 잘 알려져 있어 탐지에 잘 걸린다. 그래서 공격자들은 새롭게 공부를 해 비주류 언어들을 익히고 있다. 고, 러스트, 님, 디랭 등으로 만들어진 멀웨어가 최근 늘어났다고 한다.

[보안뉴스 문가용 기자] 멀웨어 개발자들 사이에서 비인기 프로그래밍 언어의 인기가 높아지고 있다. 고(Go), 러스트(Rust), 님(Nim), 디랭(DLang)이 대표적이다. 비인기 언어를 사용함으로써 멀웨어 및 바이러스 탐지 엔진을 우회하거나 개발 과정에서의 취약한 부분을 보완할 수 있기 때문이라고 한다. 이러한 내용을 보안 업체 블랙베리(BlackBerry)가 발표했다.
 

979227601_8912.jpg

[이미지 = utoimage]


블랙베리에 의하면 위 네 가지 언어들로 만들어진 멀웨어가 빠르게 증가하는 중이라고 한다. 물론 ‘생소한 언어’로 만들어진 멀웨어가 최근 들어 처음 나온 건 아니다. 블랙베리가 집중한 건 그런 현상이 확연하게 빈번해지고 있다는 점이다. 새 언어를 사용했을 때 멀웨어 개발자들은 1) 더 간략한 신택스를 활용하고, 2) 보다 효율적으로 메모리를 관리할 수 있게 되며, 3) 멀웨어의 성능 자체가 좋아진다는 장점이 있다고 블랙베리는 지적한다. “물론 만들기 나름이긴 하지만 환경에 따라 새 언어의 효율이 높아지는 경우가 있습니다.”

이러한 비주류 언어들의 인기가 높아진다는 건 보안 비상등이 켜진다는 것과 다름이 없다. 일단 멀웨어 탐지기들은 ‘모든 프로그래밍 언어들’을 탐지하지 않는다. 고, 러스트, 님, 디랭으로 작성된 바이너리는 잘 알려진 C나 C++로 만들어진 것들보다 훨씬 더 복잡하게 보일 수 있다. 따라서 분석 엔진들이 제 기능을 발휘 못할 때가 많다. 분석가들도 이 점에 있어서는 마찬가지의 한계를 보이며, 새로운 언어를 익히기 위해 공부를 새롭게 해야 한다.

이 점을 공격자들도 파악한 듯하다. 그래서 최근 C++ 등으로 만들어진 예전 멀웨어를 새로운 언어로 다시 작성하는 경우가 늘어나고 있다. 이 경우 멀웨어를 완전히 백지에서부터 개발하는 것이 아니기 때문에 작업 난이도도 낮다고 한다. 심지어 새 언어로 드로퍼 멀웨어만 작성하고 예전 페이로드를 그 드로퍼를 통해 피해자의 디스크나 메모리에 심어도, 새 언어로 페이로드를 만든 것과 비슷한 효과를 누릴 수 있다고 한다.

만약 공격자들이 드로퍼만 새 언어로 작성하고 본 페이로드는 예전 것을 그대로 차용할 경우 시그니처 기반의 멀웨어 탐지 솔루션이 잡아낼 수 있다. 하지만 페이로드마저 새 언어로 새롭게 작성할 경우 시그니처 기반 탐지 솔루션을 피해갈 가능성이 높아진다. 공격자마다 개발 난이도와 탐지 확률을 저울질함으로써 두 가지 방법 중 하나를 선택하고 있으며, 아직 어느 한 쪽이 뚜렷하게 선호되는 패턴은 나타나지 않고 있는 것으로 보인다.

블랙베리는 네 가지 ‘생소한’ 프로그래밍 언어들 중 ‘고’가 가장 인기가 높다고 말한다. 그리고 ‘분석 엔진의 탐지를 우회할 확률이 높다’는 것 외에 각 언어가 가진 특장점이 존재한다고도 지적한다.

예를 들어 고의 경우 C와 유사하되 신택스가 훨씬 간단하다. 또한 모든 주요 OS에 맞는 ‘교차 컴파일링’도 가능하다. 반면 님의 장점은 C나 C++, 자바스크립트와 같은 여러 언어로 컴파일링 된다는 큰 장점을 가지고 있다. 디랭은 ‘교차 컴파일링’과 ‘C와 유사하지만 더 강력한 신택스’라는 특징을 가지고 있는데, 배우기가 가장 쉽다고 한다. 러스트는 아직 두드러지는 언어는 아니지만 러스트로 만들어진 소프트웨어는 기능이 강력하다고 한다.

공격자들이 ‘새로운 언어’ 쪽으로 진화하자 보안 업계도 비슷한 움직임을 보이기 시작했다. 최근 레드 팀 전문가들을 위한 도구들이 비주류 언어들로 작성되는 경우가 늘어난 것이다. 이런 도구들 중 상당 수가 오픈소스로 공개되어 있기 때문에 레드 팀에 관심이 있는 보안 전문가라면 확인해 볼 것을 블랙베리는 권장한다.

“비주류 언어들로 만들어진 멀웨어는, 주류 언어들로 만들어진 멀웨어들보다 탐지가 덜 되는 것이 사실입니다. 아직 비주류 언어를 기반으로 하고 있는 멀웨어가 위험할 정도로 많은 수준은 아닙니다만, 이런 멀웨어들이 치고 올라오기 시작했다는 걸 보안 업계가 이야기 해야 할 시점이 아닌가 합니다.” 블랙베리 연구원들의 설명이다.