10억개 이상 게놈 DB 이용해 신·변종 악성코드 정확하게 구분“
[데이터넷] “해 아래 새로운 것은 없다”는 성경 구절은 악성코드 개발 환경에서도 통용된다. 소프트웨어 개발자들은 이전에 개발된 코드를 재사용하며, 악성코드 개발자들도 마찬가지다. 악성코드 개발자들이 세대교체를 이루고 전혀 다른 공격 그룹이 등장해 완전히 새로운 악성코드 패밀리를 개발했다 해도 중요한 코드 중 일부는 이전에 사용한 코드를 다시 사용할 수밖에 없다.
아리 이탄(Ari Eitan) 인터제르 연구 총괄 부사장은 “공격자들은 이전 공격에 사용한 악성코드를 재사용한다. 만일 완전히 새로운 악성코드를 개발했다 해도 이전에 사용한 코드가 일부 사용된다. 인터제르가 축적한 10억개 이상 게놈 데이터베이스(Code Genome Database)를 이용하면 어떤 신·변종 악성코드라도 , 파일없는 악성코드라도 정확하게 구분해 낼 수 있다”고 말했다.
아리 이탄 부사장은 최근 발견한 악성코드 사례를 소개하며 설명을 이어갔다. 인터제르 커뮤니티에 악성코드로 의심되는 악성파일이 업로드 됐는데, 이 중 138개의 코드가 중국을 기반으로 한 APT3 공격그룹이 사용한 이력이 있는 것으로 분석됐다. 전체 파일에서 138개의 코드는 극히 일부이지만, APT3 공격그룹이 제작한 공격도구일 가능성이 높았다.
인터제르는 워너크라이 랜섬웨어가 라자루스의 소행이라고 가장 처음 주장한 기업이다. 이들은 워너크라이 공격 코드를 분석한 결과 이전에 북한이 배후에 있을 것으로 의심되는 공격에서 발견된 것과 유사한 것이 많으며, 이것이 라자루스와 연관되어 있다고 주장했다. 이후 미국에서도 같은 주장을 펼치면서 인터제르 주장에 힘이 실렸다.
아리 이탄 부사장은 “시그니처 기반 분석 기술이나 샌드박스에서 찾아내지 못한 악성코드도 ‘인터제르 애널라이즈(Intezer Analyze)’로 찾아낼 수 있다. 또한 인터제르가 지원하지 않는 파일 형식이라면 정상 파일을 학습해 비정상 파일을 탐지해 낼 수 있다. 이를 지속적으로 DB에 축적하면서 탐지 정확도를 높일 수 있다”고 말했다.
인터제르는 소프트웨어 'DNA 매핑‘ 분석 기법인 ‘악성코드 유전자 분석(Genetic Malware Analysis)’을 기반으로 ▲코드 유사성(Code Similarity) ▲코드 재사용(Code Reuse) ▲스트링 재사용(String Reuse) 등을 검사해 파일의 유사성을 비교, 악성코드를 판별한다. 악성코드 유전자 분석 기술은 파일 또는 바이너리를 수천 개의 조각으로 분리한 후 다시 수십억 개의 코드 조각으로 나눠 비교한다.
이를 통해 분석 대상 파일을 빠르고 정확하게 분석하고 이해하며, APT 공격을 탐지할 수 있다. 프로세스 덤프 또는 시스템 메모리 덤프 등 메모리 덤프 파일을 분석하며, 리버스 엔지니어링에 소요되는 시간을 줄일 수 있다. 또한 API를 통해 기존 시스템과 쉽고 빠르게 연동할 수 있다.
인터제르 애널라이즈는 조직의 침해사고 대응(IR)과 실시간 사이버 보안 위협 탐지를 위해 API 연결을 이용하여 플러그 앤 플레이 형태로 간단하게 사용할 수 있다. 직관적이고 사용하기 쉬운 인터페이스를 기반으로 간단하게 설치하여 바로 사용할 수 있다. 이러한 인터제르 애널라이즈는 SaaS와 온프레미스 제품으로 구입할 수 있다.
