CloudEyE 멀웨어는 어떻게 작동하나요?
CloudEyE는 주로 침투 방식 때문에 효과적입니다. 이 형태의 멀웨어는 개발자가 Windows 설치 프로그램을 만드는 데 일반적으로 사용하는 오픈 소스 패커인 Nullsoft 스크립트 가능 설치 시스템(NSIS) 패커를 사용합니다. 멀웨어가 NSIS와 함께 패키징되어 있기 때문에 바이러스 백신 소프트웨어가 시스템에 침투하기 전에 CloudEyE를 검사하고 탐지하기가 훨씬 더 어려워집니다.
CloudEyE는 NSIS 패커를 사용하여 페이로드를 압축한 다음 멀웨어를 추가로 암호화하여 추가적인 난독화 계층을 제공합니다. 누군가 컴퓨터나 디바이스에 파일을 다운로드하면 GuLoader가 실행되어 멀웨어를 해독하고 압축을 푼 다음 시스템에서 실행하여 디바이스를 손상시킵니다.
디바이스에 침입한 CloudEyE는 디바이스를 인질로 삼는 랜섬웨어나 위협 행위자가 디바이스에 직접 액세스할 수 있는 기타 멀웨어 등 시스템을 추가로 손상시키는 여러 추가 프로그램에 대한 액세스를 제공할 수 있습니다.
CloudEyE가 탐지를 피할 수 있는 또 다른 이유는 가상화 기술 및 샌드박스를 검사하는 세 가지 방법을 사용하기 때문입니다:
- VM 도구 스캔: VM 도구는 개발자가 멀웨어 분석을 위한 안전한 환경을 만드는 데 도움이 됩니다. CloudEyE가 VM 도구를 검색하여 VirtualBox, VMware 또는 Flare VM과 같은 도구의 흔적이 발견되면 실행에 실패합니다.
- 샌드박스 검사: 샌드박스는 사이버 보안 전문가가 멀웨어를 격리한 다음 검사하는 데 사용하는 가상화된 환경입니다. CloudEyE는 샌드박스를 검색하고 샌드박스가 발견되면 실행을 방지합니다.
- 디버거 스캔: 마지막으로 CloudEyE는 시스템의 모든 디버거(예: x64dbg, WinDbg, OllyDbg)를 스캔합니다. 디버거 시스템이 감지되면 GuLoader는 실행되지 않습니다.
이러한 스캐닝 시스템으로는 CloudEyE를 탐지하기가 매우 어렵기 때문에 사이버 보안 연구자들이 효과적인 방어 전략을 개발하기 위해 멀웨어를 식별, 격리 및 연구하는 것이 거의 불가능합니다.
발생할 수 있는 잠재적 피해
개인이 인터넷에서 파일의 진위 여부를 확인하지 않고 파일을 다운로드하면 CloudEyE와 같은 멀웨어를 다운로드할 수 있습니다. 예를 들어, 피싱 이메일에서 정상적인 PDF 파일처럼 보이는 것을 다운로드할 수 있습니다. 실제로 이 파일은 실제로 CloudEyE 멀웨어가 포함된 가짜 파일일 수 있습니다.
GuLoader를 시스템에 다운로드한 후에는 다음과 같은 문제가 발생할 수 있습니다:
- 데이터 유출: CloudEyE는 디바이스에서 개인 데이터 또는 민감한 데이터를 기록하는 도둑을 다운로드할 수 있습니다. 해커는 이렇게 유출된 데이터를 판매하거나 다른 디바이스에 액세스하는 데 사용할 수 있습니다.
- 진입 지점 생성: CloudEyE 멀웨어는 해커가 시스템에 추가로 침입할 수 있는 기회를 만들 수 있습니다. 다른 악성 프로그램 및 활동에 대한 문을 열어줄 수 있습니다.
- 중단: CloudEyE의 주요 목적은 아니지만 해커는 이를 사용하여 운영 체제를 비활성화하거나 디바이스를 충돌시키거나 디바이스가 제대로 작동하지 못하게 할 수도 있습니다. 이러한 형태의 공격은 비즈니스 효율성을 떨어뜨리고 직원들을 좌절시킬 수 있습니다.
- 리소스 도용: 효과적인 사이버 보안 모니터링 도구가 없으면 기업은 CloudEyE 멀웨어 공격의 IOC를 알아채지 못할 수 있습니다. 이는 해커가 시스템에 대한 액세스 권한을 확장하여 리소스를 빼내거나 다른 불법적인 목적으로 사용할 수 있음을 의미할 수 있습니다.
CloudEyE는 탐지하기가 매우 어렵기 때문에, 그 존재를 모니터링하지 않는 시스템은 오랜 기간 동안 손상된 상태로 남아있을 가능성이 높습니다. 이는 사이버 보안 팀이 문제를 해결하기 전에 위의 모든 영향이 한 가지가 아니라 모두 발생한다는 것을 의미할 수 있습니다.
CloudEyE 멀웨어를 완화하기 위한 4가지 모범 사례
다음은 CloudEyE 멀웨어와 이로 인한 피해를 방지하는 데 도움이 될 수 있는 몇 가지 모범 사례입니다:
#1. VBScript 로더 식별
CloudEyE가 시스템에 존재한다는 가장 빠른 징후는 VBScript 로더가 활성화되어 악성 페이로드를 시스템에 로드하는 프로세스가 시작되는 것입니다. VBScript 로더를 식별하고 트랙에서 중지하면 시스템에서 GuLoader가 실행되는 것을 방지할 수 있습니다.
#2번: 자동화된 침해 검사기 사용
멀웨어를 처리할 때 가장 중요한 단계 중 하나는 가능한 한 빨리 멀웨어를 탐지하는 것입니다.
조기에 발견하면 팀이 효과적인 대응에 필요한 시간을 확보할 수 있습니다. 모든 침해 지표의 추출을 자동화함으로써 CloudEyE의 존재를 최대한 빨리 식별할 수 있습니다.
#3: 교육 제공
멀웨어가 시스템에 침입하는 것을 방지하는 가장 쉬운 방법은 직원들이 애초에 악성 파일을 다운로드하지 않도록 하는 것입니다. 파일을 검사하는 방법과 다운로드 전에 모든 파일에 대해 멀웨어 검사를 실행하는 것의 중요성에 대한 교육을 제공하면 비즈니스에서 발생하는 이벤트의 수를 줄이는 데 도움이 됩니다.
#4: 엔드포인트 보안 활용
엔드포인트 보안은 비즈니스가 접촉하는 모든 파일을 검사하여 시스템에 보안 계층을 추가합니다. 악성 소프트웨어의 힌트나 흔적이 있는 경우 엔드포인트 보안 솔루션은 이러한 파일이 다운로드되는 것을 차단하고 침입을 방지합니다.
Checkpoint로 멀웨어 방지
CloudEyE(GuLoader) 멀웨어는 컴퓨터 시스템을 손상시키고 감염된 디바이스에 계속 존재할 수 있는 심각한 위협입니다. 손상된 디바이스에 다른 멀웨어를 다운로드할 수 있기 때문에 작은 보안 침해가 회사 전체의 사이버 보안 문제로 확대될 수 있습니다.
체크 포인트 Harmony 는 CloudEyE와 같은 악성 파일을 식별하고 시스템에 유입되는 것을 방지할 수 있는 다중 계층 엔드포인트 보안 솔루션입니다.
동적 솔루션인 Harmony Endpoint 은 기업 환경에서 위협 탐지 및 예방을 자동화할 수 있습니다. Harmony Endpoint 무료 데모를 예약하여 비즈니스를 안전하게 보호하는 방법에 대해 자세히 알아보세요.
피드백