해커들이 보안 필터를 피하기 위해 희귀 프로그래밍 언어를 사용하고 있다고 테크레이더, 민트 등 외신이 전했다.
사이버 보안 연구원들에 따르면, 탐지를 피하기 위해 거의 눈에 띄지 않는 프로그래밍 언어를 사용하는 멀웨어 개발자가 늘고 있다. 블랙베리 리서치 앤 인텔리전스 팀은 "Old Dogs New Tricks"라는 제목의 보고서를 통해 위협 행위자들이 고(Go), 러스트(Lust), 님(Nim), 디랭(DLang) 등 4개 언어를 사용하는 경우가 증가하고 있다고 분석했다.
해커가 희귀 프로그래밍 언어를 사용하는 것은 놀랄 일이 아니다. 해커는 악성코드가 배포되기 전에 보안 조치를 우회하는 것을 목표하기 때문이다. 고, 러스트, 님, 디랭과 같은 언어는 전문 개발자가 적을뿐만 아니라 새로운 언어에 대한 자체 보안 고려 사항이 추가돼 악성 프로그램을 크래킹하기 어렵워 멀웨어 개발에 사용되고 있다.
연구진은 흔하지 않은 프로그래밍 언어를 사용하면 개발자들이 언어 자체를 난독화 계층으로 사용하는 데 도움이 되며, 기존의 보안 조치를 우회할 뿐만 아니라 분석 작업에도 방해가 된다고 보고 있다.
연구진은 BazarLoader가 님에서 다시 작성되는 예시를 들며 악성 프로그램이 새로운 언어로 작성될 경우 이전 반복을 식별하도록 조정된 서명 기반 탐지를 피할 가능성이 더 크다고 주장했다.
연구진은 "래퍼(wrapper)와 로더(loader)가 비용 효율적이긴 하지만, 일부 잘 자원된(well-reaourced) 위협 행위자들은 희귀 프로그래밍 언어를 사용해 기존의 악성코드를 다시 쓰기 시작했다"고 지적했다.
또 "새로운 언어에는 설계별 메모리 안전 프로그래밍과 같은 기능을 제공하는 보안 고려 사항이 더 높은 경우가 많다. 이를 통해 개발자가 간과하기 쉬운 메모리 관련 버그와 취약점을 야기할 수 있는 보안 허점을 도입하지 않도록 보호할 수 있다."고 설명했다.
보고서에 따르면 새로운 언어들은 기존 프로그래밍 언어들의 결손을 기반으로 만들어진다. 그리고 사이버 범죄자들은 새로운 환경에 맞게 언어를 선택할 수 있다. 보고서는 기업이 새로운 언어를 사용하는 것은 기업이 "기술 최첨단"에 있다는 것을 보여주며, 이러한 조직들이 사이버 범죄자들에게 더 많은 유인 대상을 만드는 것을 보여준다고 밝혔다.
연구진은 같은 악의적인 기술을 작성해 프로그램을 만들 때 새로운 언어로 작성된 경우, 성숙한 언어로 작성된 프로그램과 동일 속도로 탐지되지 않는다고 결론 내렸다.
한편 자체 보안 회사인 세이프 시큐리티의 공동 설립자 라훌 티아기(Rahul Tyagi)는 역사적으로 이러한 언어로 많은 양의 악성 프로그램이 생성되었다고 말했다. 이러한 언어는 "표준 프로그래밍 언어보다 복잡하고 혼란스러우며 해석하기 어려운" 서명을 생성한다는 설명이다.
그는 "이러한 언어는 리버스 엔지니어링 시도를 방해하고, 서명 기반 탐지 기술을 회피하며, 대상 플랫폼 간의 상호 호환성을 강화해 추적이 더욱 어려워질 수 있다"고 덧붙였다.
티아기에 의하면 ElectroRAT, EKANS, Zebrocy, DSell, Vovalex, Outcrypt, Nimzaloader와 같은 악성 프로그램이 고, 러스트, 디랭과 같은 언어를 사용해 작성되었다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
