몇몇 이미지에는 눈에 보이는 것보다 더 많은 것이 있습니다. 겉으로는 별 것 아닌 것 같지만 위협이 도사리고 있을지도 모릅니다.

사이버 보안 소프트웨어가 의심스러운 파일을 탐지하는 능력을 갖추게 되었고, 기업들은 추가 보호 레이어를 통해 보안을 강화할 필요성을 더욱 더 인식하게 되면서 사이버 범죄자는 탐지를 회피하기 위한 속임수가 필요하게 되었습니다.

본질적으로 모든 보안 소프트웨어는 대부분의 악성 파일을 탐지할 만큼 충분히 강력합니다. 따라서 위협 행위자는 탐지를 피하기 위해 지속적으로 다양한 방법을 찾고 있으며, 이런 기술 중에는 이미지 또는 사진에 숨겨진 악성 프로그램을 사용하는 것이 있습니다.

이미지에 숨어 있는 악성 코드

터무니없이 들릴 수도 있지만, 이는 매우 현실적입니다. 이것은 다양한 형식의 이미지 안에 배치되어 있는 악성 프로그램의 탐지를 피하기 위해 파일 내에 데이터를 숨기는 기술인 스테가노그래피(steganography)의 결과입니다. ESET은 이미지 파일에 악성 코드를 숨기고 실행할 페이로드를 추출하기 위해 특정 픽셀 정보만 가져오는 Worok 사이버 스파이 그룹이 이 기술을 사용하고 있음을 발견했습니다. 하지만 앞서 언급한 것처럼 이미지 내부에 악성 코드를 숨기는 것이 초기 액세스보다는 탐지를 피하는 것에 더 가깝기 때문에 이미 손상된 시스템에서 수행되었다는 점에 유의할 필요가 있습니다.

대부분의 경우 악성 이미지는 웹사이트에 공개되거나 문서 내부에 배치됩니다. 어떤 사람들은 광고 배너에 숨겨진 애드웨어를 기억할 지도 모릅니다. 단독으로는 이미지 내장된 코드를 실행 또는 추출할 수 없습니다. 악성 코드를 추출하고 실행하는 또 다른 악성 코드가 전달되어야 합니다. 여기서 필요한 사용자 상호 작용 수준은 다양하며 누군가가 악의적인 활동을 알아차릴 가능성은 이미지 자체보다 추출과 관련된 코드에 더 의존하는 것으로 보입니다.

최소(최대) 유효 비트

이미지에 악성 코드를 삽입하는 가장 교묘한 방법 중 하나는 모든 픽셀의 RGBA 값 중 가장 의미가 적은 비트를 작은 메시지 조각 하나로 대체하는 것입니다. 또 다른 기술은 이미지의 알파 채널에 무언가를 삽입하는 것으로 굉장히 미미한 부분만 사용합니다. 이러한 방식으로 이미지는 일반 이미지와 동일하게 보이기 때문에 육안으로는 감지하기 어렵습니다.

이에 대한 예로 합법적 광고 네트워크가 잠재적으로 손상된 서버에서 악성 배너를 전송하도록 유도하는 광고를 제공한 경우입니다. 대상에 대한 추가 정보를 얻기 위해 일부 Internet Explorer 버전의 CVE-2016-0162 취약점을 악용하여 배너에서 JavaScript 코드를 추출했습니다.

사진에서 추출된 악성 페이로드는 다양한 목적으로 사용될 수 있습니다. Explore 취약점 사례에서는 추출된 스크립트가 악성 코드 분석가의 컴퓨터와 같이 모니터링되는 컴퓨터에서 실행되고 있는지 확인했습니다. 그렇지 않은 경우 익스플로잇 킷 랜딩 페이지로 리디렉션되었습니다. 악용 후 최종 페이로드는 백도어, 뱅킹 트로이목마, 스파이웨어, 파일 스틸러 등과 같은 악성 코드를 전달하는 데 사용되었습니다.

보시는 것처럼 깨끗한 이미지와 악성 이미지의 차이는 크지 않습니다. 보통의 경우, 이미지가 약간 다르게 보이는 것이 화질과 해상도가 좋지 않기 때문일 수 있지만 현실은 오른쪽 사진에서의 어두운 픽셀은 악성 코드의 징후입니다.

당황할 필요가 없습니다.

그렇다면 우리가 흔히 SNS에서 보는 이미지에 악성 코드가 포함되어 있는 지 궁금할 것입니다. SNS 또는 인터넷에 올라가 있는 이미지는 보통 많이 압축되고 수정되어 위협 행위자가 완전히 보존되고 작동하는 코드를 숨기는 것은 매우 문제가 될 수 있습니다. 이는 인스타그램에 이미지를 업로드하기 전과 후를 비교하면 일반적으로 분명한 품질 차이가 있습니다.

가장 중요한 점은 RGB 픽셀을 숨기기 및 기타 스테가노그래픽 방법은 악성 코드를 추출하여 시스템에서 실행할 수 있는 프로그램이 숨겨진 데이터를 읽을 때문 위험을 초래할 수 있다는 것입니다. 이미지는 사이버 보안 소프트웨어의 탐지를 피하기 위해 C&C서버에서 다운로드한 악성 코드를 숨기는 데 사용되는 경우가 많습니다. 어떤 경우는 이메일에 첨부된 감염된 워드 문서를 통해 ZeroT 라는 트로이 목마가 피해자의 컴퓨터에 다운로드 되었습니다. 흥미로는 것은 PlugX RAT (일명 Korplus)의 변동도 다운로드했다는 것입니다. 즉, 스테가노 그래피를 사용하여 브리트니 스피어스 이미지에서 악성코드를 추출합니다.

즉, ZeroT와 같은 트로이 목마로부터 보호 받는다면 스테가노그래피 사용에 그다지 신경 쓸 필요가 없습니다.

마지막으로, 이미지에서 추출되는 모든 익스플로잇 코드는 성공적인 익스플로잇을 위해 존재하는 취약점에 따라 달라집니다. 시스템에 이미 패치된 경우 악용될 가능성이 없습니다. 따라서 사이버 보호, 앱 및 운영 체제를 항상 최신의 상태로 유지하는 것이 좋습니다. 완전히 패치된 소프트웨어를 실행하고 안정적이고 업데이트된 보안 솔루션을 사용하면 익스플로잇 킷에 의한 악용을 피할 수 있습니다.

항상 동일한 사이버 보안 규칙이 적용되며, 보안에 대한 인식은 보다 안전한 사이버 보안 생활을 향한 첫 단계입니다.