영상 픽셀 속 악성코드, '픽셀코드(PixelCode)' 공격기법
영상 픽셀 속 악성코드, '픽셀코드(PixelCode)' 공격기법
최근 멀티미디어 파일의 픽셀(Pixel) 데이터를 악성 페이로드 저장소로 활용하는 이른바 ‘픽셀코드(PixelCode)’ 공격 기법이 등장하여 주의가 필요합니다. 이는 스테가노그래피(Steganography) 기술을
blog.alyac.co.kr
픽셀코드(PixelCode) 공격이란 바이너리 데이터를 사람이 인식하는 색상정보인 픽셀로 변환하여 이미지나 영상 속에 삽입하여 악성 페이로드 저장소로 활용하는 기법으로, 외형상 일반 미디어 파일과 구분이 어려운 것이 특징이다.
공격자는 신뢰 기반의 플랫폼과 파일리스(Fileless) 실행 기법을 결합하여 다음과 같은 다단계 프로세스를 수행한다.
- 여기서 파일리스(Fileless) 실행 기법이란 악성코드가 하드디스크에 파일을 생성하지 않고 메모리에서만 실행되는 기법으로 기존 시그니처 기반 탐지를 우회하며, 64%의 성공률을 보이는 고도화된 위협.. MSHTA 기반 파일리스 악성코드나 WSH 기반 악성코드
[Payload Preparation 단계]
C++ 기반 악성 EXE를 픽셀 단위 데이터로 인코딩해 정상적 MP4 영상 파일로 생성
[Staging & Hosting 단계]
유튜브 등 합법적인 플랫폼에 영상을 업로드하여 네트워크 보안 장비의 탐지를 우회하고, 영상에서 데이터를 추출할 '스테이저'를 포함한 최종 배포용 '로더(Loader)'를 제작
[Infection & Execution 단계]
감염된 PC에서 로더가 영상을 다운로드 후, 메모리 상에서 픽셀을 바이너리로 복원하여 실행(C2 서버 연결)
주요 위협 요인 및 분석 회피 기술
- 비실행 포맷(Non-executable) 활용: 픽셀값에 분산된 데이터는 명확한 코드 구조나 시그니처가 존재하지 않아 정적 분석 단계에서의 식별이 어려움
- 정상 트래픽 위장: 대형 스트리밍 도메인(유튜브 등)과의 통신은 기본적으로 허용되어 있는 경우가 많아 트래픽 분석을 우회함
- 파일리스(Fileless) 및 프로세스 인젝션: 디스크를 쓰지 않고 메모리 상에서 직접 동작하여 흔적을 최소화하며, 정상 프로세스에 인젝션되어 동작될 경우 보안 솔루션이 정상 행위로 오인 가능함
'swuforce 심화팀 > 기술스터디' 카테고리의 다른 글
| [ESTsecurity] 국세청 세무조사 사칭 피싱 메일을 통해 유포중인 백도어 악성코드 (0) | 2026.03.31 |
|---|---|
| [Ahnlab] 카카오톡 설치하려다 감염? 검색 노린 악성코드 주의 (0) | 2026.03.23 |
| [genians] 포세이돈 작전: 구글 광고 리다이렉션 메커니즘을 악용한 스피어 피싱 공격 (0) | 2026.01.27 |
| [IGLOO] "2026년도 사이버보안 실태 평가지표" 주요 개정내용으로 본 공공 보안 정책의 변화 (0) | 2026.01.13 |
| [ASEC] VPN 홈페이지에서 유포 중인 NKNShell 악성코드 (0) | 2025.11.18 |