EDR을 활용한 프로세스 할로잉(Hollowing) 악성코드 추적

AhnLab Security Emergency response Center(ASEC)은 아랫글과 같이, 닷넷 패커의 종류 및 유포 동향 보고서를 공개하였다. 보고서를 통해 알 수 있듯이, 닷넷 패커는 대부분 패커를 통해 감추고 있는 실제 악성 EXE를 로컬에 생성하지 않고, 정상 프로세스에 악성코드를 주입하여 동작시킨다. 

최신 닷넷 패커의 종류 및 국내 유포 동향

닷넷 패커는 Remcos, FormBook, ScrubCypt, AsyncRAT 등 여러 악성코드를 유포하는데 최초 유포 파일 또는 중간 단계의 로더 역할로 악용되고 있다. 닷넷 패커에 감춰진 악성 파일이 C2 명령에 따라 제어되는 백도어 유형에 경우 탐지에 어려움이 있을 수 있다. 이는 백도어가 명령받지 않은 휴면상태 일 경우 C2 통신 외 별다른 행위가 없을 수 있기 때문이다.

안랩 EDR 제품에서는 닷넷 패커가 사용된 악성코드가 프로세스 할로잉을 수행하는 행위 기록이 남아있어, 이로 침해를 인지하고, 추적하여 C2를 확보하는 등 추가적인 피해를 발생하지 않도록 하는 데 큰 도움이 된다. 아래 그림은 프로세스 할로잉을 수행하는 닷넷패커를 탐지한 모습이다.

[그림 1] 은 Remcos 악성코드를 유포하는 닷넷 패커(Malware_exe.exe) 악성코드의 EDR 탐지된 다이어그램 화면이다. 해당 닷넷 패커(Malware_exe.exe)는 내부에 Remcos 악성코드를 정상 프로세스(AddinProcess32.exe)에 할로잉 기법을 수행하며 이는 [그림 2]를 통해 할로잉 주체 및 대상에 대해 확인 가능하다. 할로잉을 통해 Remcos 악성코드는 사용자 환경에 파일로 생성되지 않고 AddinProcess32.exe 에서 동작한다. 정상 프로세스(AddinProcess32.exe) 에서 동작하는 Remcos 악성코드는 [그림 3] 과 같이 C2 통신만 수행한다. 이처럼 C2 를 통해 백도어가 명령을 받지 않은 휴면상태 일 경우 C2 통신 외 별다른 행위가 없지만 할로잉 행위를 통해 침해 인지가 가능하다. 

[그림 1] EDR 탐지 다이어그램

[그림 2] EDR 탐지 다이어그램 (프로세스 할로잉)

[그림 3] EDR 탐지 다이어그램 (C2 통신)

 

안랩 EDR 탐지 시점의 타임라인에서도 할로잉 및 C2 통신에 관한 내용을 확인 가능하다. [그림 4]와 같이 할로잉을 수행하는 닷넷패커 악성코드의 할로잉 수행 주체 및 할로잉 수행 대상 프로세스에 대한 내용들을  확인이 가능하며, [그림 5]와 같이 할로잉된 정상 프로세스(AddinProcess32.exe) 에서 동작하는 Remcos 악성코드의 C2 통신도 확인할 수 있다.

 

[그림 4] EDR 탐지 타임라인 (프로세스 할로잉)

 

[그림 5] EDR 탐지 타임라인 (C2 통신)

 

안랩 V3, EDR 제품에서는 프로세스 할로잉 기법을 사용하는 닷넷 패커 위협에 대해 아래 진단명으로 탐지하고 있다.

[파일 진단]
Trojan/Win.Fileless(2023.05.11.01)

[행위 진단]
Injection/EDR.Hollowing.M11084

 

행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.

Categories:안랩 탐지

5 1 vote
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments