국내 개발 업체의 정상 설치 파일을 위장한 악성코드 – EDR 탐지

AhnLab Security Emergency response Center(ASEC)은 국내 개발 업체의 설치 파일에서 생성되는 악성코드에 대해 소개했었다.

국내 프로그램 개발 업체를 통해 유포 중인 Sliver C2

설치 파일과 함께 악성코드가 유포될 경우 사용자는 악성코드가 같이 실행된 것을 인지하기 어려우며, 정상 프로그램에 인젝션되어 Fileless로 동작하는 특성으로 시그니처 기반의 AV(Anti-Virus) 제품은 이러한 악성코드를 탐지하기 어렵다.

하지만, 엔드포인트에서 발생하는 의심스러운 행위를 모두 기록하고 보고하는 EDR(Endpoint Detection & Response)은 이러한 악성코드의 방어 회피 기법 진화에 발 맞춰 아래와 같이 의심스러운 행위를 탐지하여 보안담당자가 인지할 수 있다.

공격자는 정상프로그램인 메모장(notepad.exe)에 인젝션을 수행하여 추가 악성코드 다운로드 및 정상 프로세스인 Powersehll.exe를 이용하여 악성 행위를 한다.

위와 같이 악성코드 제작자는 사용자가 인지하기 어렵게 정상 설치를 진행하면서 시그니처 탐지를 우회하기 위해 변종을 제작하거나, 정상프로세스를 이용한 Fileless로 감염을 진행한다. 하지만, EDR은 위와 같은 의심스러운 행위 자체를 탐지하여 위협에 대한 흐름을 사용자에게 가시성 있게 제공하고 있다.

AhnLab EDR의 행위 기반 탐지 및 대응 기능에 대해 더 알고 싶으시면, 아래 배너를 클릭하여 확인해 보세요.