AhnLab EDR을 활용한 방어 회피 기법 탐지

일반적으로 기관이나 기업과 같은 조직에서는 보안 위협을 막기 위해 다양한 보안 제품들을 사용하고 있다. 엔드포인트를 기준으로 하더라도 AntiVirus뿐만 아니라 방화벽, APT 방어 솔루션 그리고 EDR과 같은 제품들이 존재한다. 보안을 담당하는 조직이 따로 존재하는 환경이 아닌 일반 사용자 환경에서도 대부분 기본적인 보안 제품이 설치되어 있는 경우가 많다. 예를 들어 최신 윈도우 운영체제 환경에서는 사용자가 추가적으로 설치하지 않더라도 이미 Microsoft Defender와 같은 AntiVirus가 설치되어 있는 환경이 대부분이다.

이에 따라 공격자들은 최초 침투 이후 설치되어 있는 보안 제품을 비활성화하려고 시도하는 경향이 많다. 이는 APT 공격자뿐만 아니라 부적절하게 관리되고 있는 시스템을 대상으로 하는 공격들, 예를 들어 RDP 서비스 및 DB 서버를 대상으로 공격하는 랜섬웨어 공격자들도 동일하다.

물론 공격자 입장에서 가장 단순한 방식은 설치된 보안 제품을 제거하는 것이지만 제거 과정에서 비밀번호를 요구하거나 삭제가 불가능하도록 관리되고 있는 경우에는 단순하게 제거하는 것이 불가능하다. 이에 따라 공격자들은 여러 도구들을 이용해 보안 제품을 비활성화하려고 시도한다. 문제는 이러한 과정에서 사용되는 도구들이 악성코드가 아니라 실제 정상적인 목적에서도 사용 가능한 도구들이 많다는 점이다.

예를 들어 공격자들은 Process Hacker나 GMER와 같은 도구들을 사용해 보안 제품을 비활성화시키는 경우가 많다. 이러한 도구들은 정상적인 목적으로도 자주 사용되는 도구들이기 때문에 AntiVirus에서 탐지하고 차단하는 것이 불가능하다.

AhnLab EDR (Endpoint Detection and Response)은 국내 유일의 행위 기반 분석 엔진을 기반으로 엔드포인트 영역에 대해 강력한 위협 모니터링과 분석, 대응 역량을 제공하는 차세대 엔드포인트 위협 탐지 및 대응 솔루션이다. AhnLab EDR은 의심스러운 행위에 관한 유형별 정보를 상시 수집해 탐지 및 분석, 대응 관점에서 사용자가 위협을 정확하게 인식할 수 있는 기능을 제공하며 이를 통해 종합적인 분석을 통해 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있다.

여기에서는 공격 과정 중 방어 회피 단계에서 관리자가 이를 사전에 인지하고 원인 파악과 적절한 대응을 진행할 수 있도록 공격자들이 보안 제품을 무력화하는 기법들을 AhnLab EDR을 활용해 탐지할 수 있는 사례들을 다룬다.

1. Defender Control

Defender Control은 Microsoft Defender를 비활성화하는 기능을 제공하는 도구이다. 비록 일반 사용자들이 Microsoft Defender를 사용하지 않기 위해 의도적으로 설치하는 사례가 많지만 목적 자체가 특정 제품을 비활성화하는 것이기 때문에 AntiVirus에 의해 탐지 및 차단되기도 한다. Defender Control은 많은 공격들에서 사용되고 있으며 과거 Lockis 랜섬웨어나 [1] Mimic 랜섬웨어 공격 사례 [2] 등 ASEC 블로그에서도 다룬바 있다.

AhnLab EDR은 Defender Control을 이용해 Microsoft Defender를 비활성화시키는 행위에 대해 다음과 같이 위협으로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다.

2. HRSword

HRSword는 Beijing Huorong Network Technology 사에서 개발하였으며 프로세스, 파일, 레지스트리, 네트워크 등 시스템을 모니터링하여 시스템을 진단하는 데 사용할 수 있는 도구이다. 하지만 지원하는 기능들 중 특정 프로세스를 강제로 종료시키는 기능이 있으며 이에 따라 Masscan 랜섬웨어 공격자나 [3] CAMARO DRAGON APT 그룹 [4] 등 다양한 공격자들에 의해 사용되고 있다.

AhnLab EDR은 공격자가 보안 제품을 비활성화하기 위해 Huorong의 Hrsword를 설치하는 행위에 대해 다음과 같이 위협으로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다.

3. Process Hacker

Process Hacker는 Process Explorer와 유사하게 현재 실행 중인 프로세스들의 목록을 보여주고 관련 정보 조회 및 프로세스 제어와 같은 다양한 기능들을 제공한다. 많은 사용자들이 Process Hacker를 사용하고 있는 만큼 보안 제품을 비활성화하기 위한 목적으로 악용하는 공격 사례 또한 많다.

예를 들어 과거 Okta 사를 해킹한 Lapsus$ 공격자가 이를 사용하였던 사례가 공개되었으며 [5] 이외에도 Lockbit 랜섬웨어 [6], Phobos 랜섬웨어 [7] 등 다양한 공격자들이 이를 활용하고 있다. 또한 과거 ASEC 블로그에서도 하쿠나 마타타 랜섬웨어 [8] 공격자가 Process Hacker를 다양한 도구들과 함께 설치한 사례를 공개한 바 있다.

AhnLab EDR은 공격자가 Process Hacker를 실행하는 행위에 대해 다음과 같이 주요 행위로 탐지하여 관리자가 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있도록 도와준다.

4. GMER

GMER는 은폐된 프로세스, 서비스, 파일, 레지스트리, 드라이버를 찾아주는 Anti Rootkit 도구이다. 이러한 도구의 특성상 의심스러운 프로세스를 강제로 종료하거나 파일을 강제로 삭제하는 등의 기능을 지원하기 위해 높은 권한에서 동작한다. 이에 따라 Lockbit [9], Royal [10], Ryuk 랜섬웨어 [11] 등 다양한 공격자들이 보안 제품을 비활성화하기 위한 목적으로 GMER 도구를 악용하고 있다.

AhnLab EDR은 공격자가 GMER를 실행하는 행위에 대해 다음과 같이 주요 행위로 탐지하여 관리자가 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있도록 도와준다.

5. 결론

공격자들은 악성코드 및 의심스러운 행위를 탐지하는 보안 제품들을 우회하기 위해 HRSword, Process Hacker, GMER와 같은 도구들을 악용하고 있다. 이러한 도구들은 일반 사용자들이 정상적인 목적으로도 사용 가능한 도구들임에 따라 AntiVirus 단독으로 이를 탐지하고 차단하는 데 한계가 존재한다.

AhnLab EDR은 방어 회피 단계에서 사용되는 도구들을 위협 및 주요 행위로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다. 관리자는 이를 통해 원인 파악과 적절한 대응을 진행할 수 있으며 랜섬웨어 공격에 노출된 이후에도 공격 대상이 된 시스템에서 공격자의 증적 자료로서 침해 사고 조사에 필요한 데이터를 확인할 수 있다.

행위 진단
– DefenseEvasion/EDR.dControl.M11216
– Execution/EDR.HRSword.M11640
– Execution/DETECT.ProcHacker.M11647
– Execution/EDR.GMER.M11645