원격 제어 도구들을 이용한 감염 시스템 제어 – EDR 탐지 (2)

원격 제어 도구는 RAT(Remote Administration Tool)라고도 부르며 원격지의 단말기를 관리하고 제어하는 기능을 제공하는 소프트웨어이다. 최근 최초 침투 과정이나 측면 이동 과정에서 공격 대상 시스템을 제어하기 위해 백도어 악성코드 대신 원격 제어 도구들을 설치하는 사례들이 늘어나고 있다.

이는 방화벽이나 탐지를 우회하기 위한 의도적인 목적인데 AntiVirus 제품에서는 일반적인 악성코드들과 달리 이러한 도구들을 단순하게 탐지하고 차단하는 데 한계가 존재하기 때문이다. 이에 따라 공격자들은 이러한 점을 악용하고 있으며 이러한 공격을 대비하기 위해서는 EDR을 활용해 의심스러운 행위를 모니터링하고 대응할 필요가 있다.

AhnLab EDR (Endpoint Detection and Response)은 국내 유일의 행위 기반 분석 엔진을 기반으로 엔드포인트 영역에 대해 강력한 위협 모니터링과 분석, 대응 역량을 제공하는 차세대 엔드포인트 위협 탐지 및 대응 솔루션이다. AhnLab EDR은 의심스러운 행위에 관한 유형별 정보를 상시 수집해 탐지 및 분석, 대응 관점에서 사용자가 위협을 정확하게 인식할 수 있는 기능을 제공하며 이를 통해 종합적인 분석을 통해 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있다.

Figure 1. AhnLab EDR 제품

AhnLab SEcurity intelligence Center(ASEC)에서는 “원격 제어 도구들을 이용한 감염 시스템 제어 – EDR 탐지” [1] 포스팅에서 AhnLab EDR을 통해 
공격자들이 감염 시스템을 제어하기 위해 사용하는 원격 제어 도구들을 탐지하는 사례들을 다루었다. 해당 포스팅에서는 대표적으로 자주 악용되는 AnyDesk, NetSupport 그리고 Chrome Remote Desktop을 다루었으며 여기에서는 GotoHTTP, RustDesk 등 또 다른 원격 제어 도구들의 악용 사례와 AhnLab EDR을 이용한 탐지 방식을 다룬다.

 

1. GotoHTTP

ASEC에서는 부적절하게 관리되고 있는 MS-SQL 서버들을 대상으로 한 공격 사례들을 모니터링하던 중 알려지지 않은 공격자가 최초 침투 이후 GotoHTTP를 설치한 사례를 확인하였다. 일반적으로 이러한 공격에서는 대부분 AnyDesk가 확인되지만 2024년 하반기부터는 GotoHTTP를 설치하는 사례가 확인되고 있다. [2]

GotoHTTP는 다른 원격 제어 도구들과 동일하게 원격 화면 제어를 제공하는 도구로서 감염 시스템에 GotoHTTP를 설치한 후 “Computer Id”와 “Access Code”를 알 수 있다면 이를 이용해 원격에서 시스템을 제어할 수 있다.

Figure 2. GotoHTTP를 이용한 원격 제어

AhnLab EDR에서는 시스템에 GotoHTTP가 실행되는 행위에 대해 위협으로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다.

Figure 3. AhnLab EDR을 활용한 GotoHTTP 실행 행위 탐지

 

2. RustDesk

RustDesk는 오픈 소스 원격 제어 도구로서 AnyDesk와 유사하게 파일 전송, 원격 데스크탑 등 다양한 기능들을 제공한다. 공격자는 다음과 같이 실행 과정에서 확인 가능한 ID와 비밀번호를 이용해 RustDesk가 설치된 감염 시스템을 제어할 수 있다. 실제 Akira 랜섬웨어 공격자는 공격 과정에서 RustDesk를 활용한 것으로 알려져 있다. [3]

Figure 4. RustDesk 원격 제어 도구

AhnLab EDR에서는 시스템에 RustDesk가 실행되는 행위에 대해 주요 행위로 탐지하여 관리자가 이를 인지할 수 있도록 도와준다.

Figure 5. AhnLab EDR을 활용한 RustDesk 실행 행위 탐지

 

3. Atera

Atera 또한 다양한 공격자들에 의해 악용되는 도구로서 BlackSuit(Royal) [4], ALPHV/BlackCat [5], Hive [6] 등 주로 랜섬웨어 공격자들이 사용하는 경향이 많다. 물론 이렇게 측면 이동 및 제어 탈취 과정에서 사용하는 경우뿐만 아니라 최초 침투 과정에서 사용되기도 하는데 다음과 같이 PDF 문서 파일을 위장한 LNK 파일을 통해 설치되는 경우도 존재한다. 설치 과정에서는 공격자가 지정한 메일 주소가 함께 확인되는 것이 특징이다.

Figure 6. Atera 설치 과정에서 확인되는 공격자의 메일 주소

AhnLab EDR에서는 Atera가 시스템에 설치되어 동작하는 행위에 대해 위협으로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다.

Figure 7. AhnLab EDR을 활용한 Atera Agent 설치 행위 탐지

 

4. ConnectWise ScreenConnect

ScreenConnect 또한 Atera와 유사하게 랜섬웨어 공격자들이 자주 사용하는 RMM(Remote Monitoring and Management) 도구이며 Atera와 함께 공격에 사용되기도 한다. 대표적인 랜섬웨어 공격자들로는 ALPHV/BlackCat [7], Hive [8]가 있으며 이외에도 APT 그룹에서 악용하는 사례들도 존재한다.

AhnLab EDR에서는 Atera가 시스템에 설치되어 동작하는 행위에 대해 위협으로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다.

Figure 8. AhnLab EDR을 활용한 ScreenConnect 실행 행위 탐지

 

5. 결론

최근 공격자들은 공격 대상을 제어하기 위해 RAT나 백도어 같은 추가적인 악성코드 대신 원격 제어 도구를 설치하는 사례가 늘어나고 있다. 원격 제어 도구는 원격지의 단말기를 제어하거나 관리하기 위한 목적으로 사용 가능한 정상 소프트웨어이다.

공격자는 공격 대상 시스템에 원격 제어 도구를 설치함으로써 공격 대상 시스템을 제어함과 동시에 AntiVirus 기반의 보안 제품을 우회할 수 있다. 이는 원격 제어 도구가 정상 소프트웨어임에 따라 AntiVirus 제품이 이를 단순하게 탐지하고 차단하는 데 한계가 존재하기 때문이다.

AhnLab EDR은 사용자가 원격 제어를 위해 정상적인 목적으로 원격 제어 도구들을 사용하는 행위에 대해서도 관련 정보를 수집해 보여줌으로써 관리자가 의심스러운 행위를 인지하고 대응할 수 있도록 한다. 또한 원격 제어 도구들이 의심스러운 방식으로 설치된 경우 이를 위협으로 탐지하여 관리자가 원인을 파악하고 적절한 대응 및 재발 방지 프로세스를 수립할 수 있도록 도와준다.

 

행위 진단
– Execution/EDR.GotoHTTP.M12139
– Execution/DETECT.RustDesk.M12042
– Execution/EDR.Atera.M11764
– Execution/EDR.ScreenConnect.M11766