뉴스로 돌아가기
속보

취소된 EnCase 드라이버 악용한 고급 EDR 킬러 도구 등장

3분 읽기출처: BleepingComputer

보안 연구진, 취소된 EnCase 디지털 서명 드라이버를 악용한 EDR 킬러 도구 발견. 합법 소프트웨어를 이용한 Living-off-the-Land 공격 기법 분석 및 대응 방안 제시.

공격자들이 취소된 포렌식 드라이버를 EDR 킬러 도구로 악용

보안 연구진들이 EDR(Endpoint Detection and Response) 킬러 도구가 Guidance Software의 EnCase 포렌식 소프트웨어에서 사용되던 합법적이지만 취소된 서명 커널 드라이버를 악용하고 있음을 확인했다. 이 도구는 탐지를 회피하고 보안 보호 기능을 무력화하기 위해 설계되었으며, 신뢰할 수 있는 소프트웨어 구성 요소를 이용한 Living-off-the-Land(LotL) 공격의 증가 추세를 보여준다.

공격의 주요 세부 사항

  • 드라이버 출처: 이 도구는 EnCase의 encase.sys 커널 드라이버를 악용하며, 이는 디지털 서명되었으나 2022년 악용 보고 이후 공급업체에 의해 취소되었다.
  • EDR 킬러 기능: 이 멀웨어는 EDR, 안티바이러스, 모니터링 도구 등 59개 보안 제품을 스캔하고, 이들의 프로세스를 종료하거나 서비스를 무력화하려고 시도한다.
  • 공격 벡터: 드라이버는 Bring Your Own Vulnerable Driver(BYOVD) 기법을 통해 로드되며, Windows Driver Signature Enforcement(DSE) 보호를 우회한다.
  • 탐지 회피: 서명(취소됨) 드라이버를 사용함으로써 공격자들은 합법 소프트웨어에 대한 신뢰를 악용해 커널 수준의 작업을 탐지 없이 실행한다.

취약점 악용에 대한 기술 분석

원래 포렌식 조사에서 저수준 디스크 접근을 위해 설계된 encase.sys 드라이버는 직접 메모리 조작 기능을 포함하고 있다. 공격자들은 이 기능을 악용해 다음과 같은 작업을 수행한다:

  • 실행 중인 프로세스 열거 및 보안 도구 식별.
  • EDR, AV, 로깅 솔루션과 관련된 프로세스 종료 또는 일시 중지.
  • 보안 소프트웨어의 탐지를 회피하기 위한 커널 구조 수정.

여기서 사용된 BYOVD 기법Windows 보안 메커니즘을 우회한다는 점에서 특히 우려스럽다. 일반적으로 서명되지 않은 드라이버를 차단하는 메커니즘임에도 불구하고, Microsoft가 드라이버의 서명을 취소했음에도 공격자들은 드라이버 서명 강제가 비활성화된 시스템이나 취약한 부팅 구성을 통해 여전히 로드할 수 있다.

보안 운영에 미치는 영향

이 EDR 킬러 도구의 사용은 기업 보안에 중대한 위험을 초래한다:

  • 중요 보호 기능 무력화: EDR 및 AV 도구를 무력화함으로써 공격자들은 랜섬웨어 실행, 데이터 유출, 또는 내부 네트워크 이동을 탐지 없이 수행할 수 있다.
  • 지속성 유지의 어려움: 커널 수준 접근 권한을 통해 공격자들은 시스템 재부팅 후에도 지속성을 유지할 수 있다.
  • 포렌식 블라인드 스팟: 이 도구가 로깅 및 모니터링 도구를 무력화하는 기능은 공격 흔적을 은폐해 사고 대응을 복잡하게 만든다.

완화 및 대응 권고 사항

보안 팀은 다음 조치를 취해 이 위협에 대비해야 한다:

  1. 악성 드라이버 차단

    • Windows Defender Application Control(WDAC) 또는 Microsoft Defender for Endpoint를 통해 encase.sys와 같은 취소된 드라이버의 로딩을 방지하는 드라이버 블록리스트를 배포한다.
    • 엔드포인트 로그에서 이상한 드라이버 로딩 이벤트를 모니터링한다.

  2. 드라이버 서명 강제 적용

    • Secure BootDriver Signature Enforcement가 활성화되어 있는지 확인해 서명되지 않거나 취소된 드라이버의 실행을 방지한다.

  3. 엔드포인트 모니터링 강화

    • 보안 소프트웨어를 종료하려는 프로세스커널 메모리를 수정하려는 시도를 식별하기 위한 행위 기반 탐지를 사용한다.
    • 커널 수준 가시성을 갖춘 EDR 솔루션을 배포해 의심스러운 드라이버 활동을 탐지하고 차단한다.

  4. 사고 대응 준비

    • BYOVD 공격 대응 플레이북을 개발해 영향을 받은 시스템 격리신뢰할 수 있는 드라이버 복원 단계를 포함한다.
    • 보안 도구 비활성화 또는 무단 드라이버 설치 징후를 찾기 위한 위협 헌팅을 수행한다.

결론

이번 공격은 서명되었으나 취소된 드라이버의 악용을 통해 EDR 회피 기법의 고도화를 보여준다. 보안 팀은 엔드포인트 방어를 강화하고, 드라이버 기반 위협을 모니터링하며, 이러한 도구가 초래하는 위험을 완화하기 위한 신속한 대응 준비가 필요하다.

자세한 내용은 BleepingComputer의 원본 보고서를 참조하십시오.

공유

TwitterLinkedIn