| 개요 | - 엔드포인트 탐지 및 대응(EDR) 플랫폼을 무력화 시키는 새로운 공격 기법 발견 - 윈도 커널에서 사용자 요청을 처리하는 요소 중 하나인 NTDLL을 이용 - 공격에 성공하면 공격자들은 NTDLL에서부터 어떤 함수도 실행시킬 수 있게 되고, 이를 EDR은 탐지하지 못함 - 이를 "블라인드사이드(Blindside)"'라 부름 |
| 내용 | ① 블라인드사이드(Blindside) - 후크 되지 않은 프로세스를 하나 생성 ※ 후크(hook)는 한 개의 애플리케이션이 다른 애플리케이션을 모니터링 할 수 있도록 하는 것 - EDR은 어플리케이션의 이상 행위를 찾아내기 위해 '후킹'을 이용하며, 이에 크게 의존적 - 즉, 후크되지 않은 프로세스는 EDR에 영향을 받지 않는 프로세스 ② 기존 방식과의 차이 - 후크의 생성을 차단하는 공격은 있지만, 이러한 공격 기법는 OS와 깊은 관련이 있음 - 블라인드사이드 기법은 OS 의존도가 높지 않으며, 하드웨어를 운영하는 방식으로 구현 ③ 동작방식 - 하드웨어가 작동을 멈추는 지점(breakpoint)을 활용 - 기존 방법들은 프로세스의 가상화나 시스템 호출(syscall)을 주로 활용했지만 블라인드사이드는 여기에 더해 특정 디버깅 프로세스를 악용 |
| 결론 | - 해당 기법은 공격자들이 활용하지 않은 새로운 기법임 - 이는, EDR 벤더사들이 공격자들보다 한 발 더 앞서갈 수 있는 기회 - 나아가, 보안 솔루션이 만능이 아니라는 것을 알게 해줌으로써, 사용자들의 보안 인식 제고에도 도움을 줄것 - 실질적으로 활용되기에 충분한 공격 기법이 보안 업계에서 먼저 발견된 것은 꽤나 좋은 일 - 미리 방어법을 연구하고 발전시킬 수 있기 때문이며, 취약하다는 것을 증명하는 것이 아닌 위험성을 줄이는데에 긍정적인 영향을 끼침 - EDR 벤더사들은 후킹에대한 의존도를 낮출 필요 |
- 보안뉴스
엔드포인트 솔루션 무력화시키는 새로운 공격 기법, 블라인드사이드
엔드포인트 탐지 및 대응(EDR) 플랫폼을 쓸모 없는 것으로 만들 수 있는 새로운 공격 기법이 발견됐다. 윈도 커널에서 사용자 요청을 처리하는 요소 중 하나인 NTDLL을 이용하는 것으로, 여기에 성
www.boannews.com
'보안뉴스' 카테고리의 다른 글
| 노턴 라이프락 계정에 대한 크리덴셜 스터핑 공격, 통했다 (0) | 2023.01.16 |
|---|---|
| PyPI 통한 공급망 공격이 성공하여 파이토치에까지 멀웨어 심겨져 (0) | 2023.01.04 |
| 북 해커조직 APT37, 만능 기능 ‘돌핀’ 백도어로 남한 정찰 (0) | 2022.12.03 |
| 비밀번호가 사라진 시대를 준비하기 (0) | 2022.11.21 |
| 아마존의 백업 기능 잘못 사용한 사용자들, 개인 식별 정보 대규모로 노출 (1) | 2022.11.19 |