엔드포인트 탐지 기술을 회피하는 새로운 방법, 이디알사일런서 외 2건

요약	- 사이버 공격자들, 레드팀 도구 EDRSilencer를 활용해 악성 행위를 숨기는 중 - EDR을 무효화하고 멀웨어 식별 및 제거를 어렵게 만들기 위해 레드팀 도구 사용
내용	- EDRSilencer > 오픈소스로, Windows Filtering Platform(WFP)을 활용해 엔드포인트 탐지 및 대응(EDR) 솔루션들을 무력화시키도록 설계된 공격 도구  ⒜ Github에 공개된 무료 도구로, 레드팀 훈련에 필요한 일부 기능을 제공  ⒝ MDSec의 NightHawk FireBlock 도구 에서 영감을 받아 만들어짐  ⒞ WFP(Windows Filtering Platform)를 사용하여 실행 중인 EDR 프로세스의 아웃바운드 트래픽을 차단하도록 설계  ⒟ Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab, Trend Micro의 EDR 제품과 관련된 다양한 프로세스 종료를 지원 > 명령줄 인터페이스를 가지고 있으며, 다음 기능을 제공  ⒜ blockedr : 감지된 모든 EDR 프로세스의 트래픽을 자동으로 차단  ⒝ block : 특정 프로세스의 경로를 지정해 트래픽 차단  ⒞ unblockall : 도구가 생성한 모든 WFP 필터 제거  ⒟ unblock : 필터 ID를 지정해 특정 WFP 필터 제거 - 공격자들이 EDRSilencer를 악용해 공격에 사용중 > EDR을 무효화하고 멀웨어 식별 및 제거를 어렵게 만들기 위해 레드팀 도구 사용 > 실행 중인 EDR 프로세스를 동적으로 식별하고 지속적인 WFP 필터를 생성하여 IPv4 및 IPv6에서 모두 아웃바운드 네트워크 통신을 차단함으로써 보안 소프트웨어가 관리 콘솔로 원격 측정 데이터를 전송하지 못하도록 WFP를 활용 > 공격순서  ⒜ EDR 관련 프로세스 수집 및 목록화 : 실행되고 있는 EDR 제품 관련 프로세스 스캔 후 목록을 작성  ⒝ blockedr(또는 block) 명령으로 탐지된 프로세스 트래픽 차단  ⒞ WFP 필터 구성 : 필터들은 지속적으로 생성 및 설정되기 때문에 시스템 재부팅 이후 유지  ⒟ 해당 프로세스의 아웃바운드 트래픽을 억제 - 대응방안 > 여러 층위의 안전 장치 마련 > 미리 방비하는 능동적인 자세 > 망분리와 심층 방어 > 행동 분석 기반 탐지 기능 강화 > 애플리케이션 화이트리스트 처리 > 지속적인 네트워크 모니터링 > 알려진 침해지표 등을 기반으로 한 위협 헌팅 수행 > 강력한 접근 제어 기술 구축 > 최소 권한의 원칙 적용
기타	- 공격자들은 여러 EDR 무력화 도구를 사용 > AuKill, EDRKillShifter, TrueSightKiller, GhostDriver, Terminator 등 > 취약한 드라이버를 악용해 권한 확대 및 보안 관련 프로세스 종료 - WFP (윈도 필터링 플랫폼, Windows Filtering Platform) > 네트워크 필터링과 보안 애플리케이션을 만드는 데 사용되는 강력한 프레임워크 > 개발자들이 IP 주소, 포트, 프로토콜, 애플리케이션 등 다양한 기준에 따라 네트워크 트래픽을 모니터링, 차단, 수정하는 맞춤형 규칙을 정의할 수 있게 API를 제공 > 방화벽, 백신 소프트웨어 등 다양한 보안 솔루션에서 활용

 

보안뉴스

 

Hackers Abuse EDRSilencer Tool to Bypass Security and Hide Malicious Activity

엔드포인트 탐지 기술을 회피하는 새로운 방법, 이디알사일런서

코발트스트라이크의 후계자? 또 다른 보안 도구 악용하는 공격자들