요약 - 사이버 공격자들, 레드팀 도구 EDRSilencer를 활용해 악성 행위를 숨기는 중
- EDR을 무효화하고 멀웨어 식별 및 제거를 어렵게 만들기 위해 레드팀 도구 사용
내용 - EDRSilencer
> 오픈소스로, Windows Filtering Platform(WFP)을 활용해 엔드포인트 탐지 및 대응(EDR) 솔루션들을 무력화시키도록 설계된 공격 도구
 ⒜ Github에 공개된 무료 도구로, 레드팀 훈련에 필요한 일부 기능을 제공
 ⒝ MDSec의 NightHawk FireBlock 도구 에서 영감을 받아 만들어짐
 ⒞ WFP(Windows Filtering Platform)를 사용하여 실행 중인 EDR 프로세스의 아웃바운드 트래픽을 차단하도록 설계
 ⒟ Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab, Trend Micro의 EDR 제품과 관련된 다양한 프로세스 종료를 지원

> 명령줄 인터페이스를 가지고 있으며, 다음 기능을 제공
 ⒜ blockedr : 감지된 모든 EDR 프로세스의 트래픽을 자동으로 차단
 ⒝ block : 특정 프로세스의 경로를 지정해 트래픽 차단
 ⒞ unblockall : 도구가 생성한 모든 WFP 필터 제거
 ⒟ unblock : 필터 ID를 지정해 특정 WFP 필터 제거

- 공격자들이 EDRSilencer를 악용해 공격에 사용중
> EDR을 무효화하고 멀웨어 식별 및 제거를 어렵게 만들기 위해 레드팀 도구 사용
> 실행 중인 EDR 프로세스를 동적으로 식별하고 지속적인 WFP 필터를 생성하여 IPv4 및 IPv6에서 모두 아웃바운드 네트워크 통신을 차단함으로써 보안 소프트웨어가 관리 콘솔로 원격 측정 데이터를 전송하지 못하도록 WFP를 활용

> 공격순서
 ⒜ EDR 관련 프로세스 수집 및 목록화 : 실행되고 있는 EDR 제품 관련 프로세스 스캔 후 목록을 작성
 ⒝ blockedr(또는 block) 명령으로 탐지된 프로세스 트래픽 차단
 ⒞ WFP 필터 구성 : 필터들은 지속적으로 생성 및 설정되기 때문에 시스템 재부팅 이후 유지
 ⒟ 해당 프로세스의 아웃바운드 트래픽을 억제

- 대응방안
> 여러 층위의 안전 장치 마련
> 미리 방비하는 능동적인 자세
> 망분리와 심층 방어
> 행동 분석 기반 탐지 기능 강화
> 애플리케이션 화이트리스트 처리
> 지속적인 네트워크 모니터링
> 알려진 침해지표 등을 기반으로 한 위협 헌팅 수행
> 강력한 접근 제어 기술 구축
> 최소 권한의 원칙 적용
기타 - 공격자들은 여러 EDR 무력화 도구를 사용
> AuKill, EDRKillShifter, TrueSightKiller, GhostDriver, Terminator 등
> 취약한 드라이버를 악용해 권한 확대 및 보안 관련 프로세스 종료

- WFP (윈도 필터링 플랫폼, Windows Filtering Platform)
> 네트워크 필터링과 보안 애플리케이션을 만드는 데 사용되는 강력한 프레임워크
> 개발자들이 IP 주소, 포트, 프로토콜, 애플리케이션 등 다양한 기준에 따라 네트워크 트래픽을 모니터링, 차단, 수정하는 맞춤형 규칙을 정의할 수 있게 API를 제공
> 방화벽, 백신 소프트웨어 등 다양한 보안 솔루션에서 활용

 

보안뉴스

 

 

Hackers Abuse EDRSilencer Tool to Bypass Security and Hide Malicious Activity

Cybercriminals abuse EDRSilencer to disable endpoint detection tools, making malicious activity harder to detect.

thehackernews.com

 

엔드포인트 탐지 기술을 회피하는 새로운 방법, 이디알사일런서

보안 외신 해커뉴스에 의하면 사이버 공격자들이 이디알사일런서(EDRSilencer)라는 도구를 활용해 자신들의 악성 행위를 감추고 있다고 한다. 보안 업체 트렌드마이크로(Trend Micro)가 발표한 것으로

www.boannews.com

 

코발트스트라이크의 후계자? 또 다른 보안 도구 악용하는 공격자들

공격자들은 보안 도구들에 관심이 많다. 높은 공격 성공률을 위해 적을 최대한 상세히 파악하고자 하는 것만은 아니다. 자신들의 악성 행위에 사용할 만한 것들이 뭐가 있나 찾기 위해서이기도

www.boannews.com

'보안뉴스' 카테고리의 다른 글

친러 성향 해커 ‘서버 킬러스’, 서울·인천 등 국내 CCTV 100대 이상 해킹 주장  (1) 2024.11.01
유명 클라우드로의 크리덴셜, 각종 모바일 앱 통해 퍼진다 외 3건  (1) 2024.10.24
LLM 애플리케이션의 가장 치명적인 취약점 10가지와 최근 주목받는 RAG  (3) 2024.10.11
10년 넘은 리눅스 취약점 발견돼...세부 내용은 다음 주에 공개 외 1건  (1) 2024.09.29
독일 경찰이 정말로 토르 네트워크를 뚫었을까? 외 1건  (4) 2024.09.25
개요 - 엔드포인트 탐지 및 대응(EDR) 플랫폼을 무력화 시키는 새로운 공격 기법 발견
- 윈도 커널에서 사용자 요청을 처리하는 요소 중 하나인 NTDLL을 이용
- 공격에 성공하면 공격자들은 NTDLL에서부터 어떤 함수도 실행시킬 수 있게 되고, 이를 EDR은 탐지하지 못함
- 이를 "블라인드사이드(Blindside)"'라 부름
내용 ① 블라인드사이드(Blindside)
- 후크 되지 않은 프로세스를 하나 생성
※ 후크(hook)는 한 개의 애플리케이션이 다른 애플리케이션을 모니터링 할 수 있도록 하는 것
- EDR은 어플리케이션의 이상 행위를 찾아내기 위해  '후킹'을 이용하며, 이에 크게 의존적
- 즉, 후크되지 않은 프로세스는 EDR에 영향을 받지 않는 프로세스

② 기존 방식과의 차이
- 후크의 생성을 차단하는 공격은 있지만, 이러한 공격 기법는 OS와 깊은 관련이 있음
- 블라인드사이드 기법은 OS 의존도가 높지 않으며, 하드웨어를 운영하는 방식으로 구현

③ 동작방식
- 하드웨어가 작동을 멈추는 지점(breakpoint)을 활용
- 기존 방법들은 프로세스의 가상화나 시스템 호출(syscall)을 주로 활용했지만 블라인드사이드는 여기에 더해 특정 디버깅 프로세스를 악용
결론 - 해당 기법은 공격자들이 활용하지 않은 새로운 기법임
- 이는, EDR 벤더사들이 공격자들보다 한 발 더 앞서갈 수 있는 기회
- 나아가, 보안 솔루션이 만능이 아니라는 것을 알게 해줌으로써, 사용자들의 보안 인식 제고에도 도움을 줄것

- 실질적으로 활용되기에 충분한 공격 기법이 보안 업계에서 먼저 발견된 것은 꽤나 좋은 일
- 미리 방어법을 연구하고 발전시킬 수 있기 때문이며, 취약하다는 것을 증명하는 것이 아닌 위험성을 줄이는데에 긍정적인 영향을 끼침

- EDR 벤더사들은 후킹에대한 의존도를 낮출 필요

 

- 보안뉴스

 

엔드포인트 솔루션 무력화시키는 새로운 공격 기법, 블라인드사이드

엔드포인트 탐지 및 대응(EDR) 플랫폼을 쓸모 없는 것으로 만들 수 있는 새로운 공격 기법이 발견됐다. 윈도 커널에서 사용자 요청을 처리하는 요소 중 하나인 NTDLL을 이용하는 것으로, 여기에 성

www.boannews.com

'보안뉴스' 카테고리의 다른 글

노턴 라이프락 계정에 대한 크리덴셜 스터핑 공격, 통했다  (0) 2023.01.16
PyPI 통한 공급망 공격이 성공하여 파이토치에까지 멀웨어 심겨져  (0) 2023.01.04
북 해커조직 APT37, 만능 기능 ‘돌핀’ 백도어로 남한 정찰  (0) 2022.12.03
비밀번호가 사라진 시대를 준비하기  (0) 2022.11.21
아마존의 백업 기능 잘못 사용한 사용자들, 개인 식별 정보 대규모로 노출  (1) 2022.11.19

+ Recent posts

티스토리툴바