| 요약 | - 이번 달 MITRE는 ATT&CK 프레임워크에 두 가지 테크닉을 추가할 예정 - 북한이 즐겨 사용하고 있는 공격 전략인 TCC 악용과 팬텀 DLL 하이재킹 |
| 내용 | - 북한의 해커들은 두 가지 공격 기법을 활용 > 맥OS와 윈도 환경에 불법적으로 접근 및 권한 탈취 > 이후 피해자를 염탐하여 정보 수집 등 필요한 악성 행위 실시 ① 맥OS 대상: TCC 악용 - TCC는 일종의 데이터베이스 > 사용자 층위의 데이터베이스: ‘전체 디스크 접근 권한(FDA)’ 혹은 그에 준하는 권한을 가지고 있어야 TCC에 접근가능 > 시스템 층위의 데이터베이스: ‘시스템 무결성 보호(SIP)’라는 기능을 통해 제어가 가능 > TCC에 접근하려면 FDA나 SIP 혹은 그에 상당하는 높은 수준의 권한을 가지고 있어야 한다는 뜻 - 그러나, 권한을 무시하고 접근할 수 있게 해 주는 방법들이 존재 > SIP의 경우 공격자들이 피해자의 시스템에 침투하여 다른 공격 기법을 통해 비활성화시킬 수 있음 > 스스로에게 FDA 권한을 줄 수도 있음 - TCC를 겨냥한 멀웨어들이 이미 다크웹에 여럿 존재 > 가장 중요한 건 SIP를 항상 활성화시켜두는 것이라고 강조 ② 윈도우 대상: 팬텀 DLL 하이재킹 (Phantom DLL Hijacking) - 윈도는 실존하지 않는 DLL 파일들을 자꾸만 참조하는 이상한 오류 존재 > 프로젝트를 위해 생성한 DLL을 프로젝트 종료 후 DLL을 전부 삭제하지 못하는 등의 경우 발생 > 윈도는 참조하는데 정작 존재하지는 않는 DLL 파일들을 ‘팬텀 DLL 파일(유령 DLL 파일)’이라고 부름 - 공격자 악용 방식 > 자신들의 목적에 맞는 악성 DLL 파일을 임의로 생성 > 윈도가 참조하고 있는 유령 DLL 파일과 똑같은 이름으로 설정 > 그 DLL 파일과 같은 위치에 옮겨두면 OS가 알아서 로딩 > 윈도가 참조하는 것이므로 보안 경보 울리지 않음 - MS가 직접 윈도의 ‘유령 DLL 참조 현상’을 제거해야 한다고 강조 > 그 전까지 윈도 사용자들은 모니터링을 철저히 수행할 필요 > 애플리케이션 제어도 보다 능동적으로 수행할 필요 > 원격에서 DLL을 로딩시키는 것 또한 차단할 필요 |
| 기타 | - 라자루스 멀웨어 전략 > TCC 데이터베이스의 접근 테이블을 덤핑하는 기능과 SIP 비활성화 기능 포함 > IKEEXT와 같이 함께 팬텀 DLL 하이재킹 기능 구현: IKEEXT 실행 후 존재하지 않는 DLL 로딩 시도 |
보안뉴스
북한이 최근 사용하는 공격 전략, 조만간 마이터 서브테크닉에 추가된다
이번 달 마이터(MITRE)는 어택(ATT&CK) 프레임워크에 두 가지 테크닉을 추가할 예정이다. 이 두 테크닉 모두 북한의 해킹 조직들이 이미 즐겨 사용하고 있는 것으로, 하나는 애플 맥OS 내에서 애플리
www.boannews.com
'보안뉴스' 카테고리의 다른 글
| 깃허브와 깃랩 사용하면 사실상 대처법이 전무한 피싱 공격 완성 (1) | 2024.04.28 |
|---|---|
| 코드 서명 절차를 안전하게 유지시키기 위한 8가지 보안 전략 (0) | 2024.04.17 |
| 베트남 해킹그룹 코랄레이더, 한국과 아시아 전역 금융 데이터 표적 공격중...주의 (0) | 2024.04.07 |
| 회사의 보안실태와 취약점 점검 시 꼭 필요한 건 ‘소셜 엔지니어링’ 감사 (0) | 2024.03.31 |
| 현재 보안 담당자들이 가장 신경 써야 할 평가 항목, MTTR (0) | 2024.03.04 |
