해커들, 공격 중에 합법적인 보안 도구 사용으로 발견됐다

랜섬웨어 갱들은 “EDR 킬러”라는 도구를 통해 감지 회피 기술을 향상시켰습니다. 이 도구는 공격 초기에 보안 시스템을 비활성화하는 것을 목표로 설계되었습니다.

The Register는 Cisco Talos 연구원들이 2024년 조사된 사례들의 거의 절반에서 랜섬웨어 그룹들이 성공적으로 보안 보호 기능을 비활성화하는 것을 관찰했다고 보도했습니다. 이 방법을 통해 해커들은 데이터 도난을 실행하고, 랜섬웨어를 좀 더 효과적으로 배포하는 동안 더 오래 숨어있을 수 있게 됩니다.

탈로스의 전략적 리더인 켄달 매케이에 따르면, 공격자들은 각 작업마다 여러 EDR 킬러를 사용한다고 The Register에서 보도했습니다. 사이버 범죄자들은

EDRSilencer와 EDRSandblast, EDRKillShifter와 Terminator 도구들을 활용해 보안 방어를 비활성화합니다.

The Register는 EDRKillShifter와 같은 몇몇 랜섬웨어 프로그램들이 Windows 드라이버의 취약점을 이용해 보안 애플리케이션을 종료한다고 보도했습니다.

The Register는 이 맬웨어가 2024년 8월에 RansomHub 갱에서 처음으로 등장했으며, 이후로 Medusa, BianLian, Play를 포함한 다른 랜섬웨어 그룹에서도 사용되었다고 설명했습니다.

“목표는 대체로 동일합니다: EDR 보호를 해제하고, 범죄자들이 타격을 입은 네트워크에서 더 오랫동안 감지되지 않게 하며, 그들이 민감한 데이터를 도난하고 랜섬웨어를 배포하는 것을 돕는 것입니다,”라고 맥케이는 더 레지스터(The Register)에 보도된 바와 같이 말했습니다.

이 공격은 영향을 받은 시스템의 복구를 더욱 복잡하게 만듭니다. 결과적으로, 조직들은 때때로 그들의 네트워크를 완전히 지우고 다시 구축해야 할 필요가 있습니다.

The Register는 모든 EDR 킬러가 악성 코드라는 것이 아니라고 전합니다. Talos가 수행한 연구에 따르면, 랜섬웨어 갱단들은 종종 합법적인 도구를 사용하여 공격을 수행합니다.

예를 들어, 중국 Huorong 네트워크 기술이 개발한 상업용 제품인 HRSword가 있습니다. 시스템 활동을 모니터링하도록 설계된 이 도구는 해커들이 보안 소프트웨어를 비활성화하는 데 재사용하고 있습니다. “합법적인 상업용 도구지만, 이제 위협 주체들이 자신들의 목적을 위해 이를 공유하고 있습니다.”라고 McKay가 The Register에 보도된 바 있습니다.

공격자들이 제대로 설정되지 않은 보안 도구를 악용합니다. The Register에 따르면 많은 조직에서 보안 제품들이 맞춤화 없이 작동하여 시스템에 보안 위험을 초래합니다. 일부 조직들은 엔드포인트 탐지 및 응답 도구를 “감사 전용” 모드로 설정하여 위협은 탐지되지만 차단되지 않습니다.

“이것이 우리에게 가장 우려스러운 점이었는데, 왜냐하면 이것은 매우 쉽게 처리할 수 있는 문제이며 조직들이 쉽게 예방할 수 있는 문제이기 때문입니다.”라고 The Register에 보도된 바와 같이 McKay가 지적했습니다.