EMSISOFT EDR - LOLBins 탐색: 평범한 파일에 숨겨진 증가하는 위협

EMSISOFT EDR - LOLBins 탐색: 평범한 파일에 숨겨진 증가하는 위협

“적을 이길 수 있는 기회는 적 자신이 제공한다”

손자병법 - "손자병법"

 

최근에 EMSISOFT를 설치하는 고객 들의 시스템을 모니터링해 보면 일반백신으로 잘 방역을 하지만 윈도우의 시스템 프로그램이나 레지스트리, 그리고 SQL나 IIS 취약성을 통해 내부 신뢰되는 윈도우 프로그램을 이용한 해킹 사례가 자주 발견되고 있는 것을 발견할 수 있습니다. 이런 해킹과 인터넷 공격을 방어하기 위해 백신과 EMSISOFT EDR 을 함께 설치하여 함께 설치하여 방역을 높이도록 조치하고 있습니다. 이런 상황은 꽤 많이 발생하고 있는 사례인데, EMSISOFT의 LOLBin 관련 기사가 이와 관련하여 윈도우 시스템을 관리하는 기업에게 도움이 될 것으로 생각합니다.

 

 

LOLBins를 이해하려면 도둑이 창문을 깨고 집에 들어가는 대신 여분의 열쇠를 사용하는 것으로 상상해 보세요. 열쇠는 집의 소유이며 일반적으로 소유자가 사용하므로 보안 시스템은 비정상적인 것을 표시하지 않습니다. 마찬가지로 사이버 범죄자는 새로운 도구를 만드는 대신 합법적인 내장 도구(LOLBins)를 악용하여 감지되지 않고 작동할 수 있습니다.

 

 

LOLBin(Living Off the Land Binaries)이란 무엇인가?

 

LOLBins는 기본적으로 운영 체제(주로 Windows이지만 macOS와 Linux도 포함)에서 발견되는 네이티브 시스템 실행 파일로, 악의적인 목적으로 활용될 수 있습니다. 이러한 도구는 일반적으로 관리 작업, 시스템 진단 또는 소프트웨어 설치에 사용됩니다. 예를 들어, wmic.exe(Windows Management Instrumentation Command-line)은 관리자가 시스템 정보를 수집하거나 명령을 실행할 수 있도록 하는 합법적인 시스템 관리 도구입니다. 마찬가지로, certutil.exe는 보안 통신에 중요한 작업인 인증서 관리에 사용됩니다. macOS와 Linux에서 (Secure Shell)은 보안 원격 액세스 및 관리에 필수적입니다. 이러한 시스템에서 일반적으로 발견되는 python 과 bash,  ssh같은 스크립팅 언어조차도 관리 작업과 소프트웨어 설치를 자동화하는 데 사용됩니다.

 

 

이들은 이미 시스템에 존재하고 운영 체제에서 신뢰하기 때문에 바이러스 백신 소프트웨어 및 애플리케이션 허용 목록과 같은 기존 보안 조치를 우회할 수 있습니다. 사이버 범죄자들은 ​​또한 LOLBins를 사용하여 합법적인 클라우드 서비스(GitHub, S3, Dropbox, Google Drive 등) 및 파일리스 맬웨어와 결합하여 스텔스를 강화합니다.

 

"Living Off the Land"(LOTL) 개념은 바이너리를 넘어 네이티브 스크립팅 언어(예: Windows의 PowerShell) 및 기본 제공 기능을 포함한 더 광범위한 기술을 포괄합니다. 그러나 LOLBins는 무기화의 용이성으로 인해 LOTL 공격의 상당 부분을 차지합니다. 이러한 바이너리는 운영 체제에 필수적이며 일반적으로 OS 공급업체에서 서명하여 OS와 보안 소프트웨어 모두에서 신뢰합니다. 결과적으로 사이버 보안에서 "양날의 검"이라고도 합니다.

 

 

공격자가 사이버 범죄에 LOLBins를 사용하는 방법

 

공격자는 초기 접근부터 측면 이동 및 데이터 유출까지 공격의 다양한 단계에서 LOLBin을 악용합니다. 일반적인 전술은 다음과 같습니다.

 

• 애플리케이션 허용 목록 우회: 시스템이 특정 애플리케이션만 실행되도록 구성된 경우 공격자는 허용 목록에 있는 LOLBins를 활용하여 악성 코드를 실행할 수 있습니다. 예를 들어, regsvr32.exe(DLL 등록에 사용됨)은 악성 페이로드를 다운로드하고 실행하는 데 악용될 수 있습니다. 마찬가지로 mshta.exeGitHub과 같은 원격 소스에서 임의의 JavaScript 코드를 실행할 수 있습니다.
•  
• 탐지 회피: LOLBin은 합법적인 도구이므로, 그 활동은 보안 소프트웨어에 정상적으로 보이는 경우가 많아, 방어자가 합법적 활동과 악성 활동을 구별하기 어렵게 만듭니다. 예를 들어, certutil.exe(인증서 관리에 사용됨)은 맬웨어를 다운로드하고 디코딩하는 데 사용되어 일상적인 시스템 작업에 섞일 수 있습니다.
•  
• 측면 이동: 공격자는 LOLBins를 사용하여 네트워크 내에서 측면 이동합니다. wmic.exe(Windows Management Instrumentation Command-line)은 원격 명령 실행을 가능하게 하여 공격자가 여러 시스템으로 접근 권한을 확장할 수 있도록 합니다.
•  
• 데이터 유출:tar.exe LOLBins는 (Linux/macOS의 경우) 또는 (사용 가능한 경우) 와 같은 도구를 사용하여 데이터를 압축하고 (Background Intelligent Transfer Service)를 WinRAR.exe사용하여 전송함으로써 데이터 유출을 용이하게 합니다 bitsadmin.exe. 이를 통해 파일을 은밀하게 업로드하거나 다운로드할 수 있습니다.
•  
• 지속성: 공격자는 LOLBins를 사용하여 악성 작업을 예약함으로써 지속성을 확립합니다. schtasks.exe이를 사용하면 특정 간격으로 악성 스크립트나 페이로드를 실행하는 예약된 작업을 생성할 수 있습니다.
•  
• 권한 상승: LOLBins를 통해 공격자는 취약하거나 이미 손상된 시스템에서 권한을 상승시킬 수 있습니다. eventvwr.exe사용자 계정 제어(UAC)를 우회하여 관리자 권한을 얻는 데 악용될 수 있습니다.
•  
• 원격 명령 실행: 공격자는 LOLBins를 사용하여 powershell.exe손상된 시스템에서 원격으로 명령을 실행합니다. 이를 통해 감염된 컴퓨터를 제어하고, 맬웨어를 배포하거나, 데이터를 빼낼 수 있습니다.
•  
• 파일리스 맬웨어 실행: 많은 LOLBin은 파일리스 실행을 허용하는데, 이는 악성 스크립트가 디스크에 기록되지 않고 메모리에서 직접 실행된다는 것을 의미합니다. 이 전략은 기존의 탐지 메커니즘을 회피하는 데 도움이 됩니다. 예를 들어, PowerShell 명령을 사용하여 악성 페이로드를 메모리에서 직접 다운로드하고 실행하여 파일 시스템에 거의 흔적을 남기지 않습니다.

 

 

일반적인 LOLBin의 사례

 

잠재적인 LOLBin의 목록은 광범위하지만 가장 흔히 남용되는 LOLBin은 다음과 같습니다. 시스템을 감시하다가 아래 윈도우 프로세스의 사용이 의심되는지 꼭 확인해 보실 필요가 있습니다. EMSISOFT EDR 을 사용하여 추적이 가능합니다.

 

• 윈도우: powershell.exe, cmd.exe, regsvr32.exe, wmic.exe, certutil.exe, bitsadmin.exe, mshta.exe, rundll32.exe, taskschd.exe, csc.exe, psexec.exe, CertReq.exe.
•  
• macOS/리눅스: curl, wget, ssh, tar, dd, awk, sed.

 

 

LOLBins의 위험: 당신이 신뢰하는 도구가 당신을 상대로 돌아서 공격

LOLBins는 사이버 보안 방어자에게 상당한 과제를 안겨줍니다. 합법적인 도구 사용을 모방하는 은밀한 특성으로 인해 공격자는 장기간 감지되지 않을 수 있습니다. 바이러스 백신 소프트웨어 구현 및 애플리케이션 허용 목록과 같은 보안 조치를 우회하여 매우 효과적임이 입증되었습니다. LOLBins는 다양한 악성 활동 및 환경에 적응하는 유연성을 제공합니다. 합법적인 상태이기 때문에 귀속이 어렵습니다. 은밀한 실행은 악성 활동과 정상적인 프로세스를 혼합하여 감지를 방해합니다. 마지막으로, 작은 발자국은 법의학 분석 및 사고 대응을 복잡하게 만듭니다. 이러한 요소가 결합되어 LOLBins는 심각한 위협이 되어 고급 감지 및 완화 전략이 필요합니다.

 

 

LOLBin 탐지 미로: 사이버 범죄자의 위장

 

악성 LOLBin 사용을 감지하는 것은 시스템에 합법적으로 존재하기 때문에 사이버 보안 전문가에게 큰 과제입니다.

 

• 합법적 사용 대 악의적 의도: LOLBin은 합법적인 목적으로 널리 사용되기 때문에 정상적인 활동과 잠재적 위협을 구분하려면 고급 모니터링 기술이 필요합니다.
•  
• 회피 기술: 공격자는 난독화 방법을 사용하고 메모리에서 직접 명령을 실행하여 기존 보안 솔루션을 회피합니다.
•  
• 문맥적 인식: 바이너리가 사용되는 맥락을 이해하는 것은 효과적인 탐지에 필수적입니다. 보안 팀은 이상 징후를 식별하기 위해 행동 패턴을 분석해야 합니다.

 

 

LOLBin 공격에 대한 방어

 

LOLBin 기반 공격을 완화하려면 사전 대책, 탐지 기능, 사고 대응 전략을 결합한 LOLBin에 초점을 맞춘 다층적 접근 방식이 필요합니다 . LOLBin에 대한 보호의 핵심 부분은 이러한 공격이 MITRE ATT&CK 프레임워크 에 어떻게 매핑되는지 이해하는 것입니다 . 이 프레임워크는 공격자의 전술과 기술에 대한 포괄적인 플레이북과 같으며, 이를 이해하고 방어할 수 있는 체계적인 방법을 제공합니다.

 

이제 이를 계층별로 강력한 방어 시스템을 구축하는 것과 같다고 생각해 봅시다 . 한 가지에만 의존할 수 없으므로 포괄적인 접근 방식이 필요합니다. 가장 강력한 대책은 엔드포인트 탐지 및 대응(EDR)입니다. EDR을 모든 엔드포인트(컴퓨터, 랩톱 등)를 감시하는 보안 가드가 있는 것으로 상상해 보세요. 명령줄 실행에서 네트워크 연결에 이르기까지 무슨 일이 일어나고 있는지에 대한 심층적인 가시성을 제공합니다. 이러한 자세한 모니터링을 통해 LOLBins의 비정상적인 사용을 포착하고 다른 의심스러운 이벤트와 점을 연결하는 데 도움이 됩니다. 전체 그림을 볼 수 있는 형사가 있어서 신속하게 대응할 수 있는 것과 같습니다.

 

그러면 보안 정보 및 이벤트 관리(SIEM) 시스템이 있습니다. 이것은 모든 보안 로그가 모이는 중앙 허브입니다. SIEM은 이러한 로그를 분석하여 LOLBin 공격을 시사할 수 있는 패턴을 찾습니다. 엄청난 양의 데이터를 걸러내고 숨겨진 위협을 찾을 수 있는 매우 똑똑한 분석가가 있는 것과 같습니다. 사용자 및 엔터티 동작 분석(UEBA)을 사용할 수도 있습니다. 이 시스템은 각 사용자와 기기의 정상적인 동작이 어떤지 학습합니다 . 무언가가 그 기준에서 벗어나면 위험 신호가 발생합니다. 모든 사람을 위한 개인화된 보안 프로필을 갖는 것과 같습니다.

 

물론, 기본을 잊을 수는 없습니다. 정기적인 패치 및 업데이트는 방어의 허점을 고치는 것과 같이 필수적입니다. 시스템을 최신 상태로 유지하면 공격자가 악용할 수 있는 취약점을 최소화할 수 있습니다. 또한 사용자에게 절대적으로 필요한 액세스 권한만 제공하여 최소 권한 원칙을 구현해야 합니다 . 누군가의 계정이 손상되더라도 피해는 제한될 것입니다.

 

명령줄 모니터링 도 핵심 요소입니다. 명령줄에 입력되는 내용, 특히 특이한 매개변수나 시퀀스에 주의를 기울여야 합니다. 공격자의 대화를 도청하는 것과 같습니다. 그리고 위협 인텔리전스를 통해 최신 LOLBin 공격 기술에 대해 항상 알고 있어야 하며, 최신 보안 보고서를 읽어 적보다 한 발 앞서 나가야 합니다.

 

마지막으로, 견고한 사고 대응 계획이 필요합니다 . 이것은 공격이 발생할 경우 무엇을 해야 하는지에 대한 플레이북 입니다 . 탐지, 봉쇄, 근절 및 복구 단계를 설명합니다. 마치 모든 사람이 비상 상황에서 무엇을 해야 하는지 알 수 있도록 소방 훈련을 하는 것과 같습니다.

 

이러한 핵심 전략 외에도 다른 중요한 계층이 있습니다. 행동 분석은 고급 도구를 사용하여 시스템 동작의 이상을 감지합니다. 로그 분석은 명령줄, 네트워크 및 이벤트 로그에서 의심스러운 활동을 찾는 데 도움이 됩니다. 파일 무결성 모니터링은 시스템 파일에 대한 무단 변경 사항을 경고합니다. 네트워크 트래픽 분석은 알려진 악성 IP와 같은 비정상적인 연결을 식별하는 데 도움이 됩니다. 정기적인 보안 감사는 시스템 바이너리와 그 사용을 검토하는 데 도움이 됩니다. 그리고 마지막으로 사용자 교육이 중요합니다. 주기적인 뉴스레터 와 가이드를 통해 시스템 도구와 관련된 의심스러운 활동을 인식하는 방법에 대해 자신과 직원을 교육해야 합니다 . 이들은 종종 첫 번째 방어선입니다.

 

 

이러한 모든 전략을 결합하면 강력한 보안 태세를 구축하고 LOLBin 공격의 위험을 크게 줄일 수 있습니다. 모든 것은 사전 대응, 경계, 준비에 관한 것입니다.

 

 

 

결론

 

LOLBin은 모든 규모의 조직에 중요하고 진화하는 위협입니다. 공격자가 이러한 합법적인 도구를 어떻게 악용하는지 이해하고 강력한 방어 전략을 구현함으로써 귀하와 귀하의 조직은 보안 태세를 강화하고 위험을 완화할 수 있습니다. 예방, 탐지 및 신속한 대응을 결합한 계층적 보안 접근 방식은 LOLBin 공격에 효과적으로 대응하는 데 중요합니다. 최신 LOLBin 기술에 대해 경계하고 정보를 얻는 것은 사이버 위협에 맞서는 지속적인 전투에서 매우 중요합니다. 이러한 합법적인 도구의 오용을 인식하고 대응하는 것은 오늘날의 디지털 세계에서 안전한 IT 환경을 유지하는 데 필수적입니다.

 

https://www.emsisoft.co.kr

EMSISOFT 안티랜섬웨어 & EDR - 랜섬웨어 감염 예방