레드팀을 위한 오픈소스가 공격자들의 레이더망에 걸렸다. 공격자들은 이것을 냉큼 가져다가 공격에 활용하기 시작했다. 레드팀 도구들의 숙명일지도 모르는 이 상황에 대해 보안 업체가 보고서를 발표했다.

[보안뉴스 문정후 기자] 공격자들은 보안 도구들에 관심이 많다. 높은 공격 성공률을 위해 적을 최대한 상세히 파악하고자 하는 것만은 아니다. 자신들의 악성 행위에 사용할 만한 것들이 뭐가 있나 찾기 위해서이기도 하다. 특히 모의 해킹 훈련에 사용되는 도구들은 실제 해킹 공격에 곧잘 활용되곤 하는데 최근 또 다른 도구가 공격자들의 손에 들어간 것으로 보인다.


보안 업체 트렌드마이크로(Trend Micro)에 의하면 문제의 모의 해킹 도구는 이디알사일런서(EDRSilencer)다. 이디알사일런서는 오픈소스로, 윈도 필터링 플랫폼(Windows Filtering Platform, WFP)을 활용해 엔드포인트 탐지 및 대응(EDR) 솔루션들을 무력화시키도록 설계된 공격 도구다. 공격자들이 이런 이디알사일런서에 대해 어떻게 알았는지 피해자들의 EDR 솔루션들을 마비시키는 데 이미 사용하고 있다고 한다.

(참고로 WFP는 네트워크 필터링과 보안 애플리케이션을 만드는 데 사용되는 강력한 프레임워크다. 개발자들이 IP 주소, 포트, 프로토콜, 애플리케이션 등 다양한 기준에 따라 네트워크 트래픽을 모니터링, 차단, 수정하는 맞춤형 규칙을 정의할 수 있게 API를 제공하기도 한다. 방화벽, 백신 소프트웨어 등 다양한 보안 솔루션에서 활용된다.)

“점점 더 많은 공격자들이 이디알사일런서로 악성 코드 탐지와 제거를 어렵게 만들고 있습니다. 실행 중인 EDR 프로세스를 동적으로 식별하고, 해당 프로세스에서부터 바깥으로 나가는 통신(아웃바운드 통신)을 차단하기도 합니다. 실험을 했을 때, 하드코딩된 목록에 포함되지 않은 프로세스의 통신도 차단하는 것을 알게 됐습니다. 즉, 이 도구가 공격자들에게 있어 꽤나 유용하다는 것입니다.” 트렌드마이크로의 설명이다.

이디알사일런서의 원 제작자는 해커가 아니고, 해킹 범죄를 돕고자 이디알사일런서를 만든 게 아니다. 모든 모의 해킹 도구들이 다 그렇다. “엠디섹(MdSec)의 나이트호크 파이어블록(NightNawk FireBlock)이라는 도구에서 영감을 받아 만들었다고 하죠. 모의 해킹 도구들은 해킹과 유사한 기능을 통해 보완할 부분을 찾고, 실제 보완을 통해 네트워크나 시스템을 더 강하게 만듭니다. 그런데 공격자들은 여기서 ‘보완’이라는 목적성만 빼놓은 채 해킹 도구를 활용합니다.”

이디알사일런서를 공격에 활용할 때 공격자들이 가져가는 이점은 다음과 같다고 트렌드마이크로는 정리한다.
1) EDR 트래픽을 차단함으로써 악성 코드를 숨길 수 있게 된다.
2) 그러므로 악성 코드를 탐지하고 분석하고 제거하는 걸 더 어렵게 만든다.
3) 실행 중인 EDR 프로세스를 식별한다.
4) WFP 필터를 생성해 아웃바운드 네트워크 통신을 차단한다.
5) 4)번 때문에 보안 관련 경고나 데이터를 관리 콘솔로 전송할 수 없게 된다.

이디알사일런서는 명령줄 인터페이스를 가지고 있으며, 다음과 같은 기능을 제공하는 것으로 분석됐다.
- blockedr : 감지된 모든 EDR 프로세스의 트래픽을 자동으로 차단
- block : 특정 프로세스의 경로를 지정해 트래픽 차단
- unblockall : 도구가 생성한 모든 WFP 필터 제거
- unblock : 필터 ID를 지정해 특정 WFP 필터 제거

공격자들의 실제 공격 시나리오
이디알사일런서를 활용한 공격 과정은 다음과 같이 정리된다고 트렌드마이크로는 보고서를 통해 밝혔다.

1) 프로세스 탐색 : 실행되고 있는 EDR 제품 관련 프로세스를 스캔하여 찾아낸다. 그런 후 목록을 작성한다.
2) 실행 : blockedr 명령을 사용해 1)에서 탐지된 프로세스의 트래픽을 차단한다. 혹은 block 명령을 사용하기도 한다.
3) 권한 상승 : WFP 필터를 설정하여 일부 네트워크 통신을 차단한다. 이 필터들은 지속적으로 생성 및 설정되기 때문에 시스템 재부팅 이후에도 살아남는다. 따라서 권한을 유지하는 게 가능하다.
4) 보안 도구 마비 : 피해자의 시스템 내 EDR 솔루션들은 아무런 정보를 콘솔로 전달할 수 없게 되며, 그러므로 사실상 마비된다. 공격자의 악성 행위들이 탐지되지 않은 채 유지될 수 있게 된다.

“이디알사일런서는 결국 보안 기능을 발휘하기 위한 트래픽을 차단하는 게 핵심입니다. 그러므로 악성 행위가 은밀히 이어질 수 있습니다. 랜섬웨어 공격이나 사업 운영 방해 등의 공작이 꾸준히 진행될 수 있게 되는 것입니다. 따라서 이디알사일런서를 활용한 공격을 막으려면 EDR 솔루션에만 기댄 보안 체계를 강화하여 여러 층위의 안전 장치를 마련해야 합니다. 또한 사건이 터진 후에 대응하는 게 아니라, 사건이 터질 것을 예상하여 미리 방비하는 능동적인 자세도 필요합니다.”

트렌드마이크로는 다음과 같은 조치를 추천한다고 보고서를 통해 언급했다.
1) 망분리와 심층 방어
2) 행동 분석 기반 탐지 기능 강화
3) 애플리케이션 화이트리스트 처리
4) 지속적인 네트워크 모니터링
5) 알려진 침해지표 등을 기반으로 한 위협 헌팅 수행
6) 강력한 접근 제어 기술 구축
7) 최소 권한의 원칙 적용

3줄 요약
1. EDR 솔루션을 마비시키는 새 멀웨어 등장.
2. 그런데 이게 멀웨어가 아니라 모의 해킹에 사용되는 오픈소스였음.
3. EDR이 무력화 될 것을 고려한 두터운 방어 체계 필요.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>