2,500+ Truesight.sys Driver Variants Exploited to Bypass EDR and Deploy HiddenGh0st RAT
- 공격 개요
- Truesight.sys 드라이버의 취약점을 활용한 대규모 악성코드 캠페인 발견
- EDR(Endpoint Detection and Response) 소프트웨어를 우회하고 HiddenGh0st RAT 악성코드를 배포
- 공격자는 드라이버의 특정 PE(Portable Executable) 부분을 수정하여 2,500개 이상의 변종을 생성
- 디지털 서명을 유지하면서도 해시값을 변경해 탐지를 회피
- 주요 공격 기법: BYOVD (Bring Your Own Vulnerable Driver)
- 취약한 드라이버를 사용해 보안 소프트웨어의 프로세스를 강제 종료
- RogueKiller Antirootkit Driver의 2.0.2 버전 취약점을 악용
- 2023년 11월부터 Darkside, TrueSightKiller 등의 PoC(Proof of Concept) 익스플로잇이 공개됨
- 2024년 3월 SonicWall은 DBatLoader가 truesight.sys 드라이버를 사용해 Remcos RAT을 배포했다고 보고
- 공격 세부 과정
- 1단계: 악성 샘플은 합법적인 애플리케이션으로 위장해 배포
- 2단계: 초기 페이로드가 Truesight.sys 드라이버와 다음 단계 악성코드를 설치
- 3단계: EDR/AV 킬러 모듈을 통해 보안 소프트웨어의 프로세스를 종료
- 4단계: HiddenGh0st RAT을 배포하여 원격 시스템 제어 및 데이터 탈취 수행
- 주요 대상 및 피해 지역
- 전체 피해자의 약 75%가 중국에 집중, 나머지는 싱가포르, 대만 등 아시아 지역에 분포
- 주요 타깃은 고급 위협 그룹 Silver Fox APT와의 관련성이 의심됨
- 감염 벡터: 사기성 웹사이트, 텔레그램 등의 메신저 앱을 통한 악성 샘플 유포
- Microsoft의 대응 및 보안 업데이트
- 2024년 12월 17일 Microsoft는 취약한 드라이버를 차단 목록에 추가
- Microsoft Vulnerable Driver Blocklist와 LOLDrivers 탐지 메커니즘을 우회한 공격 방식 확인
- 공격자는 드라이버의 디지털 서명을 유지하면서도 탐지를 우회할 수 있었음
- 결론
- BYOVD 기법은 취약한 드라이버를 활용해 보안 소프트웨어의 감시를 우회할 수 있음
- EDR/AV 킬러 모듈은 독립적으로 작동 가능, 초기 단계와의 연계 없이도 위험
- 조직 내에서는 다음과 같은 보안 조치를 강화해야 함
- 최신 보안 패치 및 드라이버 차단 목록을 지속적으로 업데이트
- EDR/AV 소프트웨어의 프로세스 보호 기능을 활성화
- 의심스러운 드라이버 설치 시 알림을 받을 수 있는 시스템 모니터링 설정
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
GitHub 리포지토리를 통한 악성코드 배포 캠페인 'GitVenom' 분석 (0) | 2025.03.08 |
---|---|
APAC 산업을 겨냥한 FatalRAT 피싱 공격, 중국 클라우드 서비스 이용 (0) | 2025.03.08 |
악성 npm 패키지, 개발자를 노린 공급망 공격 발생 (0) | 2025.03.08 |
LightSpy 스파이웨어, 100개 이상의 명령으로 제어력 강화 (0) | 2025.03.08 |
벨라루스 연계 Ghostwriter 그룹, Macropack-난독화된 Excel 매크로로 악성코드 배포 (0) | 2025.03.08 |