Kant's IT/Issue on IT&Security

2,500개 이상의 Truesight.sys 드라이버 변종을 활용한 EDR 우회 및 HiddenGh0st RAT 배포 공격

Kant Jo 2025. 3. 8. 22:30

2,500+ Truesight.sys Driver Variants Exploited to Bypass EDR and Deploy HiddenGh0st RAT

 

  • 공격 개요
    • Truesight.sys 드라이버의 취약점을 활용한 대규모 악성코드 캠페인 발견
    • EDR(Endpoint Detection and Response) 소프트웨어를 우회하고 HiddenGh0st RAT 악성코드를 배포
    • 공격자는 드라이버의 특정 PE(Portable Executable) 부분을 수정하여 2,500개 이상의 변종을 생성
    • 디지털 서명을 유지하면서도 해시값을 변경해 탐지를 회피
  • 주요 공격 기법: BYOVD (Bring Your Own Vulnerable Driver)
    • 취약한 드라이버를 사용해 보안 소프트웨어의 프로세스를 강제 종료
    • RogueKiller Antirootkit Driver의 2.0.2 버전 취약점을 악용
    • 2023년 11월부터 Darkside, TrueSightKiller 등의 PoC(Proof of Concept) 익스플로잇이 공개됨
    • 2024년 3월 SonicWall은 DBatLoader가 truesight.sys 드라이버를 사용해 Remcos RAT을 배포했다고 보고
  • 공격 세부 과정
    • 1단계: 악성 샘플은 합법적인 애플리케이션으로 위장해 배포
    • 2단계: 초기 페이로드가 Truesight.sys 드라이버와 다음 단계 악성코드를 설치
    • 3단계: EDR/AV 킬러 모듈을 통해 보안 소프트웨어의 프로세스를 종료
    • 4단계: HiddenGh0st RAT을 배포하여 원격 시스템 제어 및 데이터 탈취 수행
  • 주요 대상 및 피해 지역
    • 전체 피해자의 약 75%가 중국에 집중, 나머지는 싱가포르, 대만 등 아시아 지역에 분포
    • 주요 타깃은 고급 위협 그룹 Silver Fox APT와의 관련성이 의심됨
    • 감염 벡터: 사기성 웹사이트, 텔레그램 등의 메신저 앱을 통한 악성 샘플 유포
  • Microsoft의 대응 및 보안 업데이트
    • 2024년 12월 17일 Microsoft는 취약한 드라이버를 차단 목록에 추가
    • Microsoft Vulnerable Driver Blocklist와 LOLDrivers 탐지 메커니즘을 우회한 공격 방식 확인
    • 공격자는 드라이버의 디지털 서명을 유지하면서도 탐지를 우회할 수 있었음
  • 결론
    • BYOVD 기법은 취약한 드라이버를 활용해 보안 소프트웨어의 감시를 우회할 수 있음
    • EDR/AV 킬러 모듈은 독립적으로 작동 가능, 초기 단계와의 연계 없이도 위험
    • 조직 내에서는 다음과 같은 보안 조치를 강화해야 함
      • 최신 보안 패치 및 드라이버 차단 목록을 지속적으로 업데이트
      • EDR/AV 소프트웨어의 프로세스 보호 기능을 활성화
      • 의심스러운 드라이버 설치 시 알림을 받을 수 있는 시스템 모니터링 설정