Kant's IT/Issue on IT&Security

Windows 정책 허점을 악용한 대규모 악성코드 배포 캠페인

Kant Jo 2025. 3. 8. 23:32

Silent Killers Exploit Windows Policy Loophole to Evade Detections and Deploy Malware

 

Silent Killers Exploit Windows Policy Loophole to Evade Detections and Deploy Malware

Researchers have uncovered a large-scale campaign exploiting a Windows policy loophole to deploy malware while evading detection.

gbhackers.com

 

  • 공격 개요
    • Silent Killers라는 이름의 공격 그룹이 Windows 정책 허점을 악용해 악성코드를 배포하고 탐지 회피
    • 주요 공격 기법: 구 버전 드라이버(Truesight.sys 2.0.2)의 취약점을 활용해 보안 메커니즘 우회
    • 이 드라이버는 Adlice의 RogueKiller Antirootkit 제품군의 일부로, 2,500개 이상의 변종이 디지털 서명되어 탐지 회피
  • 공격 방법 및 허점 악용
    • 공격자는 Microsoft의 드라이버 서명 정책의 예외를 악용
      • 2015년 7월 29일 이전에 서명된 구 버전 드라이버는 최신 Windows 버전에서도 로딩 가능
      • 이를 통해 Microsoft의 취약한 드라이버 차단 목록(Vulnerable Driver Blocklist)을 우회
    • PE(Portable Executable) 파일 구조를 조작하여 체크섬 필드와 패딩 바이트를 수정
      • 디지털 서명 무효화 없이 고유한 파일 해시를 생성하여 해시 기반 탐지 시스템 무력화
  • 감염 체인 및 고급 공격 기술
    • 초기 악성코드 샘플은 합법적인 애플리케이션으로 위장하여 피싱 캠페인을 통해 배포
      • 웹사이트 및 메시징 앱 채널을 통해 사용자를 유인
      • 이러한 샘플은 다운로더 역할을 하며 후속 페이로드를 설치
    • EDR/AV 킬러 모듈을 통해 엔드포인트 보안 솔루션을 비활성화
      • Truesight.sys 드라이버의 IOCTL 코드(0x22E044)를 활용하여 보안 도구를 종료
    • 최종적으로 Gh0st RAT 같은 원격 액세스 트로이목마(RAT)를 배포
      • 데이터 탈취, 시스템 제어 및 원격 명령 실행 기능 포함
  • Microsoft의 대응 및 보안 권고
    • Microsoft는 2024년 12월 17일, 취약한 드라이버 차단 목록을 업데이트하여 모든 Truesight 드라이버 변종을 포함
    • 그러나 자동 업데이트 빈도 낮음으로 인해 수동 업데이트 권장
    • 보안 전문가들은 해시 기반 탐지 시스템의 한계를 강조
      • 다중 속성 탐지 규칙을 활용하여 알려지지 않은 취약점을 능동적으로 탐색해야 함
  • 결론
    • 이번 공격은 기존 보안 탐지 시스템의 허점을 보여줌
    • 조직은 드라이버 차단 목록을 수동으로 업데이트하고, 이전 시스템의 취약점을 주기적으로 점검해야 함
    • DLL 사이드로딩, 암호화된 페이로드, VMProtect 사용과 같은 고급 기술을 활용한 공격에 대비해 강화된 보안 메커니즘 필요
    • Microsoft의 블록리스트와 같은 다중 속성 기반 탐지 시스템을 도입하여 기존 해시 기반 탐지의 한계를 보완해야 함