Silent Killers Exploit Windows Policy Loophole to Evade Detections and Deploy Malware
Silent Killers Exploit Windows Policy Loophole to Evade Detections and Deploy Malware
Researchers have uncovered a large-scale campaign exploiting a Windows policy loophole to deploy malware while evading detection.
gbhackers.com
- 공격 개요
- Silent Killers라는 이름의 공격 그룹이 Windows 정책 허점을 악용해 악성코드를 배포하고 탐지 회피
- 주요 공격 기법: 구 버전 드라이버(Truesight.sys 2.0.2)의 취약점을 활용해 보안 메커니즘 우회
- 이 드라이버는 Adlice의 RogueKiller Antirootkit 제품군의 일부로, 2,500개 이상의 변종이 디지털 서명되어 탐지 회피
- 공격 방법 및 허점 악용
- 공격자는 Microsoft의 드라이버 서명 정책의 예외를 악용
- 2015년 7월 29일 이전에 서명된 구 버전 드라이버는 최신 Windows 버전에서도 로딩 가능
- 이를 통해 Microsoft의 취약한 드라이버 차단 목록(Vulnerable Driver Blocklist)을 우회
- PE(Portable Executable) 파일 구조를 조작하여 체크섬 필드와 패딩 바이트를 수정
- 디지털 서명 무효화 없이 고유한 파일 해시를 생성하여 해시 기반 탐지 시스템 무력화
- 공격자는 Microsoft의 드라이버 서명 정책의 예외를 악용
- 감염 체인 및 고급 공격 기술
- 초기 악성코드 샘플은 합법적인 애플리케이션으로 위장하여 피싱 캠페인을 통해 배포
- 웹사이트 및 메시징 앱 채널을 통해 사용자를 유인
- 이러한 샘플은 다운로더 역할을 하며 후속 페이로드를 설치
- EDR/AV 킬러 모듈을 통해 엔드포인트 보안 솔루션을 비활성화
- Truesight.sys 드라이버의 IOCTL 코드(0x22E044)를 활용하여 보안 도구를 종료
- 최종적으로 Gh0st RAT 같은 원격 액세스 트로이목마(RAT)를 배포
- 데이터 탈취, 시스템 제어 및 원격 명령 실행 기능 포함
- 초기 악성코드 샘플은 합법적인 애플리케이션으로 위장하여 피싱 캠페인을 통해 배포
- Microsoft의 대응 및 보안 권고
- Microsoft는 2024년 12월 17일, 취약한 드라이버 차단 목록을 업데이트하여 모든 Truesight 드라이버 변종을 포함
- 그러나 자동 업데이트 빈도 낮음으로 인해 수동 업데이트 권장
- 보안 전문가들은 해시 기반 탐지 시스템의 한계를 강조
- 다중 속성 탐지 규칙을 활용하여 알려지지 않은 취약점을 능동적으로 탐색해야 함
- 결론
- 이번 공격은 기존 보안 탐지 시스템의 허점을 보여줌
- 조직은 드라이버 차단 목록을 수동으로 업데이트하고, 이전 시스템의 취약점을 주기적으로 점검해야 함
- DLL 사이드로딩, 암호화된 페이로드, VMProtect 사용과 같은 고급 기술을 활용한 공격에 대비해 강화된 보안 메커니즘 필요
- Microsoft의 블록리스트와 같은 다중 속성 기반 탐지 시스템을 도입하여 기존 해시 기반 탐지의 한계를 보완해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| NHN클라우드 서버 장애로 지자체 홈페이지 마비(2025.02.26.) (0) | 2025.03.09 |
|---|---|
| Black Basta 랜섬웨어 공격 방어 전략 (0) | 2025.03.08 |
| Outlook 스팸 필터 우회해 악성 ISO 파일 배포하는 새로운 해킹 기법 (0) | 2025.03.08 |
| OpenAI o1/o3, DeepSeek-R1, Gemini 2.0 Flash 모델의 H-CoT 기법을 활용한 보안 우회 공격 (0) | 2025.03.08 |
| Auto-Color 악성코드, Linux 시스템을 노려 원격 제어 권한 탈취 (0) | 2025.03.08 |