메두사 랜섬웨어 조직, 도난 인증서로 서명된 악성 드라이버 악용해 보안 우회 공격 - 데일리시큐
메두사 랜섬웨어 조직, 도난 인증서로 서명된 악성 드라이버 악용해 보안 우회 공격 - 데일리시
메두사(Medusa) 랜섬웨어 서비스형(RaaS) 운영자들이 도난된 인증서로 서명된 악성 드라이버를 활용해 엔드포인트 보안 솔루션을 우회하는 정교한 공격 수법을 사용하고 있는 것으로 나타났다.보
www.dailysecu.com
- 악성 드라이버 기반 보안 우회 공격
- 메두사 랜섬웨어 조직이 도난된 인증서로 서명된 드라이버 smuol.sys(ABYSSWORKER)를 활용해 보안 솔루션 우회
- 드라이버는 크라우드스트라이크 팔콘 드라이버(CSAgent.sys)를 위장한 형태로 작동
- 중국 소프트웨어 업체의 폐기된 인증서로 서명된 다수 변종이 2024년~2025년 바이러스토탈에 업로드된 정황 확인
- BYOVD(Bring Your Own Vulnerable Driver) 기법 특징
- 공격자가 서명된 취약 드라이버를 직접 시스템에 설치, 보안 기능 무력화 후 랜섬웨어 실행
- ABYSSWORKER 드라이버는 커널 모드에서 파일 삭제, 스레드 종료, 보안 모듈 비활성화, 커널 콜백 제거 등 수행
- EDR 및 안티바이러스 시스템을 사실상 무력화하며, 탐지 회피와 지속적 침투에 유리
- 관련 사례 및 확산
- CheckPoint ZoneAlarm 백신의 vsdatant.sys 드라이버 악용 사례: RDP 접근, 자격 증명 탈취, 메모리 무결성 비활성화
- ConnectWise 보고서에서는 ABYSSWORKER를 nbwdv.sys로 식별한 바 있음
- 랜섬웨어 조직의 도구 고도화 경향
- RansomHub 계열(Greenbottle, Cyclops)에서 신규 백도어 'Betruger' 활용 정황
- Betruger는 키로깅, 스크린샷, 네트워크 스캔, 권한 상승, 자격 증명 탈취 등을 수행하는 통합형 사전 침투 도구
- 기존 Mimikatz, Cobalt Strike 대신 자체 개발 도구 사용으로 탐지 우회 전략 강화
- 보안 권고
- 윈도우 드라이버 블록리스트 및 HVCI(메모리 무결성) 기능 활성화 필요
- 행위 기반 탐지(EDR/XDR)를 통해 드라이버 로딩 이후 이상 행위 실시간 감시 필수
- 도난 인증서로 서명된 드라이버 사용 탐지 체계 정비 및 드라이버 설치 권한 제한
- 보안 솔루션은 커널 수준에서 발생하는 콜백 제거 행위에 대한 탐지 능력 확보 필요
- 결론
- 서명 여부만을 기반으로 한 신뢰 체계의 한계가 명확히 드러난 사례
- 도난 인증서를 통한 악성 드라이버 서명 및 BYOVD 방식은 고도화된 RaaS 위협의 핵심 전술로 부상
- 기업 보안 정책에서 드라이버 행위 기반 정밀 분석체계 및 커널 수준 탐지 강화가 필수적 과제로 부각됨
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 현장에서 쓸 수 있는 AI의 조건: 엣지 케이스(Edge Case) 대응이 핵심 (0) | 2025.05.04 |
|---|---|
| 급증하는 머신 ID, 머신 IAM으로 관리 필요성 대두 (0) | 2025.05.04 |
| 개인정보보호 사각지대: 실효성 부족한 ‘털린 내 정보 찾기’와 개선 과제 (0) | 2025.05.04 |
| 북한 해킹 그룹, K-방산·K-반도체·자동차 산업 정조준 (2) | 2025.05.04 |
| 중국 로봇청소기 개인정보 유출 논란과 IoT 보안인증제도 강화 추진 (0) | 2025.05.04 |