Kant's IT/Issue on IT&Security
오래된 보안 소프트웨어의 위험성: 악용 사례와 대처 방안
Kant Jo
2024. 12. 1. 19:52
보안 소프트웨어도 지나치게 오래되면 오히려 공격 도구가 된다
보안 소프트웨어도 지나치게 오래되면 오히려 공격 도구가 된다
보안 소프트웨어도 소프트웨어다. 취약점이라는 게 있고, 그것을 익스플로잇 하는 방법들이 있으며, 따라서 공격의 통로가 되기도 한다. 보호를 해야 할 것이 오히려 공격자들을 안내하는 창구
www.boannews.com
- 사건 개요
- 오래된 보안 소프트웨어를 악용한 공격 캠페인 적발
- 공격 대상: 어베스트(Avast)의 안티루트킷 드라이버(aswArPot.sys)
- 정상적이고 합법적인 보안 도구지만, 지원 종료로 취약점 존재
- 공격자들이 이 드라이버를 이용해 높은 권한을 획득하여 시스템 장악
- 공격 과정
- 드로퍼 멀웨어(kill-floor.exe) 배포
- 시스템에 침투 후, 취약한 드라이버 설치
- 드라이버는 "C:\Users\Default\AppData\Local\Microsoft\Windows" 경로에 저장
- 커널 권한 획득
sc.exe를 사용해 드라이버를 서비스로 등록 및 실행- 공격자는 커널 수준 접근 권한 확보
- 보안 프로세스 종료
- 시스템 내 142개의 보안 관련 프로세스를 하드코딩하여 종료
- 피해자 시스템 내 보안 소프트웨어를 무력화
- 드로퍼 멀웨어(kill-floor.exe) 배포
- 공격의 위험성
- 보안 소프트웨어는 시스템의 높은 권한을 요구
- 보호 기능을 수행할 수 있지만, 악용 시 공격자에게 강력한 도구로 전환
- 오래된 드라이버는 지원 종료로 인해 취약
- 정상적인 도구라도 관리되지 않으면 보안 위협으로 작용
- 보안 소프트웨어는 시스템의 높은 권한을 요구
- 보안 권고
- 취약 드라이버 식별 및 차단
- 보안 팀은 특정 드라이버를 서명 또는 해시를 기반으로 식별
- 취약 드라이버를 차단하는 규칙 적용
- 업데이트 및 관리
- 보안 소프트웨어 및 드라이버는 최신 상태 유지
- 오래된 보안 도구를 제거하거나 대체
- 침투 방지 체계 강화
- 멀웨어가 사용하는 경로, 파일명 및 프로세스 모니터링
- 행위 기반 탐지와 머신러닝 도입으로 은밀한 공격 감지
- 취약 드라이버 식별 및 차단
- 결론
- 보안 소프트웨어도 지원 종료와 관리 부재로 인해 공격 도구로 악용 가능
- 정상적이고 신뢰할 만한 도구라도 주기적인 평가와 관리 필요
- "오래된 보안 소프트웨어 = 보안 약점"이라는 인식이 중요하며, 이를 방지하기 위한 체계적인 관리와 대응 전략이 필수적