엔드포인트 보안 우회 기법(2020-2025년) - 기술 심층 분석
소개 및 주요 트렌드(2020-2025년)
지난 5년 동안 위협 공격자들은 엔드포인트 탐지 및 대응(EDR) 및 안티바이러스 도구를 우회, 비활성화 또는 무력화하는 새로운 기술을 공격적으로 개발해 왔습니다. 공격자들은 멀웨어 난독화에만 의존하는 대신 보안 제품 및 운영 체제 기능의 설계 결함을 악용하여 방어를 무력화하는 경우가 점점 더 많아지고 있습니다. 2020년부터 2025년 사이에 주목할 만한 여러 사례에서 랜섬웨어 그룹(예: Babuk, LockBit, BlackByte, AvosLocker)과 APT 공격자(예: ToddyCat)는 설치 프로그램 악용, 취약한 드라이버, DLL 하이재킹, 서비스 조작 등의 전술을 활용하여 EDR/AV 보호를 약화시키는 파일-4pcvlwhk3myukez4vihgenhalcyon.ai를 무력화했습니다. 공격자가 보안 소프트웨어의 자체 기능을 무력화할 수 있다면 방어 기능이 무력화되면 랜섬웨어를 자유롭게 배포하거나 데이터를 훔칠 수 있기 때문에 단순히 EDR 에이전트를 실행하는 것이 만병통치약이 아니라는 것을 보여주는 공격입니다.
요점
“자체 설치 프로그램 가져오기”(BYOI) 악용 - 공격자는 합법적인 보안 제품 설치 프로그램/업데이터를 활용하여 업그레이드 중 제품 자체를 비활성화하거나 processhalcyon.ai를 다시 설치할 수 있는 것으로 나타났습니다. 예를 들어, 2025년에 조사된 사건에서 Babuk 랜섬웨어 운영자는 SentinelOne의 자체 설치 프로그램을 사용하여 변조 방지 기능을 우회하여 엔드포인트가 악성 코드 실행halcyon.ai에 대해 보호되지 않은 상태로 두었습니다. 이 기법은 EDR 에이전트가 업데이트할 때 의도적으로 스스로를 중지하는 기회의 창을 악용합니다.
“취약한 드라이버 가져오기”(BYOVD) 공격 - 합법적이지만 취약한 드라이버를 사용하는 것이 널리 퍼진 EDR 킬러 tactichalcyon.ai가 되었습니다. 랜섬웨어 그룹은 커널 수준 권한을 획득하고 보안 프로세스를 종료하기 위해 알려진 결함이 있는 오래된 서명된 드라이버를 로드하는 도구를 개발하거나 채택했습니다.aihalcyon.ai. 이 방법은 수많은 서비스형 랜섬웨어(RaaS)에서 관찰되었는데, 이는 맞춤형 “EDR 킬러” 악성코드halcyon.ainews.sophos.com에 상당한 투자가 이루어졌음을 나타냅니다.
DLL 하이재킹 및 사이드 로딩 - 지능형 공격자들은 안전하지 않은 DLL 로드 경로를 표적으로 삼거나 신뢰할 수 있는 바이너리를 악용하여 악성 코드를 주입하고 보안 툴을 무력화했습니다. 2024년에 주목할 만한 사례로, 토디캣 APT는 ESET의 명령줄 스캐너의 DLL 로드 취약점을 악용하여 AV 프로세스 내부에 악성 모듈을 로드하여 모니터링 기능을 무력화시켰습니다 보안리스트.comsecurelist.com. 마찬가지로, LockBit 계열사는 Windows Defender의 CLI(
MpCmdRun.exe)를 악용하여 가짜 DLL을 사이드 로드하고 Cobalt Strike 페이로드를 실행하여 정상적인 EDR 탐지를 우회했습니다.entinelone.com.서비스 악용 및 변조 방지 취약점 - 공격자들은 또한 OS 기능과 보안 서비스 보호의 취약점을 악용했습니다. Snatch 및 AvosLocker와 같은 랜섬웨어는 엔드포인트 보호를 회피하기 위해 시스템을 안전 모드(대부분의 보안 소프트웨어가 비활성화된 상태)로 재부팅합니다(news.sophos.comattackiq.com). 2023년에 연구원들은 충분한 권한을 가진 공격자가 EDR의 핵심 프로세스를 일시 중단하여 보호 파일-4pcvlwhk3myukez4vihgen을 효과적으로 비활성화할 수 있는 CrowdStrike Falcon의 논리 결함을 발견하기도 했습니다. 이러한 예는 기본 제공 유지 관리 또는 장애 안전 모드를 조작하여 보안 제어를 해제할 수 있는 방법을 보여줍니다.
아래 섹션에서는 우회 기법의 각 범주(BYOI, BYOVD, DLL 하이재킹, 서비스 어뷰징)에 대해 자세히 설명하며 기술적 메커니즘, 실제 사례, 영향을 받는 공급업체, 대응 방안을 설명합니다. 그런 다음 비교 표(기법 대 벤더, 출현 시기, 완화 방법)를 제공하고 방어자가 엔드포인트 보안 구성을 강화하기 위한 전략적 권장 사항으로 마무리합니다.
자체 설치 프로그램 가져오기(BYOI) - 설치 프로그램을 악용하여 EDR 비활성화하기
“자체 설치 프로그램 가져오기”는 보안 제품의 자체 설치 또는 업그레이드 프로세스를 활용하여 비활성화하는 것을 의미합니다. 최신 EDR/AV 에이전트에는 자체 보호 기능이 있어 특별한 승인 없이 쉽게 종료하거나 제거할 수 없습니다. 그러나 합법적인 업그레이드 또는 재설치 중에 에이전트는 업데이트된 버전을 설치하기 전에 이전 서비스를 의도적으로 중지하거나 제거합니다. 공격자는 수동으로 설치/업그레이드를 시작한 다음 중단하면 제거 암호나 exploithalcyon.aihalcyon.ai 없이도 EDR 서비스를 무기한 중단할 수 있다는 사실을 발견했습니다.
기술적 메커니즘 - 실제로 공격자는 엔드포인트에 대한 권한(관리자) 액세스 권한을 이미 획득한 상태여야 합니다. 그런 다음 동일하거나 약간 이전 에이전트 버전에 대한 공식 EDR 설치 프로그램/업데이터(주로 MSI 또는 설치 실행 파일)를 실행합니다. 설치 관리자는 첫 번째 단계로 실행 중인 EDR 에이전트와 서비스를 종료합니다(업그레이드가 곧 이루어질 것으로 가정)halcyon.ai. 이 시점에서 보호 기능은 오프라인 상태가 됩니다. 그런 다음 공격자는 중요한 순간에 설치 프로그램 프로세스(예: msiexec.exe)를 죽이거나 중단하여 새 에이전트가 설치를 완료하지 못하도록 합니다halcyon.ai. 그 결과 이전 에이전트가 사라지거나 비활성 상태이고 새 에이전트가 실행되지 않아 엔드포인트가 보호되지 않은 채 EDR consolehalcyon.ai에서 “블라인드” 상태로 남게 됩니다. 이는 본질적으로 경쟁 조건으로, 코드 취약점이 아닌 EDR의 자체 업데이트 로직을 악용합니다.
실제 사례 - 2025년 초, Aon의 스트로즈 프리드버그 사고 대응팀은 랜섬웨어를 조사하는 동안 이 BYOI 기법을 발견했습니다. 공격자(Babuk 랜섬웨어 그룹의 계열사)는 공개적으로 노출된 서버를 손상시키고 로컬 관리자에게 에스컬레이션했습니다. 공격자들은 호스트에서 합법적인 SentinelOne Windows 설치 관리자를 실행한 다음 설치 프로세스를 중간에 강제로 종료했습니다. 로그에 따르면 SentinelOne 에이전트가 중지되고 다시 시작되지 않았으며, 이로 인해 관리 콘솔halcyon.ai에서 엔드포인트가 “오프라인"으로 표시되었습니다. 공격자는 보호되지 않은 시스템에 Babuk 랜섬웨어를 배포하여 EDR 간섭 없이 데이터를 암호화했습니다halcyon.ai. 이 BYOI 우회는 여러 버전의 SentinelOne 에이전트에서 작동하는 것으로 확인되었으며 타사 툴킷이나 악성 드라이버가 필요하지 않아 공격자에게 은밀하고 매력적으로 다가갔습니다bleepingcomputer.combleepingcomputer.com.
공급업체 대응 - SentinelOne은 에이전트 업그레이드에 대해 “온라인(로컬) 권한 부여"라는 선택적 기능을 사용하도록 고객에게 조언함으로써 신속하게 대응했습니다. 이 설정(많은 환경에서 기본적으로 비활성화됨)은 모든 로컬 업그레이드/제거를 클라우드 콘솔을 통해 인증하도록 하여 승인되지 않은 설치 프로그램이 실행되는 것을 방지합니다. 센티넬원은 2025년 1월에 이 지침을 비공개로 배포했으며, 이 기법 시도를 식별하기 위해 **“잠재적 BYOI 익스플로잇”**이라는 탐지 규칙(파일-c4uibyf1ko4p8manjxxfhbfile-c4uibyf1ko4p8manjxxfhb)까지 발표했습니다. 로컬 업그레이드 권한이 활성화된 후, Stroz Friedberg는 우회가 더 이상 성공할 수 없음을 확인했습니다파일-c4uibyf1ko4p8manjxxfhb. 이 사례를 계기로 SentinelOne은 다른 EDR 공급업체와 세부 정보를 공유하면서 유사한 로컬 설치/업데이트 메커니즘을 사용하는 모든 엔드포인트 보안 제품이 제대로 보호되지 않으면 위험에 처할 수 있다는 점을 강조했습니다. (주목할 만한 점은 팔로알토의 Cortex XDR은 이와 동일한 flawalcyon.ai의 영향을 받지 않는다고 확인했으며, 이는 해당 에이전트의 업그레이드 프로세스가 다르거나 클라우드 확인이 필요할 수 있음을 시사합니다.)
기타 사례 - 센티넬원/바북 사건으로 BYOI 개념이 널리 알려졌지만, 연구원들은 많은 EDR 및 AV 솔루션이 재설치 중에 유사한 동작을 보인다는 점에 주목했습니다. 예를 들어, 2025년에 한 보안 연구원은 Forcepoint One Endpoint와 같은 제품을 재설치할 때 설치가 중단되면 해당 프로세스가 강제로 종료되고 중단된 상태로 남는다는 사실을 입증했습니다(명백한 설계상의 문제).
. 이는 BYOI가 더 광범위한 종류의 취약점임을 시사합니다: *“인스톨러를 실행하면 정말 보안이 비활성화되어야 하는가?"*라는 질문이 공급업체에 제기되었습니다. 결론은 인스톨러/업데이터는 인증이 필요하고 중요한 보호 공백을 허용하지 않는 등 강력한 검사를 통해 설계되어야 한다는 것입니다. 그렇지 않으면 관리자 액세스 권한을 가진 공격자가 사실상 모든 보안 소프트웨어를 간단히 *‘재설치하여 비활성화’*할 수 있습니다.
취약한 드라이버 가져오기(BYOVD) - 커널 모드 EDR 킬러
취약한 드라이버 가져오기 공격은 알려진 취약점이 포함된 합법적이고 서명된 드라이버를 무기화하여 Windows 커널에서 코드를 실행하고 보안 소프트웨어를 마비시키는 공격입니다. 이 기법은 공격자가 커널 컨텍스트에서 코드를 실행하면 ‘보호된’ EDR 프로세스research.checkpoint.comresearch.checkpoint.com도 우회하거나 종료할 수 있다는 사실을 깨닫게 되면서 2020년부터 인기가 급증하고 있습니다. 멀웨어는 결함이 있는 오래된 드라이버(임의의 커널 메모리 쓰기, 프로세스 종료 또는 보안 메커니즘 비활성화를 허용하는 드라이버)를 로드함으로써 유효한 서명으로 인해 OS에서 드라이버를 신뢰하기 때문에 자체 방어 메커니즘을 트리거하지 않고도 EDR/AV를 효과적으로 비활성화하거나 무력화할 수 있습니다.
기술적 메커니즘 - 공격자는 취약한 드라이버 파일(일반적으로 이전 버전의 합법적인 소프트웨어에 있는 .sys 파일)과 이를 피해 컴퓨터에 로드할 수 있는 능력이 필요합니다. 공격자는 먼저 드라이버와 작은 로더 서비스를 드롭하거나 OS 유틸리티(sc.exe)를 사용하여 드라이버를 설치/시작하는 경우가 많습니다. 일단 커널 권한으로 실행된 취약한 드라이버는 보호된 프로세스를 죽이거나 커널 콜백을 제거하거나 보안 소프트웨어 드라이버를 언로드하는 등의 악의적인 동작을 수행하는 데 악용됩니다(driversasec.ahnlab.comsecurelist.com). 공격자는 커널 모드 액세스를 통해 이러한 프로세스를 종료하거나 일시 중단함으로써 엔드포인트 보호를 무력화합니다. 드라이버는 서명되어 있기 때문에 드라이버 서명 적용 및 차단 목록과 같은 보안 기능이 적용되어 있지 않으면 Windows에서 기본적으로 차단하지 않습니다. 이는 기본적으로 운영 체제를 보안 도구에 대항하는 방법으로, OS는 서명된 드라이버를 신뢰하고 최고 권한 수준에서 모든 작업을 수행할 수 있습니다.
실제 사례 - BYOVD는 다양한 랜섬웨어 제품군 및 위협 행위자에서 관찰되었습니다:
2022년, BlackByte 랜섬웨어 그룹은 취약한 **MSI 애프터버너 드라이버(RTCore64.sys)**를 악용하여 EDR productstechtarget.com을 비활성화하는 것이 발견되었습니다. 이 드라이버(GPU 오버클러킹에 사용)에는 임의의 커널 메모리 수정을 허용하는 알려진 결함(CVE-2019-16098)이 있었습니다. 블랙바이트는 이 드라이버를 활용하여 EDR 제품이 의존하는 커널 인터페이스를 표적으로 삼아 OS 보호 메커니즘을 공격함으로써 보안 툴을 효과적으로 무력화했습니다..comtechtarget.
비슷한 시기에 AvosLocker 랜섬웨어(2022~2023년 FBI/CISA에서 지적)는 합법적인 **Avast 안티 루트킷 드라이버(aswArPot.sys)**를 악용하여 바이러스 백신 소프트웨어trendmicro.com을 비활성화했습니다. AvosLocker 변종은 보안 프로세스를 종료하기 위해 이 오래된 Avast 드라이버(취약한)를 로드하고 defensestrendmicro.com을 무력화한 후 Log4j에 취약한 시스템을 검사하기도 했습니다. 이는 회피를 위해 타사 AV 구성 요소를 사용하는 랜섬웨어가 미국에서 보고된 첫 번째 사례 중 하나입니다.
2023년에는 맞춤형 또는 용도가 변경된 “EDR 킬러” 툴을 사용하는 것이 많은 RaaS 그룹의 표준 전술이 되었습니다. 2023년 초에 최소 3건의 랜섬웨어 사고에 등장한 **“AuKill”**이라는 툴에 대해 Sophos X-Ops는 페이로드를 배포하기 전에 표적의 EDR을 방해하는 데 사용되는 툴에 대해 보고했습니다(news.sophos.comnews.com).sophos. AuKill은 Microsoft의 프로세스 탐색기 유틸리티(PROCEXP.SYS)의 오래된 드라이버를 악용합니다. 이는 양성 도구의 드라이버를 재사용하는 예입니다. 2023년 1월과 2월에 공격자들은 AuKill을 사용하여 EDR을 비활성화한 다음 메두사 락커 랜섬웨어를 실행했고, 또 다른 사례에서는 락빗 랜섬웨어 공격 직전에도 뉴스.sophos.com을 공격했습니다. 특히 이 드라이버 기반 접근 방식은 2021년 중반에 공개된 백스탭이라는 오픈 소스 도구와 동일하며, 이는 위협 행위자들이 공개 개념 증명을 적극적으로 차용하거나 이에 기여하고 있음을 나타냅니다(news.sophos.com).
2024년에 공개된 주요 캠페인에는 위협 행위자가 EDR 킬러 툴을 대규모로 배포하는 것이 포함되었으며, 나중에 초기 랜섬허브 랜섬웨어 조직의 소행으로 밝혀졌습니다. 체크포인트 리서치는 2024년 중반부터 2025년 초까지 2,500개 이상의 취약한 드라이버(TrueSight 안티 루트킷 드라이버 v2.0.2)가 야생에서 EDR을 우회하고 멀웨어 설치를 촉진하는 데 사용되었다는 사실을 발견했습니다(research.checkpoint.comresearch.com).checkpoint. 공격자는 드라이버 파일의 사소한 세부 사항을 교묘하게 수정하여 서명을 유효하게 유지하면서 고유한 해시를 생성하여 해시 기반 탐지를 회피할 수 있었습니다research.checkpoint.comresearchcom.checkpoint.. 또한 Microsoft의 드라이버 차단 목록에 포함되지 않을 만큼 오래된 TrueSight 버전을 선택했습니다(2015년 7월 이전에 서명된 드라이버에 대한 정책 허점을 악용)research.checkpoint.com. 이 캠페인은 피해자의 약 75%가 중국과 아시아 전역에 있는 등 전 세계에 영향을 미쳤으며, 보안을 비활성화한 후 Gh0st RAT 페이로드를 전송하는 경우가 많았습니다.checkpointresearch..comresearchcom.checkpoint..
ESET은 RansomHub에 대한 조사를 통해 (그리고 Halcyon과 같은 다른 조직에 의해 확인된) 이 캠페인halcyon.ai의 배후에 사용자 지정 EDRKillShifter 도구가 있다는 사실을 밝혀냈습니다. EDRKillShifter는 BYOVD 기술을 사용하여 취약한 드라이버를 익스플로잇하며(TrueSight.sys에서 볼 수 있듯이) 랜섬허브의 제휴 프로그램을 통해 턴키 EDR killerhalcyon.ai로 제공되었습니다. 흥미롭게도 2024년 말에는 이 툴이 다른 그룹으로 퍼져나갔습니다. Play, BianLian, 메두사 랜섬웨어 공격에서 동일한 EDRKillShifter가 관찰되어 이들 그룹이 협력하거나 계열사를 공유했음을 시사합니다.shalcyon.ai. 이러한 그룹 간 채택은 일반적으로 사일로화된 랜섬웨어 조직조차도 **광범위한 EDR 제품을 “녹아웃”**시킬 수 있는 기능을 공유하거나 구매할 의향이 있다는 것을 보여 줍니다halcyon.ai.
공급업체에 미치는 영향 - BYOVD 공격은 일반적으로 피해 시스템에 존재하는 모든 EDR/AV를 표적으로 삼습니다. 취약한 드라이버는 프로세스나 서비스를 이름으로 종료하도록 지시할 수 있으므로 단일 도구로 수십 개의 서로 다른 보안 제품을 종료할 수 있습니다. 연구자들은 랜섬허브 EDR킬시프터 사례에서 이 툴이 주요 AV 엔진부터 최고의 EDR suiteshalcyon.aihalcyon.ai에 이르기까지 *“엄청난 범위의 EDR 툴”*을 무력화할 수 있다고 지적했습니다. 커널 멀웨어가 활성화되면 자체 방어, 프로세스 후킹 또는 코드 삽입 방지와 같은 사용자 모드 보호 기능을 효과적으로 우회하며 **보호 프로세스(PPL)**도 익스플로잇을 통해 종료하거나 조작할 수 있습니다. 요컨대, 특정 취약 드라이버가 차단되지 않으면 어떤 벤더도 안전하지 않습니다. 한 보고서에 따르면 “보안 도구, 심지어 최고 비용을 지불한 멋진 EDR 시스템(halcyon.aihalcyon.ai)까지 종료시킬 수 있다"고 합니다. 공급업체들은 악성 드라이버의 차단 목록을 유지하고 이러한 공격에 대한 행동 탐지를 추가하는 방식으로 대응해야 했습니다(완화 방법에서 나중에 설명).
공급업체의 완화 조치 - BYOVD에 대응하기 위해 보안 공급업체와 OS 공급업체는 여러 전략을 사용하고 있습니다. Microsoft는 알려진 악성 드라이버의 로드를 방지하기 위해 Windows 취약 드라이버 차단 목록(Windows Defender 응용 프로그램 제어에서 사용 및 HVCI와 같은 기능을 통해 사용)을 유지 관리합니다. TrueSight.sys 캠페인이 공개된 후, Microsoft는 2024년 12월에 이 차단 목록을 업데이트하여 발견된 모든 변종을 포함하도록 드라이버research.checkpoint.com을 업데이트했습니다. ESET과 같은 EDR 공급업체는 이러한 공격에 사용되는 도구를 *“잠재적으로 안전하지 않은 애플리케이션”*으로 분류하고 취약한 드라이버가 로드되는 것을 탐지하거나 차단합니다(파일-4pcvlwhk3myukez4vihgen). 예를 들어, ESET의 규칙은 멀웨어가 엔드포인트파일-4pcvlwhk3myukez4vihgen에 비정상적인 드라이버를 설치하려고 시도하는 경우 “로드된 드라이버(로드되지 않은 위치에서)” 또는 “알려진 취약한 드라이버 로드"와 같은 이벤트를 플래그하여 방어자에게 경고할 수 있습니다. 방어자의 핵심은 이러한 보호 기능(예: 드라이버 차단 목록, 고급 메모리/동작 모니터링)을 활성화하는 것입니다. BYOVD는 현재까지 가장 강력한 EDR 우회 기법 중 하나이기 때문입니다.
DLL 하이재킹 및 사이드 로딩 - 신뢰를 무너뜨리는 악성 코드 삽입
EDR 회피의 또 다른 유형으로는 DLL 하이재킹(DLL 사이드 로딩 또는 프록시라고도 함)이 있습니다. 이러한 공격에서 공격자는 취약한 검색 경로를 악용하거나 신뢰할 수 있는 서명된 바이너리를 오용하여 악성 DLL을 로드하는 등 애플리케이션이 라이브러리를 로드하는 방식을 이용합니다. 공격자의 궁극적인 목표는 상승된 권한으로 또는 보안 프로세스 자체 내에서 합법적인 프로세스로 위장하여 공격자 코드를 실행함으로써 탐지를 회피하거나 보안 도구를 적극적으로 방해하는 것입니다.
메커니즘 - Windows 애플리케이션은 일련의 디렉터리를 검색하여 DLL을 로드하는 경우가 많습니다. 애플리케이션이 경로를 안전하게 지정하지 않거나 “현재 디렉토리"를 먼저 찾는 경우, 공격자는 실제 디렉터리 대신 로드되는 디렉터리에 동일한 이름의 악성 DLL을 심을 수 있습니다(예: securelist.com). 이는 전형적인 DLL 하이재킹입니다. 또는 일부 멀웨어는 특정 DLL을 로드하는 것으로 알려진 서명되고 신뢰할 수 있는 바이너리(“LOLBin”)를 사용하는데, 공격자는 악성 DLL을 예상 위치에 배치하여 서명된 EXE가 실행될 때 실수로 공격자의 코드를 로드하도록 합니다. 그 결과 보안 제어에서 화이트리스트로 지정하거나 신뢰할 수 있는 프로세스 내부에서 악성 코드가 실행됩니다.
ESET 사례 - 토디캣의 DLL 프록시: 2024년에 토디캣 APT(스파이 그룹)가 AV 자체를 표적으로 삼는 DLL 하이재킹의 대표적인 예가 발견되었습니다. 카스퍼스키에 따르면 ToddyCat은 **ESET의 명령줄 스캐너(ecls.exe)**에서 취약점을 발견했는데, 이 프로그램은 시스템 경로보안리스트.com 이전에 작업 디렉토리에서 version.dll을 로드하려고 시도했습니다. 공격자는 ESET 스캐너 바이너리와 함께 악성 DLL(버전.dll로 명명)을 드롭했습니다. ESET 도구가 실행되면(공격자가 직접 또는 일부 예약된 작업을 통해) 정상적인 Windows version.dllsecurelist.com 대신 악성 DLL이 로드됩니다. 이로 인해 악성 코드(“TCESB"라고 불리는 페이로드)는 ESET 스캐너 프로세스와 동일한 권한과 신뢰성을 갖게 되었습니다. 일단 ESET의 안티바이러스 프로세스의 컨텍스트에서 로드된 TCESB DLL은 커널 구조를 수정하여 보안 알림을 비활성화합니다(예: 프로세스 생성 또는 모듈 로드 이벤트를 보안 소프트웨어 보안 목록에 보고하는 콜백을 해제하는 것). 즉, 토디캣은 ESET의 자체 프로세스를 탈취하여 탐지되지 않고 작동할 수 있는 사각지대를 만든 것입니다. 이는 CVE-2024-11859로 지정될 정도로 심각한 문제였으며, ESET은 2025년 1월에 소프트웨어보안리스트닷컴의 DLL 로드 동작을 수정하는 패치를 발표했습니다.
락빗 사례 - 랜섬웨어의 생활: 랜섬웨어 공격자들은 또한 Windows의 자체 보안 바이너리와 함께 사이드 로딩을 사용했습니다. 센티넬원 연구원들은 2022년 중반에 LockBit 계열사가 Microsoft Defender 명령줄 도구인 MpCmdRun.exesentinelone](https://www.sentinelone.com/blog/living-off-windows-defender-lockbit-ransomware-sideloads-cobalt-strike-through-microsoft-security-tool/#:~:text=In%20this%20post%2C%20we%20follow,and%20load%20Cobalt%20Strike%20payloads)[.com을 악용하는 것을 관찰했습니다. 이들은 이 합법적인 Defender 실행 파일을 가짜 DLL(MpClient.dll)과 페어링했습니다. 공격자가 명시적으로 MpCmdRun.exe를 실행하면 악성 DLL을 해독하고 로드합니다. 이 경우 DLL에는 코발트 스트라이크 비콘을 메모리 센티넬원닷컴에 주입하는 셸코드가 포함되어 있습니다. 공격자에게 이 방법의 장점은 Microsoft가 서명한 바이너리가 작업을 수행하기 때문에 특정 애플리케이션 제어 또는 휴리스틱 검사를 우회하여 악성 코드를 실행하는 데 Defender의 자체 바이너리가 사용되었다는 점입니다. EDR의 관점에서 보면 Windows Defender의 서비스가 일상적인 작업을 수행하는 것처럼 보일 수 있지만, 실제로는 공격자의 임플란트entinelone.comsentinelone.com을 실행하기 위해 하이재킹된 것입니다.
기타 사례 - DLL 사이드 로딩은 특히 국가가 후원하는 그룹에서 오랫동안 사용되어 온 기법입니다. 모든 인스턴스가 EDR을 직접적으로 비활성화하는 것은 아니지만 멀웨어가 신뢰할 수 있는 프로세스에 혼합되도록 도와줍니다. 예를 들어, 다른 랜섬웨어 제품군에서는 동작 모니터링 센티넬원닷컴을 우회하는 방법으로 VMware 유틸리티, Microsoft 시시인터널 도구 또는 오래된 소프트웨어 설치 프로그램과 같은 도구를 통해 악성 DLL을 사이드 로딩합니다. EDR 우회 맥락에서 중요한 차이점은 사이드 로딩이 보안 툴을 손상시키는 데 사용되는지 아니면 단순히 멀웨어를 은밀하게 실행하는 데 사용되는지 여부입니다. ESET/ToddyCat의 경우, 명백하게 ESET의 보호 기능을 손상시키기 위한 것이었습니다. 다른 많은 경우(LockBit 포함)에서 사이드 로딩은 EDR을 완전히 죽이기보다는 탐지를 회피하기 위해(신뢰할 수 있는 호스트 프로세스에서 코드를 실행하기 위해) 더 많이 사용됩니다. 그러나 두 가지 목표는 서로 연관되어 있습니다. 신뢰할 수 있는 프로세스 내부에서 실행함으로써 악성 코드는 종종 조사를 피하거나 EDR의 후크가 효과가 없는 환경에서 작동하여 엔드포인트 방어를 효과적으로 우회할 수 있습니다.
완화 - DLL 하이재킹을 방지하려면 공급업체의 조치와 방어적 모니터링이 모두 필요합니다. 소프트웨어 공급업체는 애플리케이션이 안전하지 않은 DLL 경로를 로드하지 않도록 해야 합니다(예: 항상 시스템 디렉터리에서 시스템 DLL을 로드하거나 안전한 기능을 사용). 토디캣 사고에서 ESET의 신속한 패치는 ecls.exe가 version.dllsecurelist.com을 로드하는 방식을 변경하여 취약점을 차단했습니다. 방어자 측면에서는 Microsoft의 ASR(공격 표면 감소) 규칙과 같은 기능을 활성화하면 비정상적인 사이드 로딩을 차단하거나 플래그를 지정할 수 있습니다(예: Microsoft Defender에는 서명되지 않은 DLL이 민감한 프로세스에 로드되는 것을 방지하는 규칙이 있음). EDR 솔루션 자체에서 알려진 사이드 로딩 패턴(예: 서명된 도구가 임시 폴더에서 예기치 않은 DLL을 로드하는 경우)을 모니터링할 수 있습니다. 실제로 방어자는 정상적인 프로세스가 비정상적인 디렉토리에서 시작되거나 예기치 않은 DLL 파일과 함께 시작되는 경우 사이드 로드 설정을 나타내는 경우가 많으므로 이를 주의 깊게 관찰해야 합니다. LockBit 예시에서 비정상적인 경로에서 MpCmdRun.exe가 실행되거나 네트워크 연결을 생성하는 것은 사이드 로딩 공격의 단서가 될 수 있습니다.
서비스 남용 및 변조 - 시스템 도구 및 모드를 악용하여 보호 기능 비활성화하기
이 범주에는 공격자가 코드 취약점을 악용하지 않고도 운영 체제 또는 보안 소프트웨어의 서비스 제어 메커니즘을 조작하여 EDR/AV를 끄거나 회피하는 다양한 기법이 포함됩니다. 이러한 기법 중 일부는 수년 전부터 사용되었지만 최근 공격에서 진화하거나 다시 등장했습니다.
안전 모드(재부팅 악용) - 많은 엔드포인트 에이전트는 Windows 안전 모드(기본 드라이버만 로드되는 진단 모드)에서 실행되지 않습니다. 랜섬웨어 그룹은 이 점을 악용하여 감염된 시스템을 안전 모드로 강제 재부팅하여 보안 소프트웨어 실행 없이 악의적인 작업을 수행합니다(runningnews.sophos.com). Snatch 랜섬웨어는 2019년 말경 안전 모드로 재부팅하라는 명령과 함께 자신을 서비스로 설치하고 레지스트리 “실행” 키를 추가하여 프로세스(암호화기)가 bootnews.sophos.comnews.sophos.com의 안전 모드에서 시작되도록 하는 이 방법을 처음 대중화했습니다. 시스템이 최소한의 환경에서 다시 시작되면 Snatch는 안티맬웨어 서비스가 비활성화된 상태에서 파일 암호화를 시작하여 protectionnews.sophos.com을 우회했습니다. 이 기법은 이후에도 계속 나타났습니다. 예를 들어, 2023년에는 AvosLocker가 유사한 안전 모드 암호화 stepattackiq.com을 사용하는 것이 관찰되었습니다. 이를 통해 공격자는 에이전트가 시작되지 않기 때문에 에이전트 자체 방어를 무효화하고 안전 모드에서 보안 소프트웨어 파일을 변조하거나 제거할 수도 있습니다. 유일한 제약 조건은 공격자가 자동 재부팅 및 서비스를 구성할 수 있는 충분한 권한을 가지고 있어야 한다는 점이며, 공격의 후반 단계에 이르러 공격자가 이를 수행하는 경우가 많습니다.
OS 도구(sc, net 등) 악용 - 공격자는 관리자 액세스 권한이 있으면 서비스 제어 관리자(sc.exe) 또는 net 중지 명령을 사용하여 보안 서비스를 중지하거나 Windows 레지스트리를 수정하여 서비스가 시작되지 않도록 하는 등 직접 변조를 시도할 수 있습니다. 대부분의 최신 EDR은 이러한 작업을 차단하기 위해 제거 암호를 요구하거나 서비스가 변조되는지 감지하는 등의 자체 보호 기능을 갖추고 있지만 이러한 보호 기능은 때때로 무력화될 수 있습니다. 일부 공격자는 PowerShell 스크립트 또는 WMI를 사용하여 레지스트리 키 또는 PowerShell Set-MpPreference cmdlet을 통해 Microsoft Defender의 실시간 모니터링을 해제하는 등 보안 기능을 비활성화하려고 시도합니다. 기업 환경에서는 Microsoft Defender의 변조 방지(활성화된 경우)가 이러한 설정을 잠그지만, 초기에는 모든 조직에서 이 기능을 기본으로 사용하도록 설정한 것은 아닙니다. 따라서 Defender 비활성화를 시도하는 단계가 포함된 멀웨어(및 코발트 스트라이크 플레이북)를 발견했습니다. 이러한 시도의 성공 여부는 다양하지만, 이러한 스크립트가 널리 퍼져 있다는 것은 공격자가 보호 기능이 꺼지거나 약화될 수 있는 잘못된 구성을 탐색한다는 것을 보여줍니다.
에이전트 취약점 악용 - 때때로 보안 에이전트 자체에 공격자가 악용하여 비활성화할 수 있는 버그가 있는 경우가 있습니다. 2023년에 발생한 크라우드스트라이크 팔콘 사건이 대표적인 예입니다. 자세한 내용은 완전히 공개되지는 않았지만, 이 사건의 논리적 결함으로 인해 Falcon의 프로세스 파일-4pcvlwhk3myukez4vihgen이 중단될 수 있었다고 설명되었습니다. 이는 공격자가 특정 명령을 실행하거나 특정 방식으로 에이전트를 조작하면(권한을 획득한 후) Falcon 센서를 일시 중지하거나 충돌시킬 수 있음을 시사합니다. 크라우드스트라이크는 이 quickfile-4pcvlwhk3myukez4vihgen을 패치한 것으로 추정되지만, 최고 수준의 EDR 플랫폼에도 공격자가 공개할 경우 공격자가 포착할 수 있는 에지 케이스 취약점이 있을 수 있다는 점을 강조합니다. 또 다른 예로는 로컬 권한 상승을 허용하고 제품을 중단시키는 데 악용될 수 있는 2022년 트렌드마이크로 Apex One의 취약점이 있지만 위의 기법에 비해 흔한 사례는 아닙니다.
생활 속 악용 - 공격자는 안전 모드 외에도 합법적인 관리 도구 또는 OS의 모드를 사용하여 보안을 회피합니다. 이러한 수법 중 하나는 ‘시스템 복구’ 또는 복구 환경을 사용하는 것입니다. 예를 들어, 공격자는 컴퓨터를 Windows 복구 환경으로 부팅하거나 MSConfig와 같은 도구를 사용하여 최소 부팅을 설정한 다음 EDR이 로드되지 않을 때 파일을 암호화할 수 있습니다. 일부 랜섬웨어(예: 2022년 블랙 바스타)는 제어를 우회하기 위해 최소한의 상태로 부팅하는 전략을 사용한 것으로 알려졌습니다(안전 모드와 유사). 공격자들은 또한 HyperVisor 또는 가상 머신을 악용하기도 했습니다(2020년에는 호스트 기반 EDR을 회피하기 위해 호스트의 VirtualBox 가상 머신 내에서 랜섬웨어를 실행한 것으로 유명한 RagnarLocker가 있었습니다). 이는 다른 범주(가상화 기반 회피)에 속하지만, 시스템 기능을 악용하여 보안 소프트웨어를 우회하는 창의성을 보여줍니다.
실제 영향 - 서비스 악용 기법은 재부팅, 서비스 중단 명령 등 노이즈가 발생하는 경향이 있지만, 성공하면 완전한 방어 우회로 이어집니다. 안전 모드가 사용된 사고에서 조직은 엔드포인트가 EDR 콘솔에서 오프라인 상태가 되었다가 다시 돌아왔지만 모든 데이터가 암호화된 상태에서 발견되는 등 사후에야 이를 알게 되는 경우가 많았습니다. Snatch 공격은 2019/2020년 말에 이에 대한 경고를 불러일으켰으며, 2023년까지 AvosLocker의 사용은 여전히 많은 벤더attackiq.com에 대해 효과적이라는 것을 재확인했습니다. 기본적으로 공격자가 보안 에이전트를 일시적 또는 영구적으로 종료할 수 있는 모든 시나리오는 해당 엔드포인트의 보호를 위한 게임 오버입니다. 이는 변조 방지 기능이 강력해야 한다는 것을 극명하게 보여줍니다. 관리자 수준의 멀웨어가 레지스트리 또는 서비스 제어를 통해 제품을 쉽게 비활성화할 수 있다면, 그 멀웨어는 정확히 그렇게 할 것입니다(많은 익스플로잇 후 키트가 이를 시도합니다). 이러한 ‘트릭’에 대한 공격자의 지식과 이를 방지하거나 탐지하기 위한 공급업체의 완화 기능 간의 군비 경쟁이 벌어지고 있습니다.
완화 - 방어자는 서비스 악용 전략을 완화하기 위해 여러 단계를 수행할 수 있습니다. 예를 들어 레지스트리/서비스 변경을 차단하는 Microsoft Defender의 변조 방지 기능 또는 무단 언로드를 방지하는 다른 EDR의 유사한 기능 등 EDR/AV 변조 방지 기능을 사용하도록 설정하는 것이 중요합니다. 일부 EDR 제품은 ‘안전 모드에서 부팅하는 데 암호 필요’ 또는 엔드포인트가 예기치 않게 안전 모드로 전환되는 경우 경고를 보내는 기능을 제공합니다. 가능한 경우 이러한 기능을 활성화해야 합니다. 또한 보안 서비스나 드라이버의 갑작스러운 중단을 모니터링하면 진행 중인 공격을 탐지할 수 있습니다. 대부분의 EDR 관리 콘솔은 에이전트가 통신을 중단하면 플래그를 표시합니다. IT 정책 관점에서 로컬 관리자 계정을 제한하고 자격 증명 계층화를 사용하면 공격자가 이러한 작업을 시도하기 어렵게 만들 수 있습니다. 궁극적으로 방어자는 예기치 않은 보안 에이전트 종료 또는 호스트가 안전 모드로 전환되는 것을 잠재적 침해의 징후로 간주하고 즉시 대응해야 합니다.
다음 섹션에서는 이러한 회피 기법이 여러 공급업체에 어떻게 매핑되는지, 출현 시기, 이에 대응할 수 있는 완화 방법을 표 형식으로 비교 요약하여 설명합니다.
기술 대 영향을 받는 공급업체(2020-2025년)
아래 표에는 각 우회 기법 범주가 영향을 받거나 표적이 된 보안 공급업체 또는 제품의 예와 함께 요약되어 있습니다. 이는 어떤 벤더도 완전히 자유로울 수 없으며, 특정 안전장치를 마련하지 않는 한 이러한 기법이 광범위하게 적용될 수 있음을 보여줍니다.
| 회피 기술 | 영향을 받는 엔드포인트 보안 공급업체(예시) |
|---|---|
| BYOI - 설치 프로그램 남용 | SentinelOne: 에이전트 업그레이드 프로세스 악용(Babuk 랜섬웨어, 2025)halcyon.aihalcyon.ai. (“온라인 인증” 기능을 통해 SentinelOne이 수정 사항을 발표했습니다)halcyon.ai. 또한 잠재적으로: 로컬 설치 프로그램을 사용하는 다른 EDR(예: 연구자들은 Forcepoint 및 기타 EDR도 재설치를 통해 유사하게 우회할 수 있음을 보여주었습니다). 이는 재설치를 위해 인증을 요구하지 않는 모든 공급업체에 영향을 미칠 수 있는 설계 문제입니다. |
| BYOVD - 취약한 드라이버 | 여러 공급업체: BYOVD 툴은 모든 주요 EDR/AV 벤더의 프로세스를 종료합니다(존재하는 경우). 예를 들어 Sophos, CrowdStrike, SentinelOne, Carbon Black, Microsoft Defender 등은 모두 드라이버 기반 EDR ‘킬러’의 표적이 되고 있습니다”halcyon.aihalcyon.ai. BlackByte (2022): MSI 애프터버너 드라이버(CVE-2019-16098)를 악용하여 EDR을 우회함(techtarget.com). 랜섬허브 EDR킬시프터 (2024): 취약한 드라이버를 사용하여 수십 개의 EDR/AV 프로세스를 죽입니다(SentinelOne, Microsoft, Trend Micro 등을 죽이는 것이 관찰됨)halcyon.aihalcyon.ai. LockBit/Medusa (2023): 프로세스 익스플로러 드라이버를 사용하여 EDR을 비활성화(피해자의 EDR이 무엇이든 영향을 받음, 다른 EDR로 보고된 사례)news.sophos.com. |
| DLL 하이재킹/사이드 로딩 | ESET: ESET의 명령줄 스캐너의 취약점으로 인해 DLL 하이재킹(토디캣 APT, 2024)이 허용됨 - 악성 DLL이 ESET 프로세스에 로드되어 itsecurelist.com을 비활성화합니다. ESET에서 패치 (CVE-2024-11859)securelist.com. Microsoft Defender: LockBit 랜섬웨어 계열사가 Defender의 MpCmdRun.exe를 악용하여 악성 DLL을 사이드 로드하여 Microsoft가 서명하는 processsentinelone.com에서 멀웨어 실행을 가능하게 합니다. 기타: 많은 벤더의 제품(및 기타 신뢰할 수 있는 소프트웨어)이 공격자(예: 다양한 APT 사례에서 업데이트 또는 보조 도구를 통해 TrendMicro, Kaspersky, Sophos)의 DLL 사이드 로딩에 사용되었습니다. 이 기술은 특정 공급업체에 국한된 것이 아니라 Windows가 DLL을 로드하고 서명된 바이너리를 신뢰하는 방식을 악용합니다. |
| 서비스 남용 및 변조 | CrowdStrike: 공격자가 서비스의 결함을 통해 센서를 일시 중단/비활성화할 수 있는 Falcon EDR 에이전트 취약점(2023년에 공개됨)이 발견되어 보호 파일-4pcvlwhk3myukez4vihgen을 약화시켰습니다. 발견 즉시 CrowdStrike에 의해 패치됨file-4pcvlwhk3myukez4vihgen. 모든 EDR(안전 모드): 특별히 다르게 설계되지 않은 한 모든 EDR은 안전 모드에서 작동하지 않습니다. Snatch(2020) 및 AvosLocker(2023)와 같은 랜섬웨어는 Sophos, Defender 등이 비활성 상태인 동안 안전 모드로 컴퓨터를 재부팅하여 파일을 암호화함으로써 이 점을 악용했습니다.sophos.comattackiq.com. 이는 일반 모드 드라이버에 의존하는 모든 공급업체에 영향을 미칩니다. Microsoft Defender: 공격자는 종종 PowerShell 또는 레지스트리 조정을 사용하여 (변조 방지 기능이 꺼져 있는 경우) Defender의 실시간 보호를 해제하려고 시도합니다. 변조 방지 기능이 없으면 로컬 관리자 멀웨어가 OS 설정을 통해 Defender를 비활성화할 수 있습니다(2020~2022년 많은 멀웨어 플레이북에서 볼 수 있음). 2019년 말부터 엔터프라이즈에서 기본으로 설정된 Microsoft의 Tamper Protection은 이러한 문제를 완화하지만 모든 조직에서 처음에 이 기능을 사용하도록 설정한 것은 아닙니다. Sophos EDR: 다른 멀웨어와 마찬가지로 멀웨어가 관리자 권한을 획득하면 Sophos 서비스를 언로드하거나 종료하려고 시도할 수 있습니다. Sophos는 강력한 자체 방어 기능을 갖추고 있지만 랜섬웨어 ‘킬 리스트’와 같은 사고가 발생하면 Sophos 프로세스가 종료될 수 있습니다. (알려진 공개 익스플로잇은 없지만, 예를 들어 LockBit의 내장 프로세스 킬러는 SophosSAVService.exe 등을 나열합니다.) 일반적으로 서비스 중단 시도는 모든 주요 공급업체를 공격하며, 성공 여부는 각 제품의 변조 방지 강도에 따라 달라집니다. |
회피 기술 출현 타임라인 (2020-2025)
이 타임라인은 주요 우회 기법이나 캠페인이 처음 관찰된 시기와 2020년에서 2025년 사이에 어떻게 진화했는지를 보여줍니다:
| 기간 | 회피 기술 및 주목할 만한 사건 | 세부 정보 및 영향 |
|---|---|---|
| 2019년 말~2020년 | 안전 모드 랜섬웨어(스내치) news.sophos.com 서비스 남용 | Snatch 랜섬웨어는 Windows를 안전 모드로 재부팅하여 EDR/AV 없이 파일을 암호화합니다(runningnews.sophos.com). 2019년 10월 처음 발견, 2020년에도 지속. 대부분의 보안 도구가 안전 모드에서 로드되지 않아 멀웨어가 자유롭게 활동할 수 있는 설계상의 허점을 노렸습니다. Sophos는 이를 보호 기능을 우회하는 새로운 기법으로 보고하여 업계의 경각심을 불러일으켰습니다. |
| 2021 | 오픈 소스 EDR 킬러(백스탭) news.sophos.com BYOVD | 백스탭 도구가 출시(2021년 6월)되어 Process Explorer의 drivernews.sophos.com을 사용한 BYOVD 공격을 시연했습니다. 이는 공개적으로 사용 가능한 최초의 EDR 킬러 PoC 중 하나로, 이후 랜섬웨어의 채택을 예고했습니다. 공격자들은 드라이버 기반 킬을 실험하기 시작했지만, 2021년에는 주로 테스트/레드팀 맥락에서 볼 수 있었습니다. |
| 2022 (Q3) | 블랙바이트의 BYOVD 공격 techtarget.com BYOVD | BlackByte 랜섬웨어 운영자는 침입 중에 서명된 취약한 드라이버(MSI 애프터버너의 RTCore64.sys)를 배포하여 EDRtechtarget.com을 비활성화합니다. (CVE-2019-16098 익스플로잇). 이 랜섬웨어는 최초의 주목할 만한 BYOVD 사례 중 하나이며(2022년 10월) Sophos와 미디어에 의해 공개되었습니다. 이 사례는 범죄 그룹이 EDR productstechtarget.com의 커널 인터페이스를 공격하기 위해 BYOVD를 채택했음을 보여주었습니다. |
| 2022 (Q4) | 랜섬웨어 EDR ‘킬러’ 등장 news.sophos.com BYOVD | 여러 랜섬웨어 그룹이 맞춤형 또는 탈취한 드라이버를 사용하여 EDR/AV 프로세스를 무력화하기 시작합니다. 2022년 말, Sophos, Microsoft, Mandiant 등은 악성 드라이버(일부는 인증서를 도용한)를 사용하여 보안을 우회하는 공격자들에 대해 보고했습니다(securitynews.sophos.com). 예를 들어, 블랙캣 사건에서 발견된 ‘POORTRY‘라는 이름의 드라이버 등이 주목받았습니다. 이 파동으로 인해 공급업체는 Microsoft와 협력하여 인증서를 해지하고 차단 목록을 업데이트했습니다. |
| 2022 (7월) | LockBit 사이드 로드 디펜더 sentinelone.com DLL 사이드 로딩 | LockBit 3.0 계열사가 Windows Defender의 MpCmdRun.exe를 사용하여 악성 DLL을 사이드로드하고 Cobalt Strike beaconsentinelone.com의 암호를 해독하는 것이 관찰되었습니다. (2022년 7월 보고된 사건). 보안 툴을 로더로 악용한 이 혁신적인 사례는 위협 공격자들이 보안 프로세스 내에서 우회로를 모색하고 있다는 신호였습니다. EDR을 직접 비활성화하지는 않았지만 신뢰할 수 있는 바이너리를 사용하여 탐지를 회피했습니다. |
| 2023년(1월~2월) | 랜섬웨어 공격으로 인한 AuKill news.sophos.com BYOVD | 2023년 초에 EDR을 비활성화한 후 메두사 락커와 락빗 랜섬웨어를 배포하는 등 최소 3건의 사례에서 AuKill 멀웨어(오래된 프로세스 탐색기 드라이버를 사용하는 BYOVD 도구)가 사용되었습니다. 이는 EDR 킬러의 상품화, 즉 서로 다른 RaaS 프랜차이즈의 계열사들이 동일한 툴을 확보하고 있음을 보여줍니다. Sophos는 2023년 4월에 드라이버 기반 공격의 증가를 강조하는 세부 정보를 발표했습니다..sophos.comnews. |
| 2023년(중반) | 크라우드스트라이크 팔콘 취약점 파일 -4pcvlwhk3myukez4vihgen 서비스 결함 | 관리자 액세스 권한을 가진 공격자가 CrowdStrike Falcon의 취약점**(2023년 중반 공개)을 통해 Falcon 센서 프로세스 파일-4pcvlwhk3myukez4vihgen을 일시 중단하거나 중단시킬** 수 있었습니다. 자세한 내용은 알려지지 않았지만(의도된 설계라기보다는 버그일 가능성이 높음), 주요 EDR조차도 자체 보호를 유지하기 위해 로직 결함을 패치해야 한다는 점을 강조했습니다. 크라우드스트라이크는 수정 사항을 발표했지만 멀웨어에 의한 광범위한 악용 사례는 공개적으로 보고되지 않았지만 POC가 존재했을 수 있습니다. |
| 2023년(후기) | 안전 모드 리덕스(AvosLocker) 공격아이큐닷컴 서비스 남용 | 2023년 FBI/CISA의 권고에 따르면 안전 모드 트릭을 사용하여 securityattackiq.com을 비활성화하는 AvosLocker 랜섬웨어에 대해 언급했습니다. 이를 통해 새로운 랜섬웨어 변종들이 Snatch가 개척한 전술을 채택하고 있음을 확인할 수 있었습니다. 지금까지 여러 랜섬웨어 계열(Snatch, BlackBasta, AvosLocker)이 재부팅을 통해 EDR을 우회하는 변종을 사용했으며, 이는 여전히 실행 가능한 우회 방법임을 나타냅니다. |
| 2024년(중반) | 랜섬허브의 EDR킬시프터 출시 halcyon.ai BYOVD | 랜섬허브 조직은 2024년 5월경에 맞춤형 EDR 킬러인 EDRKillShifter를 출시했습니다(welivesecurity.comwelivesecurity.com). 2024년 내내 이 툴은 공격이 급증했고, 2024년 8월에는 랜섬허브 오퍼레이션할시온.ai와 확고하게 연관되었습니다. 몇 주 만에 계열사들은 다른 랜섬웨어(Play, BianLian 등)에서 이 툴을 사용하기 시작했으며, 이는 교차 수분halcyon.ai를 나타냅니다. 이 시기는 랜섬웨어 캠페인에서 BYOVD 툴 사용이 정점을 찍는 시기로, playresearch.checkpoint.com에 수천 개의 드라이버 변종이 등장했습니다. |
| 2024년(후기) | 토디캣 ESET DLL 하이재킹 보안리스트.com DLL 하이재킹 | 2024년 말, 카스퍼스카이는 ESET 소프트웨어에서 DLL 하이재킹을 사용하여 보호 기능을 은밀하게 비활성화하는 ToddyCat APT를 발견했습니다.securelist.com. ESET의 패치와 권고는 2025년 1월에 발표되었습니다.securelist.com. 이는 취약점을 통해 보안 공급업체를 직접 공격하는 APT 스타일의 우회 공격이 발생한 드문 사례였습니다. 이 사건은 공급업체가 로딩 메커니즘을 감사해야 할 필요성을 강조했습니다. |
| 2025 (Q1) | 센티넬원 BYOI (바북) bleepingcomputer.comhalcyon.ai BYOI | “자체 설치 프로그램 가져 오기” 기법은 2025년 초에 바부크 랜섬웨어 공격자들이 설치 프로그램halcyon.ai를 악용하여 SentinelOne EDR을 우회하면서 공개적으로 공개되었습니다. Aon/Stroz Friedberg의 보고서(2025년 1월)와 후속 보도(2025년 5월)에서는 공격자가 업그레이드 프로세스를 악용하여 에이전트를 삭제한 다음 systembleepingcomputer.comhalcyon.ai를 암호화하는 방법을 자세히 설명했습니다. 센티넬원의 대응과 2025년 BYOI에 대한 업계의 논의는 엔드포인트 회피 전술의 최신 진화를 보여줍니다. |
완화 접근 방식 및 방어 조치
마지막으로 각 우회 카테고리와 관련된 방어 전략을 비교합니다. 이러한 접근 방식은 공급업체 측의 수정 사항, 구성 강화, 방어자가 사용해야 하는 탐지 기술을 결합합니다:
| 회피 기술 | 완화 전략 |
|---|---|
| 인스톨러 어뷰징(BYOI) | EDR 업그레이드/제거를 강화합니다: 에이전트 제거 또는 업그레이드에 대한 중앙 집중식 인증을 제공하는 솔루션을 사용합니다(예: SentinelOne의 “온라인 인증” 토글)halcyon.aibleepingcomputer.com). 승인 없이는 로컬 재설치 시도를 진행할 수 없도록 이 기능을 사용하도록 설정하세요. 변조 방지 제어를 유지하세요: EDR의 자체 보호/변조 방지 기능이 완전히 활성화되고 업데이트되었는지 확인합니다. 공급업체는 업그레이드 프로세스의 결함을 신속하게 패치해야 합니다. 또한 관리자는 엔드포인트 파일-uzvb8akgpxzutg7wga8ks6에서 예기치 않은 설치 프로그램 실행 또는 여러 버전의 설치 프로그램 파일을 모니터링할 수 있습니다(Babuk 사례에서 볼 수 있음). |
| 취약한 드라이버(BYOVD) | 드라이버 차단 목록: Microsoft의 기본 제공 취약 드라이버 차단 목록(Windows Defender 응용 프로그램 제어 또는 코어 격리 설정을 통해 사용 가능)을 활성화하여 알려진 악성 드라이버가research.checkpoint.comresearch.checkpoint.com을 로드하지 못하도록 합니다. 이 목록을 최신 상태로 유지하세요(Microsoft는 새로운 위협에 대해 주기적으로 업데이트합니다). EDR 커널 모드 모니터링: 악성 드라이버 동작을 탐지하거나 차단할 수 있는 EDR 솔루션을 사용하세요. 예를 들어, ESET과 같은 EDR은 비정상적인 위치 또는 알려진 취약한 드라이버 파일(4pcvlwhk3myukez4vihgen)에서 드라이버가 로드되는 것을 플래그 지정합니다. 이렇게 하면 서명되지 않은 새로운 드라이버가 도입되는 공격을 차단할 수 있습니다. 최소 권한 및 디바이스 제어: 공격자가 드라이버를 설치하기 어렵도록 엔드포인트에 대한 관리 권한을 제한하세요. 그룹 정책 또는 디바이스 제어 소프트웨어를 사용하여 승인되지 않은 드라이버 설치를 아예 방지하는 것도 고려하세요. OS 및 드라이버의 신속한 패치 적용: 시스템의 합법적인 드라이버가 패치된 버전으로 업데이트되었는지 확인하세요. 많은 BYOVD 공격은 디스크에 남아 있을 수 있는 드라이버(예: 오래된 치트 방지 또는 오버클러킹 도구)를 대상으로 합니다. 이러한 드라이버를 제거하거나 업데이트하여 취약한 버전을 제거하세요. |
| DLL 하이재킹/사이드 로딩 | 공급업체 패치를 적용하세요: 엔드포인트 보안 소프트웨어를 최신 상태로 유지하세요. ESET과 같은 공급업체는 DLL 로드 취약점(예: CVE-2024-11859)에 대한 패치를 발표했으며, 이를 적용하면 알려진 하이재킹 기회에 대한 문을 닫을 수 있습니다 보안 목록. 보안 구성: 가능하면 EDR 프로세스에 대해 PPL(보호된 프로세스 표시등)과 같은 옵션을 사용하도록 설정하세요(현재 많은 AV/EDR이 기본적으로 PPL로 실행되므로 서명되지 않은 코드 삽입을 방지할 수 있습니다). 또한 의심스러운 동작을 차단하는 Windows Defender의 ASR 규칙(Office 앱이나 다른 앱이 하위 프로세스를 만들지 못하도록 하는 규칙이 있어 일부 사이드 로드 시나리오를 완화할 수 있음)을 고려하세요. 모니터링 및 헌팅: 비정상적인 DLL 로드를 감시하세요. 예를 들어, 정상적인 프로세스가 Temp 디렉터리 또는 사용자 프로필 경로에서 DLL을 로드하는 경우 이는 위험 신호입니다. EDR 텔레메트리를 사용하여 알려진 롤빈(예: rundll32.exe, regsvr32.exe 또는 MpCmdRun.exe)이 비정상적인 modulessentinelone.comsentinelone.com을 로드하는지 탐지하세요. 이러한 조건에 대한 알림 규칙을 만들면 사이드 로딩 시도를 조기에 포착할 수 있습니다. |
| 서비스 남용 및 변조 | 변조 방지 기능을 활성화합니다: 이것은 매우 중요합니다. 예를 들어 레지스트리/서비스 변경을 차단하려면 Microsoft Defender의 변조 방지 기능을 사용하도록 설정하고 다른 EDR의 유사한 기능도 사용하도록 설정하세요. 이렇게 하면 맬웨어에 의한 쉬운 서비스 종료 또는 설정 조정을 방지할 수 있습니다. 보안 부팅/안전 모드 보호: EDR에서 안전 모드 또는 BIOS에서 보호하는 기능을 제공하는 경우(일부만 제공) 이를 사용하세요. 공격자가 대체 모드로 부팅하거나 자격 증명 없이 부트로더를 사용하는 것을 방지할 수 있도록 최소한 BIOS/펌웨어 암호를 설정하고 TPM으로 BitLocker를 활성화하세요. (공격자가 이미 디바이스를 온 상태로 관리하고 있다면 완벽하지는 않지만, 다른 모드로 콜드 재부팅하는 데 장애물이 추가됩니다.) 계정 및 권한 제어: 서비스 계정에는 최소 권한을 사용하세요. 도메인 관리자나 IT 관리자는 일상적인 업무에 별도의 계정을 사용해야 공격자가 높은 권한의 계정을 사용하여 보안을 쉽게 무력화하지 못하도록 방지할 수 있습니다. 이상 징후 탐지: 보안 서비스가 중지되거나 예기치 않게 비활성화 상태가 되는 경우에 대한 알림을 구성하세요. EDR 관리 콘솔은 종종 에이전트 상태를 표시합니다. 에이전트가 오프라인 상태가 되거나 유지 관리 기간 외의 호스트에서 제거되는 경우 이를 SIEM과 통합하여 알림을 보내세요. 또한 시스템이 안전 모드로 재부팅되는지 모니터링하세요(이벤트 로그를 통해 OS가 안전 모드에서 시작되었는지 확인할 수 있음). 이러한 이벤트를 스니핑하면 랜섬웨어 배포가 완료되기 전에 대응자가 대응할 수 있는 기회를 제공합니다. 인시던트 대응 계획: ‘EDR 비활성화’ 시나리오에 대한 IR 계획을 개발하세요. 예를 들어, 엔드포인트가 체크인을 중단하는 경우 네트워크 수준에서 해당 호스트를 격리하는 플레이북을 준비하세요. 에이전트 손실은 공격이 진행 중임을 의미할 수 있다고 가정하고, 한 노드가 일시적으로 차단되더라도 신속하게 격리하면 피해를 제한할 수 있습니다. |
EDR 회피를 위한 방어 권장 사항
이러한 위협을 고려할 때 보안팀은 다계층 방어 전략을 채택해야 합니다. 다음은 이러한 우회 기법에 대한 엔드포인트 방어를 강화하기 위한 전략적 권장 사항입니다:
변조 방지 기능을 활성화하고 시행합니다: 모든 엔드포인트 보안 도구에서 변조 방지 기능을 사용 설정합니다(예: 모든 에이전트 제거, 중지 또는 업그레이드에 관리자 콘솔 인증 또는 암호 필요)bleepingcomputer.com). Microsoft Defender의 변조 방지와 같은 기능이 전사적으로 사용하도록 설정되어 있는지 확인합니다. 이러한 조치는 맬웨어가 표준 OS 인터페이스를 통해 보호를 차단할 수 없도록 합니다.
드라이버 로드 제어를 채택합니다: Microsoft의 드라이버 차단 목록을 구현하고(가능한 경우 하이퍼바이저 보호 코드 무결성을 활성화) 알려진 취약한 드라이버가 실행되는 것을 차단합니다. 명시적으로 허용되지 않는 커널 드라이버를 차단하는 EDR 솔루션 또는 OS 제어 기능을 사용하는 것을 고려하세요. 새로운 BYOVD 위협이 등장하면 이러한 제어 기능을 정기적으로 업데이트하세요.
엔드포인트 에이전트 구성 강화: EDR에서 제공하는 가장 안전한 설정을 사용하세요. 예를 들어, 에이전트 업데이트에 대해 “온라인/클라우드 인증"을 사용하도록 설정하고(SentinelOne에서와 같이) 로컬 관리자 재정의 기능을 비활성화하고 에이전트가 최고 보호 모드로 실행되도록 합니다(중요 시스템에 대한 강화 모드가 있는 경우가 많음). 오용될 수 있는 안전 부팅 또는 복구 옵션을 제거하거나 암호로 보호하세요.
최신 패치 유지(EDR 및 OS): 엔드포인트 보안 소프트웨어를 최신 버전으로 최신 상태로 유지하세요. 공급업체는 종종 취약점(예: ESET DLL 하이재킹 수정)을 해결하기 위해 조용한 업데이트를 릴리스합니다(securelist.com). 신속하게 적용하세요. 마찬가지로 OS 구성 요소도 업데이트하세요. 예를 들어 드라이버 차단 또는 안전 모드 보호 기능을 개선하는 Windows 업데이트를 적용하세요. 적시에 패치를 적용하면 공격자가 이를 악용하기 전에 알려진 허점을 차단할 수 있습니다.
관리자 권한을 제한합니다: 최소 권한 원칙을 적용하세요. 사용자는 기본적으로 워크스테이션에 대한 로컬 관리자 권한이 없어야 합니다. 관리자 계정은 엄격하게 제어해야 합니다(권한 있는 액세스 관리 사용). 관리자 수준의 액세스 가용성을 줄이면 공격자가 드라이버 설치 또는 서비스 조작과 같은 작업을 수행할 수 있는 능력이 줄어듭니다. 멀웨어가 실행되더라도 EDR을 비활성화할 수 있는 권한이 부족할 수 있습니다.
회피 지표 모니터링: 탐지 엔지니어링을 강화하여 EDR 회피 징후를 포착하세요. 특히 보안 프로세스(드라이버 공격을 나타낼 수 있음)가 포함된 경우 대량 프로세스 종료 이벤트에 대한 알림을 설정합니다(asec.ahnlab.com). 보안 도구 또는 유틸리티의 비정상적인 하위 프로세스(예: 알 수 없는 프로세스를 생성하는 Defender의 CLI)를 모니터링합니다. 정상적인 업데이트의 일부가 아닌 엔드포인트에 드라이버가 설치되는 경우 이를 기록하고 경고합니다. 또한 EDR 에이전트가 오프라인 상태가 되거나 “비활성화” 상태가 되면 잠재적인 인시던트로 간주하고 즉시 조사하세요.
복원력 및 대응력 향상: 100% 완벽한 예방책은 없으므로 복원력에 집중하세요. 예를 들어, 에이전트가 변조 이벤트를 보고하거나 예기치 않게 중단되는 경우 SOC가 네트워크 제어를 통해 해당 호스트를 격리할 수 있도록 엔드포인트 격리 기능을 확보하세요. 엔드포인트 백업/복원 솔루션에 투자하여 한 계층(EDR)을 우회하더라도 중요한 시스템을 신속하게 복구할 수 있도록 하세요. EDR 우회 시나리오에 대해 IR 계획을 정기적으로 테스트하고 “엔드포인트 에이전트가 무력화되었으니 이제 어떻게 할 것인가?“라는 가정 하에 훈련을 실시하세요.
행동 분석 및 이상 징후 탐지: 행동 분석을 사용하는 EDR/MDR 솔루션을 활용하여 회피의 결과를 파악하세요. 예를 들어, 안전 모드에 있는 공격자는 여전히 컴퓨터를 재부팅해야 하는데, 사용자 행동 분석 기능이 있는 EDR은 이상한 타이밍에 재부팅하거나
bcdedit명령을 사용하는 것을 포착할 수 있습니다. 마찬가지로 비정상적인 도구 사용(예: 비정상적인 상황에서 실행되는 관리자 도구)도 탐지할 수 있습니다. EDR의 머신 러닝은 초기 회피로 인해 일부 원격 분석이 가려지더라도 이러한 이상 징후를 포착할 수 있습니다.
결론적으로 엔드포인트 보안 우회 기법은 2020년부터 2025년까지 더욱 정교해질 것이지만, 우수한 제품 구성, 최신 위협 인텔리전스, 철저한 모니터링을 결합하면 그 영향을 크게 완화할 수 있습니다. 보안 엔지니어는 EDR 공급업체와 긴밀히 협력하여 사용 가능한 안전 장치(예: 드라이버 차단 목록, 변조 방지 설정)를 배포하고 엔드포인트가 이러한 ‘생활형’ 공격의 쉬운 표적이 되지 않도록 해야 합니다. 궁극적으로는 인식과 대비가 핵심입니다. 공격자가 도구를 역이용할 수 있고 시도할 수 있다는 사실을 아는 것이halcyon.ai를 성공시키지 않기 위한 첫 번째 단계입니다.
출처: SentinelOne, Sophos, Microsoft, ESET, 카스퍼스키, A온 스트로즈 프리드버그 사례 연구 및 위협 연구halcyon.aihalcyon.aisecurelist.comnews.sophos.com, 2020-2025년 CISA 경보 및 업계 보고서 이러한 우회 기법을 자세히 설명하는 attackiq.comtechtarget.com. 이러한 참고 자료는 최근 몇 년 동안 이러한 전술이 널리 퍼져 있으며 강력한 다계층 방어 전략의 중요성을 강조합니다.
참고 링크 - EDR 회피 연구(2020-2025)
Halcyon. (2024년 1월 10일). 랜섬웨어 공격은 BYOI 기법으로 EDR을 우회합니다. Halcyon. https://www.halcyon.ai/blog/ransomware-attack-bypasses-edr-with-byoi-technique
할시온. (2024년 4월 1일). 메두사, 비앙리안, 플레이 공격에 랜섬허브의 EDR 킬러가 등장합니다. 할시온. https://www.halcyon.ai/blog/ransomhubs-edr-killer-shows-up-in-medusa-bianlian-and-play-attacks
Sophos. (2023, 4월 19일). 프로세스 탐색기 드라이버를 악용하는 ‘AuKill’ EDR 킬러 악성코드. Sophos News. https://news.sophos.com/en-us/2023/04/19/aukill-edr-killer-malware-abuses-process-explorer-driver/
보안 목록. (2023년 3월 21일). APT 그룹 토디캣은 ESET의 취약점을 악용하여 DLL 프록시를 사용합니다. 시큐어리스트. https://securelist.com/toddycat-apt-exploits-vulnerability-in-eset-software-for-dll-proxying/116086/
센티넬원. (2023년 7월 13일). 윈도우 디펜더로 생활하기: LockBit 랜섬웨어는 Microsoft 보안 도구를 통해 Cobalt Strike를 사이드로드합니다. SentinelOne. https://www.sentinelone.com/blog/living-off-windows-defender-lockbit-ransomware-sideloads-cobalt-strike-through-microsoft-security-tool/
Sophos. (2019, 12월 9일). 스내치 랜섬웨어는 PC를 안전 모드로 재부팅하여 보호 기능을 우회합니다. Sophos 뉴스. https://news.sophos.com/en-us/2019/12/09/snatch-ransomware-reboots-pcs-into-safe-mode-to-bypass-protection/
AttackIQ. (2023년 11월 1일). #StopRansomware: AvosLocker 랜섬웨어. AttackIQ. https://www.attackiq.com/2023/11/01/avoslocker-ransomware/
비핑 컴퓨터. (2024년 1월 9일). 랜섬웨어 공격에 사용되는 새로운 “자체 설치 프로그램 가져오기” EDR 우회 방법. https://www.bleepingcomputer.com/news/security/new-bring-your-own-installer-edr-bypass-used-in-ransomware-attack/
체크 포인트 리서치. (2025). 사일런트 킬러: 대규모 레거시 드라이버 익스플로잇 캠페인의 실체 밝혀내기. https://research.checkpoint.com/2025/large-scale-exploitation-of-legacy-driver/
AhnLab ASEC. (2024). 인증서 확인 우회를 통한 레거시 드라이버 익스플로잇. https://asec.ahnlab.com/en/86881/
트렌드 마이크로. (2022). AvosLocker 랜섬웨어 변종은 드라이버 파일을 악용하여 안티바이러스를 비활성화하고 Log4Shell을 검사합니다. 트렌드 마이크로 연구. https://www.trendmicro.com/en_us/research/22/e/avoslocker-ransomware-variant-abuses-driver-file-to-disable-anti-Virus-scans-log4shell.html
ESET. (2025). 랜섬허브의 EDRKillShifter의 모래를 바꾸다. 위라이브시큐리티. https://www.welivesecurity.com/en/eset-research/shifting-sands-ransomhub-edrkillshifter/
테크타겟. (2024). 블랙바이트 랜섬웨어, 새로운 EDR 회피 기법 사용. https://www.techtarget.com/searchsecurity/news/252525965/BlackByte-ransomware-uses-new-EDR-evasion-technique