EDR 및 AV 소프트웨어의 데이터 삭제 기능을 악용하여 데이터 와이퍼로 활용하는 방법이 발견됨.
해당 SW들의 데이터 삭제는 보안 솔루션으로서의 정상적인 기능이기에, 탐지를 우회하기에 효과적임.
#데이터 와이퍼: 감염된 시스템 데이터를 의도적으로 지우거나 손상시키고, 피해자가 데이터를 복구할 수 없도록 만드는 특수한 유형의 파괴적인 멀웨어.
[정상적인 기능]
- 컴퓨터의 파일 시스템에서 악성 파일을 지속적으로 검색, 탐지 시 해당 파일 검역/삭제
- 실시간 보호 활성화 시 파일이 생성될 때 자동으로 검색되어 파일의 악성 여부 확인, 악의적인 경우 검역/삭제
악성 파일 발견 시 발생하는 두 이벤트의 공통적인 특징을 악용할 수 있다면, 공격자가 특정한 데이터를 삭제하도록 방향을 유도할 수 있을 것.
>>time-of-check to time-of-use vulnerabilities (TOCTOU)
# TOCTOU: Race Condition을 활용한 공격 중 하나. 프로그램이 데이터를 확인하고 사용하는 그 시간에 맞춰서 공격자 코드가 개입하여 흐름을 바꾸는 공격.
[공격과정 - 수정 권한이 없는 디렉터리 내 파일 제거]
1) C:\temp\Windows\System32\drivers\ndis.sys에 악성 파일을 만듦
2) EDR 또는 AV가 악성 파일의 제거를 다음 재부팅 후로 연기하도록 함
3) C:\temp 디렉터리 삭제
4) C:\temp -> C:\ 하도록 졍션(junction)
#Junction: NTFS 파일 시스템이 제공하는 파일 링크. (심볼릭 링크 기능 사용 가능)
5) 재부팅
해당 공격은 제어된 폴더 액세스라는 Windows의 랜섬웨어 보호 기능에도 효과적임.
#제어된 폴더 액세스:처리되지 않은 프로세스가 보호된 폴더 목록에 나열된 폴더 중 하나에 포함된 파일을 수정하거나 삭제하는 것을 방지
왜냐하면 EDR 또는 AV는 시스템에서 가장 신뢰할 수 있는 개체이기 때문.
[취약성 테스트 결과]
- 11개의 보안 솔루션 대상으로 테스트
| 취약 판단 | 양호 판단 |
| Microsoft Defender | Palo Alto |
| Defender for Endpoint |
Cylance |
| SentinelOne EDR |
CrowdStrike |
| TrendMicro Apex One |
McAfee |
| Avast Antivirus |
BitDefender |
| AVG Antivirus |
- 취약한 보안 솔루션에 대해서는 최대한 빨리 보안 업데이트 진행할 것.
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] CISA, KEV 카탈로그에 Veeam 백업 제품 취약점 추가 (0) | 2022.12.15 |
|---|---|
| [보안이슈] 2023년 해킹 공격 전망 (0) | 2022.12.14 |
| [보안뉴스] 에어갭 환경에서의 DNS 사용 시 발생 가능한 위험 (0) | 2022.12.12 |
| [보안이슈] 클라우드 업체에서 발생한 랜섬웨어 감염 사고 (0) | 2022.12.09 |
| [보안이슈] 머신러닝 공급망 공격 발생 가능, 모델에 멀웨어 담아서 사용 (0) | 2022.12.08 |