EDR 솔루션들은 후킹이라는 기법을 이용해 수상한 행위들을 찾아낸다. 그런데 이 후킹 프로세스로부터 해방되는 프로세스를 생성하는 게 가능하다는 사실이 최근 밝혀졌다. 후킹에만 의존했던 EDR 솔루션들은 무용지물이 된다.
[보안뉴스 문가용 기자] 엔드포인트 탐지 및 대응(EDR) 플랫폼을 쓸모 없는 것으로 만들 수 있는 새로운 공격 기법이 발견됐다. 윈도 커널에서 사용자 요청을 처리하는 요소 중 하나인 NTDLL을 이용하는 것으로, 여기에 성공하면 공격자들은 NTDLL에서부터 어떤 함수도 실행시킬 수 있게 되고, 이를 EDR은 알아챌 수 없다고 한다. 이 공격 기법에는 블라인드사이드(Blindside)라는 이름이 붙었으며, 발견자는 사이뮬레이트 오펜시브 리서치 그룹(Cymulate Offensive Research Group)이다.
블라인드사이드는 후크 되지 않은 프로세스를 하나 생성한다. 후크(hook)는 한 개의 애플리케이션이 다른 애플리케이션을 모니터링 할 수 있도록 하는 것을 말한다. 주로 EDR 플랫폼에서 애플리케이션들의 수상한 행위를 찾아내기 위해 ‘후킹’한다. 후크되지 않는 프로세스란, 이런 감시에 걸리지 않는 프로세스를 말한다. 악성 행위를 파악해야 하는 EDR 솔루션들은 이 후크에 크게 의존하는 게 보통이다. 블라인드사이드가 후크가 되지 않는 프로세스를 만든다는 것이 EDR에 치명적으로 작용할 수밖에 없다.
사이뮬레이트의 기술 분야 책임자인 마이크 드나폴리(Mike DeNapoli)는 “후크의 생성을 차단하는 게 블라인드사이드 외에도 존재하지만, 기존 방법들은 OS와 깊은 관련이 있다”고 설명한다. “블라인드사이드는 OS 의존도가 높지 않습니다. 하드웨어를 운영하는 방식으로 구현되며, 따라서 다른 후크 제거 기술이 통하지 않을 때도 블라인드사이드는 잘 작동합니다.”
드나폴리는 “하드웨어가 작동을 멈추는 지점(breakpoint)을 활용하는 게 블라인드사이드의 비결”이라고 설명을 추가한다. “물론 하드웨어를 의도적으로 마비시켜 공격자들이 원하는 결과를 만들어내는 수법 역시 새로울 것은 없습니다. 보안 전문가나 해커들 모두 X86 아키텍처 내에서 하드웨어가 비정상적으로 작동하도록 강제하면 어느 순간 악성적인 결과를 끌어낼 수 있다는 것을 알고 있습니다. 하지만 블라인드사이드는 기존 방법들과 조금은 다릅니다. 기존 방법들은 프로세스의 가상화나 시스템 호출(syscall)을 주로 활용했지만 블라인드사이드는 여기에 더해 특정 디버깅 프로세스를 악용합니다.”
새로운 공격 기술의 의의
드나폴리는 “새로운 공격 기법을 보안 업계가 먼저 발견함으로써 EDR 벤더들이 공격자들보다 한 발 더 앞서갈 수 있다”고 설명한다. 해커들이 모르던 공격 기법 혹은 아직 활용되지 않았던 공격 기법을 굳이 보안 업체가 먼저 공개할 필요가 있느냐는 질문에 대한 답이다. “더 나아가 일반 사용자들의 보안 인식 제고에도 도움이 되는 연구라고 볼 수 있습니다. EDR 솔루션이라고 해서 만능은 아니라는 걸 알려주는 것이죠.”
보안 업체 넷엔리치(Netenrich)의 수석 위협 분석가인 존 밤베넥(John Bambenek)은 “실질적으로 활용되기에 충분한 공격 기법이 보안 업계로부터 먼저 나왔다는 건 꽤나 좋은 일”이라고 거든다. “이런 식의 연구가 계속 진행되고 보안 업계에 널리 공유됨으로써 미리 방어법을 연구하고 발전시킬 수 있습니다. 새로운 공격 기법을 찾아내는 이런 활동은 특정 플랫폼이나 솔루션이 약하다는 걸 공개하는 게 아니라, 위험한 부분을 선제적으로 찾아 더 단단하게 만드는 데에 목적이 있습니다. EDR은 공격자들이 항상 침해하기 위해 연구하는 대상이기도 하고요.”
방어력 강화하기
드나폴리는 “이번 연구 결과를 시작으로 EDR 플랫폼들이 나아갈 방향이 정해지기를 희망한다”고 말한다. “그건 바로 후킹에 대한 의존도를 낮추는 것이겠죠. 차세대 EDR 솔루션들은 다른 방법으로 수상한 행위들을 탐지할 수 있기를 바랍니다. 그게 EDR이 더 강력해지는 방법이기도 합니다. 이미 시장에 후킹 외 다른 기술을 써서 모니터링 하는 솔루션들이 시장에 존재하고 있기도 하죠. 후킹을 덜 활용하고자 하는 흐름이 형성됐다고도 볼 수 있습니다.”
밤베넥은 “EDR로만 보안을 다 하려는 조직들이 있다”며 “그런 생각을 한 번쯤 의심해 보게 한다면, 그것만으로도 이번 연구의 의의는 충분하다”고 말한다. “사실 그 어떤 보안 솔루션도 그것 딱 하나만으로 보안을 완성시킬 수는 없습니다. 그걸 인지시키는 게 지금은 가장 중요한 것 중 하나가 아닐까 생각합니다. 보안은 보다 많은 기술을 복합적으로 활용할수록 강화된다는 걸 이해하기만 해도 보안은 한층 더 강화될 수 있습니다.”
3줄 요약
1. EDR을 무력화시키는 새로운 공격 기법 발견됨.
2. 이 기법의 이름은 블라인드사이드로, 후킹 프로세스에 대한 EDR 솔루션들의 의존도를 노린 것.
3. EDR 솔루션들의 후킹 의존도 낮추고, 멀티레이어 보안에 대한 인지도만 높여도 연구 의의 충분.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 엔드포인트 탐지 및 대응(EDR) 플랫폼을 쓸모 없는 것으로 만들 수 있는 새로운 공격 기법이 발견됐다. 윈도 커널에서 사용자 요청을 처리하는 요소 중 하나인 NTDLL을 이용하는 것으로, 여기에 성공하면 공격자들은 NTDLL에서부터 어떤 함수도 실행시킬 수 있게 되고, 이를 EDR은 알아챌 수 없다고 한다. 이 공격 기법에는 블라인드사이드(Blindside)라는 이름이 붙었으며, 발견자는 사이뮬레이트 오펜시브 리서치 그룹(Cymulate Offensive Research Group)이다.
[이미지 = utoimage]
블라인드사이드는 후크 되지 않은 프로세스를 하나 생성한다. 후크(hook)는 한 개의 애플리케이션이 다른 애플리케이션을 모니터링 할 수 있도록 하는 것을 말한다. 주로 EDR 플랫폼에서 애플리케이션들의 수상한 행위를 찾아내기 위해 ‘후킹’한다. 후크되지 않는 프로세스란, 이런 감시에 걸리지 않는 프로세스를 말한다. 악성 행위를 파악해야 하는 EDR 솔루션들은 이 후크에 크게 의존하는 게 보통이다. 블라인드사이드가 후크가 되지 않는 프로세스를 만든다는 것이 EDR에 치명적으로 작용할 수밖에 없다.
사이뮬레이트의 기술 분야 책임자인 마이크 드나폴리(Mike DeNapoli)는 “후크의 생성을 차단하는 게 블라인드사이드 외에도 존재하지만, 기존 방법들은 OS와 깊은 관련이 있다”고 설명한다. “블라인드사이드는 OS 의존도가 높지 않습니다. 하드웨어를 운영하는 방식으로 구현되며, 따라서 다른 후크 제거 기술이 통하지 않을 때도 블라인드사이드는 잘 작동합니다.”
드나폴리는 “하드웨어가 작동을 멈추는 지점(breakpoint)을 활용하는 게 블라인드사이드의 비결”이라고 설명을 추가한다. “물론 하드웨어를 의도적으로 마비시켜 공격자들이 원하는 결과를 만들어내는 수법 역시 새로울 것은 없습니다. 보안 전문가나 해커들 모두 X86 아키텍처 내에서 하드웨어가 비정상적으로 작동하도록 강제하면 어느 순간 악성적인 결과를 끌어낼 수 있다는 것을 알고 있습니다. 하지만 블라인드사이드는 기존 방법들과 조금은 다릅니다. 기존 방법들은 프로세스의 가상화나 시스템 호출(syscall)을 주로 활용했지만 블라인드사이드는 여기에 더해 특정 디버깅 프로세스를 악용합니다.”
새로운 공격 기술의 의의
드나폴리는 “새로운 공격 기법을 보안 업계가 먼저 발견함으로써 EDR 벤더들이 공격자들보다 한 발 더 앞서갈 수 있다”고 설명한다. 해커들이 모르던 공격 기법 혹은 아직 활용되지 않았던 공격 기법을 굳이 보안 업체가 먼저 공개할 필요가 있느냐는 질문에 대한 답이다. “더 나아가 일반 사용자들의 보안 인식 제고에도 도움이 되는 연구라고 볼 수 있습니다. EDR 솔루션이라고 해서 만능은 아니라는 걸 알려주는 것이죠.”
보안 업체 넷엔리치(Netenrich)의 수석 위협 분석가인 존 밤베넥(John Bambenek)은 “실질적으로 활용되기에 충분한 공격 기법이 보안 업계로부터 먼저 나왔다는 건 꽤나 좋은 일”이라고 거든다. “이런 식의 연구가 계속 진행되고 보안 업계에 널리 공유됨으로써 미리 방어법을 연구하고 발전시킬 수 있습니다. 새로운 공격 기법을 찾아내는 이런 활동은 특정 플랫폼이나 솔루션이 약하다는 걸 공개하는 게 아니라, 위험한 부분을 선제적으로 찾아 더 단단하게 만드는 데에 목적이 있습니다. EDR은 공격자들이 항상 침해하기 위해 연구하는 대상이기도 하고요.”
방어력 강화하기
드나폴리는 “이번 연구 결과를 시작으로 EDR 플랫폼들이 나아갈 방향이 정해지기를 희망한다”고 말한다. “그건 바로 후킹에 대한 의존도를 낮추는 것이겠죠. 차세대 EDR 솔루션들은 다른 방법으로 수상한 행위들을 탐지할 수 있기를 바랍니다. 그게 EDR이 더 강력해지는 방법이기도 합니다. 이미 시장에 후킹 외 다른 기술을 써서 모니터링 하는 솔루션들이 시장에 존재하고 있기도 하죠. 후킹을 덜 활용하고자 하는 흐름이 형성됐다고도 볼 수 있습니다.”
밤베넥은 “EDR로만 보안을 다 하려는 조직들이 있다”며 “그런 생각을 한 번쯤 의심해 보게 한다면, 그것만으로도 이번 연구의 의의는 충분하다”고 말한다. “사실 그 어떤 보안 솔루션도 그것 딱 하나만으로 보안을 완성시킬 수는 없습니다. 그걸 인지시키는 게 지금은 가장 중요한 것 중 하나가 아닐까 생각합니다. 보안은 보다 많은 기술을 복합적으로 활용할수록 강화된다는 걸 이해하기만 해도 보안은 한층 더 강화될 수 있습니다.”
3줄 요약
1. EDR을 무력화시키는 새로운 공격 기법 발견됨.
2. 이 기법의 이름은 블라인드사이드로, 후킹 프로세스에 대한 EDR 솔루션들의 의존도를 노린 것.
3. EDR 솔루션들의 후킹 의존도 낮추고, 멀티레이어 보안에 대한 인지도만 높여도 연구 의의 충분.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
문가용기자 기사보기
[2025-04-07] 
