사이버 보안의 숨겨진 비밀: ATT&CK Matrix로 배우는 Defense Evasion 기술 해부 [Defense Evasion - 1]

Defense Evasion

서론: Defense Evasion의 중요성과 기본 이해

사이버 보안의 세계에서, 공격자들이 보안 시스템을 우회하고 탐지를 회피하는 능력은 그들의 성공률을 대폭 향상시킵니다. 이러한 기술을 총칭하여 'Defense Evasion'이라고 합니다. Defense Evasion은 공격자가 자신의 흔적을 숨기거나, 보안 솔루션을 무력화시키며, 장기간 동안 네트워크 내에 은밀하게 존재할 수 있게 하는 다양한 방법론을 포함합니다. 이는 공격자에게 더 많은 시간을 제공하여, 민감한 데이터를 탈취하거나 추가적인 악의적 활동을 수행할 수 있는 기회를 줍니다.

이러한 기술의 중요성을 이해하는 것은 사이버 보안 전문가들에게 필수적입니다. 보안 메커니즘을 우회하는 방법을 알고 있어야만, 이에 대한 효과적인 대응책을 개발하고 적용할 수 있기 때문입니다. 예를 들어, 공격자가 악성코드를 정상 프로세스에 주입하여 탐지를 회피하는 경우, 이를 식별할 수 있는 고급 탐지 기술과 프로세스 모니터링이 필요합니다.

또한, Defense Evasion 기술은 지속적으로 진화하고 새로운 방법이 개발되고 있습니다. 이에 대응하기 위해서는 사이버 보안 커뮤니티 내에서의 지속적인 학습, 연구, 그리고 정보 공유가 중요합니다. 보안 전문가들이 최신 공격 기술과 트렌드를 이해하고 있어야만, 조직의 보안 체계를 강화하고, 민감한 정보를 보호할 수 있습니다.

결국, Defense Evasion에 대한 깊은 이해와 이를 방지하기 위한 전략은 사이버 보안의 핵심 요소입니다. 이는 단순히 공격을 방어하는 것을 넘어서, 조직의 보안 거버넌스를 강화하고, 사이버 위협으로부터 비즈니스와 사용자를 보호하는 데 있어 결정적인 역할을 합니다.

 

Access Control

기본 및 중급 Defense Evasion 기술

Abuse Elevation Control Mechanism
소개: 이 기술은 공격자가 시스템의 보안 메커니즘을 악용하여 더 높은 권한을 획득하는 방법입니다. 예를 들어, 사용자 계정 제어(UAC)를 우회하여 관리자 권한을 얻는 경우가 이에 해당합니다.
대응법: 보안 패치의 적용, 최소 권한 원칙의 엄격한 시행, 그리고 보안 메커니즘의 지속적인 감사와 모니터링을 통해 이러한 악용 가능성을 최소화합니다.

Access Token Manipulation
소개: 공격자가 프로세스의 액세스 토큰을 조작하여 권한을 상승시키는 기술입니다. 이를 통해 공격자는 다른 사용자의 권한으로 행동할 수 있습니다.
대응법: 시스템의 권한 할당을 철저히 검토하고, 비정상적인 액세스 토큰 사용을 감지할 수 있는 보안 도구의 사용이 필요합니다.

BITS Jobs
소개: Background Intelligent Transfer Service(BITS)를 악용하여 맬웨어를 다운로드하거나 데이터를 유출하는 방법입니다. BITS는 네트워크 사용량이 낮을 때 데이터 전송을 처리하도록 설계된 윈도우 서비스입니다.
대응법: BITS 활동을 모니터링하고, 정상적인 사용 패턴과 일치하지 않는 경우 경고를 발생시키는 보안 정책을 구현합니다.

Build Image on Host
소개: 공격자가 호스트 시스템에서 직접 이미지를 생성하거나 수정하여 악성 활동을 숨기는 기술입니다. 이를 통해 탐지 메커니즘을 우회할 수 있습니다.
대응법: 이미지 생성 및 수정 활동을 모니터링하고, 신뢰할 수 없는 소스에서의 이미지 사용을 차단하는 보안 정책을 적용합니다.

Debugger Evasion
소개: 프로그램이 디버거에서 실행되는 것을 감지하고, 이에 대응하여 자신의 실행을 변경하거나 중단하는 방법입니다. 이는 분석을 어렵게 만듭니다.
대응법: 고급 분석 도구와 기법을 사용하여 디버거 회피 기술을 식별하고, 악성 코드의 동작을 분석합니다.

Deobfuscate/Decode Files or Information
소개: 악성코드나 공격 페이로드가 난독화 또는 인코딩되어 있을 때, 이를 복호화하거나 해독하여 실제 행위를 분석하는 과정입니다.
대응법: 보안 전문가는 난독화 해결 도구와 기술을 사용하여 악성 코드의 실제 기능을 이해하고, 보안 솔루션을 업데이트하여 탐지 능력을 강화합니다.

Deploy Container
소개: 공격자가 컨테이너 기술을 이용하여 악성 활동을 수행하는 방법입니다. 이는 격리된 환경에서의 실행을 통해 탐지를 회피할 수 있습니다.
대응법: 컨테이너 관리 시스템의 보안 설정을 강화하고, 컨테이너 활동을 지속적으로 모니터링하여 비정상적인 동작을 탐지합니다.

Direct Volume Access
소개: 공격자가 파일 시스템 수준에서 직접 볼륨에 접근하여 데이터를 조작하거나 읽는 기술입니다. 이를 통해 보안 메커니즘을 우회할 수 있습니다.
대응법: 볼륨 접근을 모니터링하고, 비정상적인 접근 패턴을 감지할 수 있는 보안 도구를 사용합니다.

Domain Policy Modification
소개: 공격자가 도메인 정책을 변경하여 보안 설정을 약화시키거나, 권한 상승을 시도하는 기술입니다.
대응법: 도메인 정책의 변경을 정기적으로 감사하고, 정책 변경에 대한 승인 절차를 엄격히 적용합니다.

Execution Guardrails
소개: 공격자가 악성 코드가 특정 조건에서만 실행되도록 설정하여, 분석 환경이나 특정 지역 외부에서의 실행을 방지하는 기술입니다.
대응법: 실행 가드레일을 우회하기 위한 분석 기법을 개발하고 적용하여, 악성 코드의 실행 조건을 파악하고 분석합니다.

 

Exploitation for Defense Evasion
소개: 공격자가 보안 소프트웨어의 취약점을 악용하여 탐지를 회피하는 기술입니다. 이는 보안 메커니즘을 무력화시키거나 우회하는 데 사용됩니다.
대응법: 보안 솔루션과 시스템의 정기적인 업데이트 및 패치 적용을 통해 알려진 취약점을 제거합니다. 또한, 보안 시스템의 행동 기반 탐지 기능을 강화하여 알려지지 않은 취약점 악용 시도를 감지합니다.

File and Directory Permissions Modification
소개: 공격자가 파일이나 디렉토리의 권한을 변경하여 액세스 제어를 우회하거나, 악성 활동을 숨기는 기술입니다.
대응법: 파일 및 디렉토리 권한 변경을 모니터링하는 보안 정책을 구현합니다. 중요 파일과 디렉토리에 대한 접근 권한을 제한하고, 권한 변경 로그를 정기적으로 검토합니다.

Hide Artifacts
소개: 공격자가 맬웨어, 로그 파일, 도구 등을 숨기기 위해 데이터를 암호화하거나 스테가노그래피 같은 기술을 사용하는 방법입니다.
대응법: 파일 시스템과 메모리의 이상 행위를 탐지할 수 있는 고급 분석 도구를 사용합니다. 숨겨진 아티팩트를 찾아내기 위한 포렌식 분석 기술을 적용합니다.

Hijack Execution Flow
소개: 공격자가 정상적인 실행 흐름을 변경하여 악성 코드를 실행시키는 기술입니다. DLL 인젝션 등이 이에 해당합니다.
대응법: 애플리케이션 및 시스템의 실행 흐름을 모니터링하고, 비정상적인 행동을 탐지하는 보안 솔루션을 사용합니다. 정상적인 실행 패턴에서 벗어난 활동에 대해 경고합니다.

Impair Defenses
소개: 공격자가 보안 소프트웨어를 비활성화하거나 제거하여 방어 메커니즘을 약화시키는 기술입니다.
대응법: 보안 소프트웨어의 무결성을 주기적으로 검사하고, 보안 소프트웨어의 중요한 구성 요소에 대한 접근을 제한합니다. 보안 솔루션의 비정상적인 중단이나 제거 시도를 감지하고 경고합니다.

Impersonation
소개: 공격자가 다른 사용자 또는 시스템 프로세스로 가장하여 권한을 획득하고, 보안 메커니즘을 우회하는 기술입니다.
대응법: 강력한 인증 메커니즘(예: 다중 인증)을 사용하여 사용자 및 프로세스의 신원을 검증합니다. 인증 과정에서의 이상 행위를 모니터링합니다.

Indicator Removal
소개: 공격자가 로그 파일, 이벤트 로그, 또는 다른 지표를 삭제하거나 수정하여 자신의 활동을 숨기는 기술입니다.
대응법: 중요 로그 파일과 시스템 지표에 대한 무결성 검사를 주기적으로 수행하고, 로그 데이터의 백업을 유지합니다. 로그 수정이나 삭제 시도를 감지하는 메커니즘을 구현합니다.

Indirect Command Execution
소개: 공격자가 스크립트, 매크로, 또는 다른 중간 매체를 이용하여 명령을 간접적으로 실행시키는 기술입니다.
대응법: 스크립트 실행 및 매크로 사용에 대한 엄격한 정책을 적용하고, 스크립트와 매크로의 실행을 모니터링합니다. 사용자 교육을 통해 매크로 사용의 위험성을 인식시킵니다.

Masquerading
소개: 공격자가 합법적인 프로세스나 파일로 위장하여 보안 소프트웨어의 탐지를 회피하는 기술입니다.
대응법: 파일 및 프로세스의 해시 값을 검증하고, 알려진 좋은 해시 값과 비교하여 위장한 악성 코드를 식별합니다. 시스템의 정상적인 행동 프로파일을 생성하고, 이와 일치하지 않는 활동을 모니터링합니다.

Modify Authentication Process
소개: 공격자가 인증 프로세스를 변경하거나 우회하여 무단으로 시스템 접근 권한을 획득하는 기술입니다.
대응법: 인증 프로세스의 변경을 감지할 수 있는 보안 메커니즘을 구현하고, 인증 시스템의 무결성을 주기적으로 검사합니다. 강력한 인증 방법을 적용하여 인증 과정을 강화합니다.

Modify Cloud Compute Infrastructure
소개: 공격자가 클라우드 기반 인프라의 구성을 변경하여 자원을 악용하거나 데이터를 유출하는 기술입니다.
대응법: 클라우드 환경의 구성 변경을 모니터링하고, 클라우드 서비스 제공업체의 보안 권장 사항을 따릅니다. 클라우드 환경에 대한 접근 권한을 엄격히 관리하고, 이상 행위를 감지할 수 있는 도구를 활용합니다.

 

Cyber Security

결론: Defense Evasion 대응 전략의 중요성

Defense Evasion 기술에 효과적으로 대응하는 것은 사이버 보안 전략의 핵심입니다. 공격자들이 지속적으로 보안 시스템을 회피하는 새로운 방법을 개발함에 따라, 이에 대한 우리의 대응 방안 또한 발전해야 합니다. 탐지와 방어 메커니즘의 지속적인 강화는 조직의 디지털 자산을 보호하는 데 있어 필수적입니다. 이는 공격자가 장기간에 걸쳐 은밀하게 활동하는 것을 방지하고, 민감한 정보의 유출을 막는 데 결정적인 역할을 합니다.

Defense Evasion에 대한 대응 전략의 중요성은 다음과 같은 여러 요소에서 찾을 수 있습니다. 첫째, 조직의 보안 체계를 강화하고, 보안 인식을 높이며, 직원들을 교육함으로써 공격자의 초기 침투 시도를 차단할 수 있습니다. 둘째, 고급 위협 탐지 시스템과 응답 프로토콜을 구축하여, 공격이 성공적으로 탐지되었을 때 신속하게 대응할 수 있습니다. 셋째, 정기적인 취약점 평가와 보안 감사를 수행함으로써, 잠재적인 취약점을 사전에 식별하고 수정할 수 있습니다.

또한, 사이버 보안 커뮤니티와의 협력은 새로운 위협에 대응하는 데 있어 중요한 자산입니다. 정보 공유와 협력을 통해, 조직은 다른 기관들의 경험과 지식을 바탕으로 자신들의 보안 체계를 개선할 수 있습니다. 이는 공격자가 사용할 수 있는 Defense Evasion 기술의 스펙트럼이 넓고 다양하다는 점을 고려할 때, 특히 중요합니다.

최종적으로, Defense Evasion 대응 전략의 중요성은 사이버 보안의 전반적인 목표와 일치합니다. 이는 단순히 공격을 방어하는 것이 아니라, 조직의 사이버 회복력을 구축하고, 지속 가능한 보안 관행을 발전시키며, 전체 디지털 환경의 안전을 보장하는 것입니다. 따라서, Defense Evasion에 대한 깊은 이해와 효과적인 대응 전략은 모든 사이버 보안 프로그램의 핵심 요소가 되어야 합니다.

 

사이버 보안 전문가를 위한 가이드: ATT&CK Matrix의 14가지 Privilege Escalation 기술 마스터하기