다중 라이센스 할인
Computer Security 모킹제이 프로세스 주입 기법, 악성코드가 탐지를 회피하는 포착하기 어려운 방법 공개

모킹제이 프로세스 주입 기법, 악성코드가 탐지를 회피하는 포착하기 어려운 방법 공개

Computer Security년에 Chance 년까지
번역 :
한국어
멀웨어 기록

모킹제이(Mockingjay)라는 최첨단 프로세스 주입 기술이 등장하여 위협 행위자가 보안 조치를 피하고 손상된 시스템에서 손상된 코드를 실행할 수 있는 잠재적인 수단을 제시합니다. 보안 연구원은 주입 중 공간 할당, 권한 설정 또는 스레드 초기화의 필요성을 우회하는 이 기술을 확인했습니다. The Hacker News에 공유된 보고서에 따르면 Mockingjay의 특징은 취약한 DLL에 대한 의존성과 적절한 섹션 내 코드의 정확한 배치에 있습니다.

프로세스 주입이란 무엇입니까?

프로세스 인젝션은 악의적인 행위자가 컴퓨터에서 실행되는 합법적인 프로세스의 메모리 공간 내에 코드를 삽입하고 실행하는 데 사용하는 기술적인 맬웨어입니다. 삽입된 코드는 일반적으로 대상 프로세스 내에서 무단 액세스 권한을 부여하거나 유해한 작업을 수행하며 종종 보안 조치를 우회하고 탐지되지 않는 것을 목표로 합니다. 프로세스 주입 기술은 운영 체제 또는 애플리케이션의 취약성 또는 약점을 악용하여 프로세스를 제어하고 해당 동작을 조작합니다. 표준 프로세스 주입 방법에는 DLL, 코드 및 프로세스 할로우가 포함됩니다.

프로세스 주입 기술은 다양하며 맬웨어 또는 잘못된 공격자가 코드를 합법적인 프로세스에 주입하기 위해 사용하는 다양한 방법을 포함합니다. 몇 가지 눈에 띄는 프로세스 주입 기술에는 손상된 DLL이 대상 프로세스에 로드되는 DLL 주입이 포함됩니다. 별도의 실행 파일에서 코드를 주입하는 휴대용 실행 파일 주입; 합법적인 스레드의 실행 흐름이 잘못된 코드로 리디렉션되는 스레드 실행 하이재킹; 합법적인 프로세스가 생성된 다음 잘못된 코드로 대체되는 프로세스 비우기; 파일 시스템 및 프로세스 속성을 조작하여 안전하지 않은 프로세스를 생성하는 프로세스 도플갱잉.

각 기술은 특정 시스템 호출 및 Windows API를 사용하여 주입을 수행하므로 방어자가 효과적인 탐지 및 완화 전략을 개발할 수 있습니다. 이러한 주입 방법의 기본 메커니즘을 이해함으로써 보안 전문가는 적절한 대응책을 고안하고 그러한 공격에 대한 시스템을 보호할 수 있습니다.

모킹제이의 독특한 특성

Mockingjay는 RWX(Read-Write-Execute) 권한으로 보호되는 메모리 블록이 있는 기존 Windows 휴대용 실행 파일을 영리하게 활용하여 기존의 보안 수단을 우회함으로써 차별화됩니다. 이 혁신적인 접근 방식을 사용하면 일반적으로 보안 솔루션에서 모니터링하는 모니터링되는 Windows API를 트리거할 필요가 없습니다. Mockingjay는 16KB의 가용 RWX 공간을 제공하는 msys-2.0.dll을 활용하여 안전하지 않은 코드를 효과적으로 숨기고 은밀하게 작동합니다. 유사한 특성을 가진 다른 취약한 DLL의 잠재적 존재를 인정하는 것이 필수적입니다.

Mockingjay는 두 가지 다른 방법을 사용합니다. 자체 주입 및 원격 프로세스 주입을 통해 코드 주입을 용이하게 하여 공격 효율성을 높이고 탐지를 회피합니다. 자체 주입 기술은 취약한 DLL을 맞춤형 애플리케이션의 주소 공간에 직접 로드하여 RWX 섹션을 통해 원하는 코드를 실행할 수 있도록 합니다. 반면 원격 프로세스 주입은 취약한 DLL 내의 RWX 섹션을 활용하여 ssh.exe와 같은 원격 프로세스에 프로세스 주입을 수행한다. 이러한 전략을 통해 Mockingjay는 코드 실행을 은밀하게 조작하여 위협 행위자가 탐지 조치를 피할 수 있습니다.

EDR(Endpoint Detection and Response) 시스템의 과제

기존 접근 방식과 달리 이 혁신적인 전략은 삽입된 코드 실행을 시작하기 위해 대상 프로세스 내에서 메모리 할당, 권한 설정 또는 스레드 생성이 필요하지 않습니다. 연구원들은 이 고유한 기능이 EDR(Endpoint Detection and Response) 시스템이 감지해야 하는 일반적인 패턴에서 벗어나기 때문에 중요한 문제를 제기한다고 강조했습니다. 이러한 결과는 ClickOnce라는 적법한 Visual Studio 배포 기술을 활용하는 방법에 대한 또 다른 최근 공개 이후에 나타납니다. 이 방법을 사용하면 위협 행위자가 임의의 코드 실행을 달성하고 초기 액세스 권한을 얻을 수 있으므로 정교한 공격 기술의 진화하는 환경을 강조합니다.

로드 중...