lazarusholic

Everyday is lazarus.dayβ

AhnLab EDR을 활용한 Proxy 도구 탐지

2024-11-26, Ahnlab
https://asec.ahnlab.com/ko/84754/
#Andariel #Kimsuky #Lazarus

Contents

AhnLab EDR을 활용한 Proxy 도구 탐지
공격자들은 감염 시스템에 대한 제어를 획득한 이후에도 RDP를 이용해 원격에서 화면 제어를 수행하기도 한다. 이는 편리함 때문이기도 하지만 지속성 유지 목적일 수도 있다. 이에 따라 공격 과정에서는 RDP 서비스가 활성화되어 있지 않은 경우에는 RDP Wrapper를 설치하기도 하며 기존 계정의 자격 증명 정보를 탈취하거나 새로운 백도어 계정을 추가하기도 한다.
하지만 감염 시스템이 사설 네트워크 즉 NAT 환경 내부에 존재할 경우에는 IP 및 계정 정보를 알고 있다고 하더라도 외부에서 원격 데스크톱을 이용한 접속이 불가하다. 이에 따라 공격자들은 시스템을 외부에 노출시켜 주는 기능을 담당하는 Proxy 도구들을 추가적으로 설치하기도 한다.
자주 사용되는 도구들로는 Ngrok와 Plink 등이 있으며 이외에도 공격자가 직접 제작하는 경우도 존재한다. Kimsuky 그룹이나 Andariel 그룹은 공격 과정에서 자체 제작한 Proxy 도구들을 활용해 외부에서 원격 데스크톱을 이용하여 감염 시스템들을 제어하고 있다. 여기에서는 실제 공격 과정에서 사용된 Proxy 도구들과 AhnLab EDR을 활용해 이를 탐지하는 방식을 다룬다.
AhnLab EDR (Endpoint Detection and Reponse)은 국내 유일의 행위 기반 분석 엔진을 기반으로 엔드포인트 영역에 대해 …