랜섬웨어 공격자들이 Aukill 이라는 도구를 사용해 MS Defender나 드라이버의 취약점을 통해 EDR를 회피한다는 기사를 접했다.
https://thehackernews.com/2023/04/ransomware-hackers-using-aukill-tool-to.html
Ransomware Hackers Using AuKill Tool to Disable EDR Software Using BYOVD Attack
Ransomware attackers are utilizing a new "defense evasion tool" called AuKill to deactivate EDR software using a BYOVD attack.
thehackernews.com
https://www.boannews.com/media/view.asp?idx=117470
EDR 소프트웨어 비활성화 하려는 랜섬웨어 단체, 오킬 사용해
보안 블로그 시큐리티어페어즈에 의하면 랜섬웨어 운영자들이 오킬(AuKill)이라는 도구를 사용해 EDR 장치들을 회피하기 시작했다고 한다. 오킬은 마이크로소프트 유틸리티와 프로세스 익스플로
www.boannews.com
그래서 분석해보았는데, 핵심 내용만 서술하면 MS Defender나 윈도우의 커널 드라이버와 관련된 값들을 다 찾아서 꺼버리는것이 핵심 기능이다.
핵심 악성 기능은 sub_1400023D0 에서 수행한다. 가장 먼저 하는 행위는 동작의 지속성을 위해서 CurrentVersion\Run 레지스트리에 자신을 등록하는 것이다. 해당 레지스트리에 파일을 등록하면 컴퓨터가 부팅시마다 파일이 자동 실행된다.
* 등록명 : MSDriverHealth
이후에는 MSDefCheck 라는 레지스트리 값을 가져오고, PROCEXP152 드라이버 값을 추출한다. PROCEXP152 드라이버는 Process Explorer가 사용하는 커널 드라이버이며 라자루스 그룹에서도 BYOVD 공격에 사용한 적 사례가 존재한다.
https://www.boannews.com/media/view.asp?idx=114653&skind=5
북한 라자루스 해커조직, 공인인증서 SW 취약점 공격 연이어 악용
2022년 3월부터 최근까지 북한 해커조직인 라자루스(Lazarus) 그룹의 악성코드가 국내의 방산, 인공위성, 소프트웨어, 언론사 등 다수의 업체들에서 발견되고 있다.
www.boannews.com
드라이버를 찾아낸 뒤에는 드라이버 프로세스들을 찾아서 종료한다.
이후에는 MsDriverSrv 등의 이름으로 서비스를 생성한다. 이후 해당 서비스들을 실행시키고 해당 프로세스들을 통해 특정 코드 혹은 파일을 실행시킨다. 여기서 랜섬웨어 공격자들이 이 부분을 사용해 EDR을 우회해 악성코드를 실행하는 것으로 보여진다.
Aukill 의 메인 아이디어는 관리자 권한을 얻고 취약한 드라이버를 통해 악성코드가 탐지되는 것을 제어한다. 맹점은 관리자 권한을 얻는 것이기 때문에 RDP 등을 통해 접속한 공격자가 관리자 권한을 가지고 Aukill과 함께 자신의 악성코드를 실행하는 형식의 공격이 이루어지는 것으로 파악된다.
'Analysis' 카테고리의 다른 글
| 47. ransomware correlation (0) | 2023.06.14 |
|---|---|
| 46. Kimsuky's CHM (0) | 2023.05.25 |
| 44. Lazarus's VHD Ransomware (0) | 2023.04.19 |
| 43. 3CX Supply Chain Attack (0) | 2023.04.06 |
| 42. Kimsuky's 협의 이혼 의사 확인 신청서.docx (0) | 2023.03.22 |
