"랜섬허브, EDR 보안솔루션 무력화시키는 신종 악성코드 유포중"

랜섬웨어 그룹인 랜섬허브(RansomHub)가 새로운 악성코드인 EDR킬시프터(EDRKillShifter)를 배포하여 엔드포인트 탐지 및 대응(EDR) 소프트웨어를 무력화하는 공격을 감행했다.

이번 악성코드는 2024년 5월에 소포스(Sophos) 연구진에 의해 발견되었으며, BYOVD(Bring Your Own Vulnerable Driver) 방식의 공격을 통해 보안 소프트웨어를 비활성화하고 시스템 제어권을 확보하는 데 사용된다.

■랜섬허브의 새로운 무기-EDR킬시프터

소포스 연구진은 EDR킬시프터가 합법적인 드라이버의 취약점을 악용해 시스템의 권한을 상승시키고 보안 솔루션을 비활성화하는 데 사용된다고 밝혔다. 이 악성코드는 공격자가 타겟 시스템에서 EDR 프로세스를 종료함으로써 랜섬웨어 배포를 용이하게 만든다.

EDR킬시프터는 실행 시 암호화된 리소스를 메모리에 로드하고, 최종 페이로드를 실행하기 위해 취약한 드라이버를 활용한다. 특히, 이 악성코드는 Go 언어로 작성되어 강력한 보안 회피 기능을 갖추고 있으며, 자기 수정 코드를 사용해 분석을 어렵게 만든다.

소포스 분석에 따르면 기존에 알려진 취약한 드라이버 "RentDrv2"와 "ThreatFireMonitor"를 이용해 권한을 상승시키고, EDR 프로세스를 지속적으로 종료하는 것으로 나타났다. 이 과정에서 악성코드는 끊임없이 시스템의 프로세스를 감시하며, 하드코딩된 목록에 포함된 EDR 관련 프로세스를 표적으로 삼아 종료시킨다.

EDR킬시프터의 출현은 사이버 보안 업계에 큰 우려를 낳고 있다. BYOVD 방식은 신뢰할 수 있는 드라이버를 이용해 보안 메커니즘을 무력화하기 때문에, 시스템 관리자와 보안 담당자들은 드라이버 관리와 보안 정책을 더욱 강화할 필요가 있다.

이러한 위협에 대응하기 위해 보안 전문가들은 다음과 같은 조치를 권고하고 있다.

▶탐지 방지 기능 활성화: EDR 솔루션의 탐지 방지 기능을 활성화하여 보안 설정의 무단 변경을 방지해야 한다.

▶드라이버 설치 관리: 신뢰할 수 없는 소스의 드라이버 설치를 제한하고, 설치된 드라이버를 철저히 관리해야 한다.

▶사용자와 관리자 권한 분리: 사용자 권한과 관리자 권한을 분리하여 공격자가 쉽게 권한을 상승시킬 수 없도록 해야 한다.

▶시스템 업데이트: 취약한 드라이버가 인증 취소되거나 패치될 수 있도록 시스템을 정기적으로 업데이트해야 한다.

EDR킬시프터의 등장은 랜섬웨어 그룹이 보안 방어를 무력화하기 위해 끊임없이 새로운 전술을 개발하고 있음을 보여준다. 새로운 공격 벡터에 대한 경계를 늦추지 말아야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security★