합법적인 저수준 도구를 무기화하는 랜섬웨어: 안티바이러스 방어를 회피하는 방법
차례
- 개요
- "이중 용도 딜레마": 공격자들이 합법적인 도구를 선호하는 이유
- 바이러스 무력화가 중요한 이유
- 바이러스 중화의 역사적 진화
- 랜섬웨어 킬 체인
- 합법적인 저수준 도구를 남용하는 단계
- 1단계: 안티바이러스 무력화 및 권한 상승을 위한 저수준 도구
- 2단계: 자격 증명 탈취, 커널 조작 및 랜섬웨어 배포 도구
- 실제 캠페인 사례: 안티바이러스 제거부터 랜섬웨어까지
- 위협 행위자 TTP 매핑(MITRE ATT&CK)
- 새로운 트렌드와 미래 위협
- Seqrite는 이러한 활동으로부터 어떻게 보호합니까?
- 고도화된 위협에 대한 탐지 및 사고 대응 권장 사항
- 보안 모범 사례 및 권장 사항
- 맺음말
소개 :
랜섬웨어는 더 이상 단순한 악성 코드 덩어리가 아닙니다. 마치 사업처럼 운영됩니다. 현대의 공격은 치밀하게 계획된 단계를 거쳐 가정 사용자부터 중소기업, 대기업에 이르기까지 모든 대상을 노립니다. 오늘날의 공격자들은 맞춤형 악성코드에만 의존하는 대신, 악의적인 의도를 가진 침투 테스터처럼 행동합니다. 방어 체계를 연구하고 취약점을 찾아낸 다음, 합법적인 저수준 도구를 보호 대상 시스템에 악용합니다.
Process Hacker, IOBit Unlocker, PowerRun, AuKill 같은 유틸리티를 예로 들어보겠습니다. 이러한 프로그램들은 원래 IT 팀이 시스템 문제를 해결하고, 레지스트리를 관리하거나, 드라이버를 수정하는 데 도움을 주기 위해 만들어졌습니다. 하지만 악의적인 사용자의 손에 들어가면, 랜섬웨어가 모습을 드러내기도 전에 바이러스 백신 프로그램을 몰래 무력화시키는 무기로 사용될 수 있습니다.
공격자들이 이를 선호하는 이유:
- 신뢰 요인: 디지털 서명이 되어 있고 일반적으로 사용되기 때문에 보안 시스템에서 이를 안전한 것으로 간주하는 경우가 많습니다.
- 능력: 이러한 악성 프로그램은 공격자에게 시스템 수준 또는 커널 수준의 제어 권한을 제공하는데, 이는 일반적인 악성 프로그램이 자체적으로 달성하기 어려운 부분입니다.
- 몰래 하기: 그들의 활동은 일반적인 행정 업무처럼 보이며, 흔적을 거의 남기지 않습니다.
이러한 "이중 용도 딜레마"가 바로 그것들을 매우 위험하게 만드는 이유입니다. 문제를 해결하기 위해 설계된 도구가 경보를 울리지 않고도 보안을 무너뜨리는 완벽한 무기로 쉽게 변질될 수 있기 때문입니다.
바이러스 무력화가 중요한 이유
안티바이러스 프로그램을 비활성화하는 것은 랜섬웨어 공격에서 단순한 사소한 단계가 아니라, 페이로드 실행을 위한 의도적인 전략입니다. 보안 도구는 악성 파일을 차단하고, 의심스러운 활동을 기록하며, 실시간으로 방어자에게 경고하도록 설계되었습니다. 공격자는 이러한 도구를 무력화함으로써 자신들의 공격이 은밀하고 중단 없이 진행될 수 있도록 합니다.
보안 조치를 비활성화하는 것이 공격자에게 직접적으로 어떤 이점을 가져다주는지 알아보겠습니다.
- 바이러스 백신 프로그램은 랜섬웨어 페이로드가 실행되는 순간 차단합니다.
- EDR은 비정상적인 파일 암호화 동작을 포착하고 기록합니다.
- 포렌식 증거는 SOC 팀에게 대응할 기회를 제공할 수 있습니다.
- 이러한 보호 기능을 비활성화함으로써 공격자는 랜섬웨어가 탐지되지 않고 실행될 수 있는 은밀한 영역을 만듭니다.
바이러스 중화의 역사적 진화
랜섬웨어 그룹들은 가만히 있지 않고 안티바이러스 방어 체계를 우회하는 방법을 꾸준히 발전시켜 왔습니다. 단순한 스크립트 기반 공격으로 시작했던 것이 이제는 커널 수준 조작과 랜섬웨어 서비스(RaaS) 키트에 기본적으로 포함되는 기성 모듈을 사용하는 고도로 정교한 공격으로 진화했습니다. 아래 표는 이러한 발전 과정을 요약한 것입니다.
| Period | 1차 중화 기법 | 대표적인 랜섬웨어 계열 |
| 2015 – 2017 | 기본 스크립트(taskkill/net stop) | 크립토로커, 워너크라이 |
| 2018 – 2020 | 프로세스 해커 악용 | 류크, 도펠페이머 |
| 2021 – 2023 | 커널 수준 드라이버 조작 | 콘티, 록비트 2.0 |
| 2024 - 현재 | RaaS 키트에 포함된 사전 구성된 안티바이러스 킬러 모듈 | LockBit 3.0, 블랙캣 |
수년에 걸쳐 공격자들은 단순한 명령 실행에서 운영 체제를 직접 변조하는 단계로 발전했으며, 이제는 기본적으로 안티바이러스 무력화 도구를 포함하는 자동화된 RaaS 키트에 의존하여 공격을 더욱 빠르고 은밀하게, 그리고 막기 어렵게 만들고 있습니다.
랜섬웨어 킬 체인
랜섬웨어 공격은 일반적으로 '킬 체인'이라고 불리는 일련의 단계를 거치는데, 이는 초기 침입부터 광범위한 암호화 및 운영 중단에 이르기까지 모든 과정을 포함합니다. 공격자가 합법적인 저수준 도구를 사용하는 경우, 이 킬 체인은 더욱 은밀하고 효율적으로 진행됩니다. 각 단계는 방어 체계를 우회하고, 더 높은 권한을 획득하며, 랜섬웨어가 탐지되지 않고 임무를 완수하도록 세심하게 설계되었습니다.
- 초기 액세스 공격자는 피싱 이메일, 도난당한 자격 증명 또는 악용된 원격 액세스 도구(RAT)를 통해 침입하여 첫 번째 발판을 마련합니다.
- 권한 에스컬레이션 PowerRun이나 YDArk와 같은 도구는 시스템 또는 커널 수준의 권한을 획득하는 데 악용될 수 있습니다.
- 항바이러스 중화 - 보안 소프트웨어는 안티바이러스 및 EDR 프로세스를 중지하거나 종료하여 비활성화할 수 있습니다.
- 자격 증명 도용 Mimikatz와 같은 유틸리티는 저장된 암호와 토큰을 추출하여 네트워크를 통해 측면 이동을 할 수 있도록 합니다.
- 지속성 및 정리 Unlock_IT 또는 Atool_ExperModel과 같은 도구는 로그를 삭제하고 시작 루틴을 비활성화하여 침입 흔적을 숨깁니다.
- 페이로드 실행 마지막으로 랜섬웨어가 배포되어 정상적인 시스템 활동처럼 위장하면서 파일을 암호화합니다.
합법적인 저수준 도구를 남용하는 단계
공격자들은 일반적으로 랜섬웨어 캠페인에서 관리자 및 하위 수준 유틸리티를 악용할 때 2단계 프로세스를 따릅니다. 각 단계는 명확한 목표를 가지고 있으며 서로 다른 도구 세트를 활용합니다.
1단계: 안티바이러스 무력화 및 권한 상승을 위한 저수준 도구
공격자들은 흔히 파일 잠금 해제 도구, 프로세스 종료 도구, 권한 상승 유틸리티, 자격 증명 유출 도구 등을 혼합하여 사용합니다. 이러한 합법적인 도구들을 악용함으로써, 공격자들은 체계적으로 안티바이러스 방어 체계를 무력화하고, 흔적을 지우고, 랜섬웨어 실행을 위한 환경을 조성합니다. 아래 표는 가장 흔하게 악용되는 도구들을 네 가지 주요 범주로 분류한 것입니다.
| 수단 | 합법적 목적 | 공격 시나리오 (악의적 사용 + 사일런트 커맨드 라인 예시 + 기술적 흐름도) | 보안 영향 |
| IOBit 잠금 해제 | 잠긴 파일 잠금 해제 | IOBitUnlocker.exe /delete “C:\Program Files\AV\avp.exe” 명령어를 사용하여 안티바이러스 실행 파일을 자동으로 삭제합니다. → NtUnlockFile API를 사용하여 운영체제 잠금을 우회합니다. | 바이러스 백신 프로그램의 재시작 또는 업데이트를 방지합니다. |
| TDSSKiller | 루트킷 제거 | 안티바이러스 커널 드라이버를 언로드하는 데 악용됨 → tdsskiller.exe -silent -tdlfs → 안티바이러스 커널 모듈의 재로드를 차단함 | 커널 수준 방어를 약화시킵니다 |
| 윈도우 커널 탐색기(WKE) | 커널 디버거 | PsSetCreateProcessNotifyRoutine을 통한 드라이버 직접 언로드 및 커널 객체 조작 → 공격자가 OS 커널을 제어합니다. | 운영체제에 대한 완전한 제어 권한을 부여합니다. |
| Atool_ExperModel | 레지스트리/프로세스 진단 | 바이러스 백신 시작 키를 삭제합니다 → atool.exe /regdel HKLM\SOFTWARE\AVVendor\Startup → 예약된 작업을 제거하여 지속성을 깨뜨립니다 | 재부팅 후 백신 프로그램이 자동으로 시작되지 않습니다. |
| 프로세스 해커 | 작업 관리자/디버거 | SeDebugPrivilege를 통해 안티바이러스 프로세스를 종료합니다 → taskkill /IM Antivirusguard.exe /F | 실시간 바이러스 모니터링을 즉시 종료합니다. |
| ProcessKO | 빠른 프로세스 종료 | 바이러스 백신 서비스를 즉시 종료합니다 → ProcessKO.exe -kill Antivirusservice.exe | 실시간 보호 기능을 몇 초 만에 해제합니다. |
2단계: 자격 증명 탈취, 커널 조작 및 랜섬웨어 배포 도구
안티바이러스 프로세스가 무력화되면 공격자는 자격 증명을 탈취하고, 커널 수준의 방어 체계를 조작하며, 상승된 권한으로 랜섬웨어 페이로드를 실행하는 단계로 넘어갑니다. 이러한 도구들은 시스템 또는 커널 수준에서 작동하기 때문에 훨씬 더 위험합니다. 공격자는 이를 통해 횡적 이동을 하고, 보안 콜백을 비활성화하며, 중단 없이 암호화 페이로드를 실행할 수 있습니다. 아래 표는 이 단계에서 가장 흔히 악용되는 도구들을 보여줍니다.
| 수단 | 합법적 목적 | 공격 시나리오 (악의적 사용 + 은밀한 명령줄 예시 + 기술적 흐름) | 보안 영향 |
| 0th3r_av5.exe | 관리자 유틸리티 위장 | 스크립트 기반 도구가 안티바이러스 서비스를 조용히 순회하며 프로세스를 동시에 일괄 종료합니다. | 여러 안티바이러스 프로그램을 한 번에 무력화합니다. |
| 인사워드 | 서비스/드라이버 관리 유틸리티(정식 관리자 도구) | 서비스/드라이버 상태를 조작하여 안티바이러스를 비활성화하고 재설치를 방지합니다. → 예시: 자동 실행 명령 HRSword.exe /service stop “avservice” /disable → 대상 서비스를 중지하고 ServiceStart를 disabled로 설정하며, 자동 재시작을 방지하기 위해 서비스 바이너리 경로 또는 복구 옵션을 업데이트합니다. | 바이러스 백신 서비스 복구 및 재설치를 방해하고, 공격자의 체류 시간을 연장하며, 피해 복구를 어렵게 합니다. |
| YDArk | 커널 조작 | 안티바이러스 콜백 비활성화 → ydark.exe -unload Antivirusdriver.sys → 은밀한 지속성을 위해 PsSetCreateThreadNotifyRoutine을 후킹 | 커널 보호 기능을 약화시킵니다. |
| 파워런 | 앱을 시스템 권한으로 실행하세요 | 시스템 수준에서 랜섬웨어 페이로드를 실행합니다 → PowerRun.exe ransomware.exe | 사용자 수준 제한을 우회하고 모든 권한을 갖습니다. |
| 언락_IT | 파일/레지스트리 잠금 해제 | 바이러스 백신 로그 삭제 → UnlockIT.exe /unlock HKLM\Security\AVLogs → 레지스트리 항목 및 포렌식 흔적 삭제 | 로그 기반 조사를 중단합니다 |
| 해킹 도구 AuKill | 항바이러스 중화제 | 안티바이러스/EDR 프로세스를 명시적으로 종료하려면 → Antiviruskiller.exe –kill –all | 랜섬웨어 배포에 대한 사각지대를 만듭니다. |
| 미미 카츠 | 자격 증명 덤프 도구 | 캐시된 관리자 자격 증명 추출 → mimikatz.exe 권한::디버그 sekurlsa::로그온비밀번호 → LSASS 메모리 읽기 | 도난당한 자격 증명을 통해 측면 확산을 가능하게 합니다. |
실제 캠페인 사례: 안티바이러스 제거부터 랜섬웨어까지:
랜섬웨어 공격자는 안티바이러스 프로그램을 무력화하고, 권한을 상승시키며, 페이로드 실행에 최적의 환경을 조성하기 위해 합법적인 저수준 시스템 유틸리티를 악용하는 경우가 많습니다. 아래는 널리 악용되는 도구들과 해당 도구들이 사용된 랜섬웨어 공격 사례를 종합적으로 정리한 것입니다.
| 수단 | 연관된 랜섬웨어 캠페인 |
| IOBit 잠금 해제 | 록비트 블랙 3.0, 위액서, 트리니티, 프로톤/신라, 미믹, 마콥, 다르마, 말록스, 포보스 |
| 프로세스 해커 | 포보스, 마콥, 다르마, 글로브임포스터 2.0 |
| 윈도우 커널 탐색기(WKE) | 다르마(.cezar Family), 트리니티, 메두사로커 |
| 인사워드 | 포보스, 글로브임포스터 2.0, 마콥 |
| YDArk | 위악소르, 포보스 |
| TDSSKiller | 블랙 비트 |
| Atool (Atool_ExperModel) | 트리고나 |
| ProcessKO | 마콥 |
| 0th3r_av5.exe | 메두사로커 |
| 언락_IT | 타겟 회사 |
| 미미 카츠 | INC 랜섬웨어 |
위협 행위자 TTP 매핑(MITRE ATT&CK)
모든 랜섬웨어 공격은 일정한 패턴을 따르며, 공격자는 거의 무작위로 행동하지 않습니다. 그들은 공격의 각 단계에서 목표에 부합하는 도구와 기술을 신중하게 선택합니다. 이러한 행동을 MITRE ATT&CK 프레임워크에 적용함으로써, 합법적인 저수준 유틸리티가 악의적인 용도로 어떻게 탈취되는지 더 잘 이해할 수 있습니다.
아래 표는 공격자가 권한 상승부터 방어 체계 무력화, 자격 증명 탈취, 그리고 최종적으로 랜섬웨어 실행에 이르기까지, 본래 범죄용으로 설계되지 않은 신뢰할 수 있는 도구를 악용하는 과정을 보여줍니다. 이 도표를 통해 방어자는 공격자의 공격 전략을 시각화하고, 피해가 발생하기 전에 침입을 탐지하거나 차단할 기회를 쉽게 파악할 수 있습니다.
| 단계 | 기술 | MITRE ATT&CK 하위 기술 ID | 도구 뒤얽힌 | 활동 |
| 권한 에스컬레이션 | 학대 고도 제어 메커니즘 | T1548.002 | 파워런, WKE, YDArk | 시스템/커널 접근 |
| 방어 회피 | 보안 도구 비활성화 | T1562.001 | AuKill, IOBit Unlocker, ProcessKO, 프로세스 해커 | 안티바이러스/EDR 우회 |
| 자격 증명 액세스 | OS 자격 증명 덤프 | T1003.001 | 미미 카츠 | 측면 운동 |
| 고집 | 레지스트리 수정 | T1112 | Unlock_IT, Atool_ExperModel | 바이러스 백신 비활성화 상태 유지 |
| 방어 회피 | 파일 삭제 / 로그 정리 | T1070.004 | 언락_IT | 법의학적 증거를 제거합니다 |
| 발견 | 시스템 서비스 검색 | T1082 | 프로세스 해커, 파워런 | 실행 중인 안티바이러스 프로세스를 식별합니다. |
| 영향 | 시스템 복구 억제 | T1490 | 프로세스KO, 언락_IT | 복구 옵션을 차단합니다 |
| 영향 | 영향력을 위해 암호화된 데이터 | T1486 | 모든 도구 | 랜섬웨어 페이로드를 준비합니다 |
새로운 트렌드와 미래 위협
랜섬웨어는 점점 더 빠르고, 영리해지고, 탐지하기 어려워지고 있습니다. 주요 신흥 트렌드는 다음과 같습니다.
- RaaS 안티바이러스 킬러 - 랜섬웨어 키트에 포함된 사전 구축된 스크립트는 안티바이러스 방어 기능을 자동으로 비활성화하도록 설계되었습니다.
- 커널 레벨 에스컬레이션 공격자는 드라이버를 악용하여 시스템에 대한 은밀하고 높은 수준의 제어 권한을 획득합니다.
- 다용도 공구 체인 PowerRun, Unlock_IT, AuKill과 같은 유틸리티를 조합하여 보안 계층을 안정적으로 우회할 수 있습니다.
- AI 지원 기술 – AI는 각 환경에 가장 효과적인 중화 방법을 자동으로 선택하는 데 도움을 줍니다.
- 공급망 공격 - 트로이목마가 포함된 관리 도구와 가짜 소프트웨어 업데이트는 새로운 감염 경로를 만들어냅니다.
- 클라우드 엔드포인트 타겟팅 – 하이브리드 클라우드 인프라와 그 보안 도구는 정교한 공격에 점점 더 취약해지고 있습니다.
이러한 추세는 랜섬웨어가 더욱 자동화되고, 정밀하며, 회피적인 공격 방식으로 진화하고 있음을 나타내며, 따라서 선제적인 방어 전략이 필수적입니다.
Seqrite는 이러한 활동으로부터 어떻게 보호합니까?
시크라이트 정교한 랜섬웨어 및 안티바이러스 무력화 전략에 대응하기 위해 다층적인 방어 체계를 제공합니다. Seqrte EPP:
- 바이러스 보호 – 트로이목마 설치 프로그램, 악성 스크립트 및 랜섬웨어 페이로드가 실행되기 전에 식별하고 차단합니다.
- 바이러스 자체 보호 기능 – 공격자가 바이러스 백신 소프트웨어를 강제로 종료하거나 제거하는 것을 방지합니다.
- 행동 감지 - 대량 프로세스 종료, 레지스트리 변조와 같은 의심스러운 행위를 모니터링합니다.
- Ransomware 보호 – 비정상적인 파일 암호화 활동을 실시간으로 감지하여 랜섬웨어 확산을 방지합니다.
- 응용 프로그램 제어 – 승인되지 않은 유틸리티 및 관리 도구의 실행을 제한하여 오용을 방지합니다. 이러한 기능들을 통해 사전 예방적 및 사후 대응적 보호 기능을 제공하여 고도화된 다단계 공격으로부터 엔드포인트를 안전하게 보호합니다.
우리는 위협 환경을 지속적으로 모니터링하고 악용되는 유틸리티의 새로운 변종이나 변형된 변종을 선제적으로 찾아내어 탐지 모듈과 동작 규칙을 신속하게 업데이트하여 효과적인 대응을 유지합니다.
고도화된 위협에 대한 탐지 및 사고 대응 권장 사항
최신 랜섬웨어 공격으로부터 보호하려면 사전 예방적 모니터링과 체계적인 대응 전략이 필요합니다.
- 프로세스 종료 모니터링 – 안티바이러스 또는 EDR 프로세스의 의심스러운 대량 종료를 감지합니다.
- 레지스트리 및 파일 감사 - 바이러스 백신 관련 레지스트리 키, 로그 및 시작 항목의 변경 사항을 추적합니다.
- 행동 분석 - 비정상적인 시스템 수준 실행 및 커널 수준 수정 사항을 식별합니다.
- 자격 증명 도용 탐지 – LSASS 및 기타 자격 증명 저장소에 대한 액세스 패턴을 모니터링합니다.
- 응용 프로그램 제어 - 오용을 방지하기 위해 허용된 관리 도구로만 실행을 제한합니다.
- 플레이북 및 알림 – 권한 상승 → 안티바이러스 종료 → 레지스트리/로그 변경 → 랜섬웨어 실행과 같은 공격 시퀀스에 대한 알림을 자동화합니다.
- 엔드포인트 격리 - 위협을 차단하고 확산을 방지하기 위해 감염된 기기를 신속하게 격리하십시오.
이러한 조치는 조직이 정교한 공격을 조기에 탐지하고 체계적이고 시의적절하게 대응하여 전면적인 운영 중단 위험을 줄이는 데 도움이 됩니다.
보안 모범 사례 및 권장 사항
선제적인 보안 조치를 시행하면 랜섬웨어 및 고도화된 공격의 위험을 크게 줄일 수 있습니다.
- 관리자에게 MFA(다단계 인증)를 적용하세요 – 중요한 계정의 보안 침해를 방지하기 위해 다단계 인증을 요구하십시오.
- 애플리케이션 화이트리스트 활성화 – 승인되지 않았거나 검증되지 않은 바이너리를 차단하여 악성 도구가 실행되기 전에 막습니다.
- 모니터 종료 이벤트 - sc stop, net stop, taskkill과 같은 의심스러운 명령어를 지속적으로 감지하고 경고합니다.
- 저수준 도구 사용 제한 – 검증된 업무상 필수적인 관리 도구만 실행하도록 제한합니다.
- 감사 레지스트리 변경 사항 - 안티바이러스, EDR 또는 시작 구성과 관련된 레지스트리 키의 변경 사항을 추적하고 표시합니다.
- SOC 팀 교육 - 보안 분석가들이 방어 체계를 우회하거나 무력화하려는 미묘한 시도를 포착할 수 있도록 교육합니다.
- 관리 유틸리티를 격리합니다 - 중요한 도구에 대한 접근은 보안이 강화되고 모니터링되는 점프 박스를 통해서만 제공하십시오.
이러한 모범 사례를 따르면 조직은 핵심 시스템에 대한 강력한 통제력을 유지하고, 의심스러운 활동을 조기에 감지하며, 잠재적인 공격의 영향을 최소화할 수 있습니다.
맺음말
원래 IT 운영 효율성을 높이기 위해 설계된 저수준 관리 도구들이 랜섬웨어 공격에 악용되는 사례가 점점 늘어나고 있습니다. 공격자들은 이러한 도구를 이용해 안티바이러스 및 EDR 방어 체계를 무력화하고, 은밀하게 시스템에 접근하여 공격을 지속하며, 대규모 암호화를 위한 준비를 합니다. 한때 신뢰받던 유틸리티들이 이제는 사이버 공격을 가능하게 하는 가장 위험한 도구로 변모했습니다.
핵심은 분명합니다. 이중 용도로 사용되는 도구는 기업 보안에 심각한 위협이 됩니다. 이러한 위협에 대응하기 위해서는 Quick Heal/Seqrite 보호의 강력한 기능과 관리 유틸리티에 대한 엄격한 관리 및 통제를 결합한 다층적인 방어 체계가 필요합니다. 이러한 도구를 공격자의 무기가 아닌 방어자의 신뢰할 수 있는 아군으로 되찾음으로써, 조직은 적의 은밀한 공격 기회를 차단하고 최신 랜섬웨어 공격으로부터 중요 인프라를 보호할 수 있습니다.
우리는 위협 환경을 지속적으로 모니터링하고, 새롭거나 변형된 도구 변종을 선제적으로 찾아내어 이러한 발견 사항을 탐지 모듈에 직접 입력함으로써 공격자가 전술을 변경함에 따라 탐지 범위가 발전하도록 보장합니다.
작성자
저자: 마틴 타드비
공저자: 수밋 파틸
