변조 도구란 무엇인가요?
변조 도구는 공격자(또는 테스터)가 소프트웨어, 원격 분석 또는 시스템 상태의 작동을 수정, 방해 또는 은폐하기 위해 사용하는 유틸리티, 라이브러리, 드라이버, 스크립트 또는 바이너리로, 일반적으로 탐지를 무력화하거나 증거를 변경하거나 권한을 상승시키거나 지속하기 위해 사용합니다.
'변조 도구'는 여러 가지 종류가 있습니다:
- EDR/AV 변조자엔드포인트 에이전트를 중지하거나 중성화하는 스크립트/바이너리.
- 커널 모드 드라이버 권한 조작에 사용됨(BYOVD - 포함) 취약한 드라이버 가져오기).
- 프로세스 및 메모리 조작기 (프로세스 해커, procexp, LiveKD, Frida, gdb).
- 로그/파일 변조자 트레이스를 삭제/ 덮어쓰는 기능을 제공합니다.
- 프로토콜/패킷 변조자 통신을 변경하는 도구(mitmproxy, scapy 기반 도구)를 사용합니다.
- 물리적 또는 펌웨어 변조 툴체인 (JTAG, 플래셔, 납땜 키트).
변조 도구는 형식보다는 효과에 따라 정의되며, 방어자가 생각하는 시스템 상태를 변경하는 것이 그 역할입니다.
변조 도구가 지금 중요한 이유
공격자는 저항이 가장 적은 경로를 선호합니다. 방어자를 쓰러뜨리는 것(탬퍼링)이 우회하는 것보다 비용이 적게 드는 경우가 많습니다. 관찰된 추세:
- EDR/AV 종료 공격자는 침입 초기에 프로세스 킬, 드라이버 로드, 후크 변조를 조율하여 측면 이동 전에 탐지하지 못하도록 합니다.
- BYOVD공격자는 서명되었지만 취약한 타사 드라이버를 로드하여 커널 권한을 얻고 커널 공간에서 보호 기능을 종료합니다.
- 변조 도구 제품군 로그 변조자(예: "Spawnloth", EDR 킬러 스크립트, 메모리 패처)는 실제 캠페인에 등장하며 여러 침입에 재사용되는 경우가 많습니다.
세 가지 운영상의 시사점:
- 변조는 공격 타임라인의 첫 번째 활동 단계인 경우가 많습니다. 이를 조기에 발견하면 공격 사슬을 끊을 수 있습니다.
- 변조 도구는 매우 작을 수 있으며 LOL빈(Living-off-the-Land 바이너리)을 활용할 수 있습니다. 파일 이름뿐만 아니라 프로세스 동작과 조상도 살펴보세요.
- 탐지에는 커널 수준의 가시성과 원격 측정 강화가 포함되어야 합니다. 서명만으로는 충분하지 않습니다.
일반적인 변조 도구 유형 및 사용 사례
| 카테고리 | 도구 예시 | 목적 / 공격 단계 |
|---|---|---|
| 사용자 모드 프로세스 변조자 | ProcessHacker, procexp, pskill, 사용자 지정 PowerShell 스크립트 | EDR 프로세스 종료/수정, 서비스 비활성화 |
| 커널 모드 드라이버 | 서명된 취약 드라이버(BYOVD), LiveKd, 커널 루트킷 | 커널 공간에서 지속성과 제어력 확보하기 |
| 메모리/런타임 변조자 | Frida, gdb, 맞춤형 인젝터 | 훅 함수, 패치 런타임 검사, 페이로드 숨기기 |
| 로그/파일 변조자 | 커스텀 스크립트, "스폰스글로스"와 유사한 모듈 | 증거(로그, Windows 이벤트 로그) 지우기 또는 수정하기 |
| 코드 서명/지문 변조기 | 재포장 도구, 서명자 오용 | 악성 바이너리 재서명 또는 무결성 검사 피하기 |
| 네트워크/mitm 변조자 | mitmproxy, 스카피 툴킷 | API 가로채기 및 수정/명령 및 제어 트래픽 |
변조 도구가 표시되는 캠페인 흐름 예시
- 초기 액세스(피싱/익스플로잇)
- 권한 에스컬레이션(로컬 익스플로잇, BYOVD)
- 변조: EDR 비활성화, 모니터링 에이전트 종료, 로그 지우기
- 측면 이동 및 자격 증명 수집(미미카츠 또는 파생 상품)
- 지속성 및 데이터 추출
공개된 분석을 살펴보면 여러 공급업체 및 위협 인텔리전스 보고서에서 변조는 2~3단계에서 일관되게 발생한다는 것을 알 수 있습니다.
탐지 패턴: 사용자에게 보내는 신호 필수 악기
A) 프로세스 라이프사이클 이상 징후
- 부모-자식 관계가 의심스러운 예기치 않은 프로세스 생성(예,
svchost -> 파워쉘 -> 프로세스해커) - 서비스를 종료하는 데 사용되는 단기 도우미 프로세스
- 정상적으로 보이는 유틸리티가 정상적이지 않은 경로에서 실행되는 경우
B) 서비스 제어 및 SCM 이상 징후
- 반복
서비스 제어 관리자통화 중지/종료 후 재시도(종료-복구 DoS 루프 가능성) - 재시작을 방지하기 위해 일시적으로 이름이 변경되거나 제거된 서비스(표적 공격에서 관찰됨)
C) 드라이버 로드/언로드 이벤트
- 비표준 공급업체의 새로운 커널 모드 드라이버 로드 또는 비정상적인 서명이 있는 경우
- 알려진 취약한 드라이버 해시 또는 드라이버 이름(BYOVD 탐지)
D) 로깅 및 무결성 변조
- 시스로그/이벤트 스트림 타임스탬프의 격차
- 로그의 예기치 않은 삭제 또는 잘림(스폰슬러스와 유사한 동작)
E) 원격 측정 공백 / 에이전트 사각지대
- 이전에 보고하던 엔드포인트의 원격 분석 중단
- 텔레메트리 드롭과 의심스러운 프로세스 이벤트 간의 상관관계
구체적인 탐지 - Splunk, 시그마 및 시스몬 스니펫
다음은 SIEM에 드롭할 수 있는 사용 가능한 탐지 스니펫입니다(필드 이름을 사용자 환경에 맞게 조정).
Splunk: 엔드포인트 에이전트 중지 후 드라이버 로드 감지
index=와인벤트로그 이벤트코드=7040 또는 이벤트코드=7045
| eval svc=coalesce(서비스 이름, 프로세스 이름)
| 검색 svc="YourEDRServiceName" 또는 svc="MsMpSvc"
| 통계 카운트 기준 _time, ComputerName, svc, EventCode, Message
| sort - _time
| 여기서 이벤트 코드 = 7040 또는 이벤트 코드 = 7045
시그마 규칙(프로세스 스폰 -> procexp)
제목: 변조 도구 실행 가능성 - ProcessHacker/ProcExp
id: 4F9D1B7B-XXXX
상태: 실험적
설명: EDR을 변조하는 데 자주 사용되는 의심스러운 도구의 실행을 탐지합니다.
로그 소스:
제품: 윈도우
탐지:
선택:
이미지|종료
- '\\ProcessHacker.exe'
- '\\procexp.exe'
- '\\vmmap.exe'
조건: 선택
수준: 높음
의심스러운 드라이버 부하를 포착하는 Sysmon(구성) 이벤트
C:\\Windows\\System32\\드라이버\\
이러한 유틸리티는 대부분 합법적으로 사용되므로 알림 컨텍스트가 핵심입니다. 일반적인 관리자 활동을 기준으로 조정하는 것이 시작점입니다.
우선 순위가 지정된 변조 도구 탐지 체크리스트
| 탐지 작업 | 우선순위 | 근거 |
|---|---|---|
| 프로세스 조상 모니터링 및 흔하지 않은 부모-자식 패턴에 대한 알림 생성 | 높음 | 공격자는 LOL빈과 합법적인 툴을 악용합니다. |
| 로컬 로그인과 연관된 EDR/AV 서비스 중지/비활성화 이벤트에 대한 알림 | 높음 | 변조 시도의 직접적인 징후 |
| 화이트리스트에 없는 공급업체의 드라이버 로드 기록 및 알림 | 높음 | BYOVD 및 커널 변조 벡터 |
| 보안 에이전트 실행 파일에 대한 FIM/해시 감시 | Medium | 변조된 바이너리 또는 이름이 변경된 실행 파일 탐지 |
| 타임스탬프 드리프트 및 로그 간격 감지 | 높음 | 로그 변조로 포렌식 가치 감소 |
| 상담원 원격 측정 하트비트와 상담원 프로세스 상태 확인 | 높음 | 원격 측정값이 떨어지면 조작을 나타낼 수 있습니다. |
강화 및 완화: 엔지니어가 실제로 하는 일
방어 강화
- 변조 방지: 권한이 낮은 관리자가 서비스를 중지/비활성화하는 것을 방지하고 신뢰할 수 없는 설치 관리자 컨텍스트를 제한하는 공급업체에서 제공하는 변조 방지 기능입니다. 참고: 올바른 권한 모델에서만 유효합니다.
- 커널 강화 및 드라이버 검사: 코드 서명 및 공급업체 허용 목록을 사용하여 허용된 드라이버를 화이트리스트에 추가하고, 알려진 취약한 드라이버를 차단합니다.
- 변경 불가능한 원격 분석 채널: 엔드포인트 에이전트는 기본 원격 분석 경로가 간섭을 받는 경우 대체 보안 채널을 시도하여 원격 분석을 푸시하고 서버 측에서 소스 무결성을 확인해야 합니다.
- 서비스 복구 로직: 상태 재조정을 통해 서비스 자동 재시작을 강화하여 에이전트가 프로세스뿐만 아니라 재시작 후 탐지 상태를 다시 빌드하도록 합니다.
- 감사 및 로깅 강화: 로그를 신속하게 오프호스트로 전송(중앙 집중식 syslog/SIEM)하고 전송 또는 수집 이상 징후를 모니터링합니다.
정책 및 프로세스
- 관리자에게 최소한의 권한 - 불필요한 로컬 관리자 권한을 제거합니다.
- 서명 및 변경 불가능한 에이전트 업데이트 - 업데이트 및 시작 시 암호화 인증이 필요합니다.
- 변조 관련 인시던트 플레이북 - 변조가 감지되는 경우 포렌식 사본을 격리, 재이미징 및 보존하는 사전 정의된 단계가 있습니다.
- 레드팀 탬퍼링 연습 - 공인된 변조 도구 사용 사례(BYOVD 시뮬레이션 포함)를 통한 테스트 탐지.
자동화 및 AI를 통한 변조 탐지 운영화
이제 탐지 시그니처에서 자동화된 대응 및 시뮬레이션으로 전환해 봅시다. 이 단계에서 AI 기반 펜테스트/자동화 플랫폼이 성숙도를 가속화할 수 있습니다.
시뮬레이션 및 지속적인 검증
- 자동화된 변조 시뮬레이션탐지 및 대응을 검증하기 위해 통제된 환경에서 일반적인 변조 작업(서비스 중지, 프로세스 주입, 취약한 드라이버 로드)을 시도하는 예약된 공격입니다.
- 카오스 테스트 엔드포인트 복원력: 양성 프로세스 조작을 무작위로 트리거하고 탐지 파이프라인이 예상되는 심각도에 따라 이를 표시하도록 합니다.
- 원격 측정 무결성 테스트에이전트가 서명된 하트비트를 생성하는지, SIEM이 위조된 원격 분석을 수락/거부하는지 확인합니다.
AI 증강
- 행동 기준선: ML 모델은 정적 규칙보다 다차원 원격 분석(프로세스 트리, 네트워크 흐름, 드라이버 이벤트)에서 편차를 더 빠르게 감지합니다.
- 우선순위 지정: AI 분류는 변조 지표를 공격자의 의도에 대한 충실도 높은 징후(인증정보 도용, 측면 이동)와 연관시켜 노이즈를 줄입니다.
- 자동화된 플레이북 실행변조가 확인되면 자동으로 격리를 적용하고 포렌식을 수집하며 의심스러운 드라이버 또는 해시를 차단합니다.
코드 및 탐지 레시피
아래는 실제 아티팩트입니다: 탐지 코드 스니펫, YARA 규칙, 그리고 드롭인하여 반복할 수 있는 Splunk 규칙입니다.
YARA: 일반적인 변조 바이너리 문자열 탐지
규칙 TamperingToolCandidates {
meta:
author = "sec-engineer"
description = "변조 도구의 전형적인 문자열이 포함된 바이너리를 탐지합니다."
문자열:
$proc_hack = "ProcessHacker" 노케이스
$procexp = "프로세스 탐색기" 노케이스
$vmmap = "VMMap" 노케이스
조건
그 중 하나
}
PowerShell: "중지됨"으로 플래그가 지정된 서비스가 정상적으로 실행되는지 확인합니다.
$critical = @("YourEDRServiceName","YourAVService")
foreach ($svc in $critical) {
$s = Get-Service -Name $svc -ErrorAction SilentlyContinue
if ($s -and $s.Status -ne 'Running') {
Write-Output "$svc가 $env:COMPUTERNAME에서 실행되지 않음"
# 에스컬레이션: 알림을 보내거나 복구 스크립트로 재시작 시도
}
}
Splunk: 드라이버 로드 후 이벤트 잘림 패턴 감지
index=sysmon EventID=6 또는 index=wineventlog EventCode=1102
| 컴퓨터 이름, EventID로 통계 카운트
| where EventID=6 OR EventID=1102
| join ComputerName [ 검색 인덱스=와인벤트로그 EventCode=7045 | 필드 ComputerName, 메시지 ]로 입력합니다.
| where count>1
탐지 시그니처 및 대응 조치
| 서명 | 증거 | 즉각적인 대응 |
|---|---|---|
| 로그인 세션 내에서 EDR 서비스 중지 | 서비스 중지 이벤트 + 대화형 로그인 | 호스트 격리, 메모리 수집, 스냅샷 디스크 |
| 알 수 없는 게시자로부터 로드된 커널 드라이버 | 드라이버 로드 이벤트 ID + 서명 불일치 | 커널 정책에서 드라이버 로드 차단, IR로 에스컬레이션 |
| 빠른 로그 잘라내기 | 보안 로그 지우기 이벤트 | 로그의 보안 사본 전달, 격리, 포렌식 시작 |
| 알려진 변조 도구 경로 실행 | 경로로 이벤트 만들기 프로세스 | 프로세스 종료, 재시작 방지, 프로세스 덤프 수집 |
펜리전트: 지능형 펜테스트 플랫폼의 도입 방법
펜리전트 를 사용하면 휴먼 인 더 루프 스크립트 없이 대규모 차량에서 변조 툴 동작을 시뮬레이션할 수 있습니다. 각 EDR/드라이버 조합에 대해 맞춤형 스크립트를 작성하는 대신 Penligent는 공격 매트릭스를 자동화하여 에이전트 차단, BYOVD 드라이버 로드 에뮬레이션(테스트 샌드박스에서), 원격 측정 손실 탐지 테스트 시나리오를 생성합니다. 침입 후 전술을 모델링하기 때문에 변조 시도가 발생했을 때 팀이 분류 플레이북이 올바르게 실행되는지 검증할 수 있도록 도와줍니다.
실제 사례 연구 및 시사점
- EDR 킬체인 관측 - 여러 벤더의 블로그와 사고 기록에 따르면 공격자들은 탐지 에이전트를 조기에 중단시키려고 일상적으로 시도합니다. 공격자는 프로세스를 정상적으로 중지하거나, 제품 버그를 악용하여 정상적으로 종료하거나, 커널 수준 드라이버를 사용하여 자동 종료를 시행합니다.
- BYOVD는 활성 벡터입니다. - 알려진 취약점이 있는 합법적으로 서명된 드라이버를 로드하는 것은 여전히 영향력이 큰 기법입니다. 방어 팀은 드라이버 허용 목록을 유지하고 비정상적인 드라이버 로드에 대해 경고해야 합니다.
- 로그 변조는 스텔스 배율입니다. - 로그를 비활성화하거나 수정하면(예: 스폰슬러스와 같은 모듈) 사고 발생 후 가시성이 직접적으로 감소합니다. 중앙 집중식 불변 로깅은 이러한 위험을 줄여줍니다.
- 변조 테스트 운영 - 지속적인 변조 시뮬레이션을 예약하고, 환경 전반에서 탐지 지연 시간과 오탐을 측정하고, 엔지니어링 백로그에 결과를 입력하세요.
1일 탬퍼 헌팅 연습을 위한 빠른 체크리스트
- 인벤토리: 모든 엔드포인트 보안 에이전트, 서비스 및 관련 드라이버를 나열합니다.
- 기준: 관리자 작업 및 알려진 운영자 도구에 대한 일반 프로세스 조상을 기록합니다.
- 주입: 양성 변조 시뮬레이션을 실행합니다(중요하지 않은 서비스 중지, 허용된 테스트 드라이버 로드).
- 감지: SIEM/EDR 알림을 확인하고 누락된 신호에 대해 에스컬레이션합니다.
- 패치: 관찰된 갭에 대한 탐지 규칙 및 드라이버 허용 목록 로직을 추가합니다.
- 펜리전트 또는 레드팀 자동화를 통해 다시 테스트하세요.
실질적인 제한 사항 및 장애 모드
- 오탐은 현실입니다많은 관리자 작업은 공격자가 사용하는 것과 동일한 도구를 사용합니다. 컨텍스트가 풍부한 탐지(누가, 어디서, 어디서 작업을 실행했는지, 의심스러운 로그인이 선행되었는지 여부)에 투자하세요.
- 에이전트는 여러 계층에서 공격받을 수 있습니다.단일 완화 조치(예: 변조 방지 플래그)만으로는 충분하지 않습니다. 계층화된 제어가 필요합니다.
- 커널 가시성 확보가 어려운 규모전체 운전자 모니터링 및 검증은 잡음이 있을 수 있으며, 신호 대 잡음 개선을 위한 종합적인 원격 측정이 가능합니다.
