EDR 보안 솔루션 무력화하는 ‘크립토24’ 공격조직 주의보
오픈소스 우회 도구 및 고유 설치 프로그램 악용, 센티넬원·트렌드마이크로 등 뚫어
[아이티데일리] 최신 사이버 보안 솔루션 중 하나인 EDR(Endpoint Detection and Response)을 무력화하는 공격 조직 ‘크립토24(Crypto24)’의 공격 기법이 주목을 받고 있다. 이들은 오픈소스 EDR 우회 도구와 각 제품 고유의 설치/삭제 프로그램을 이용해 EDR 솔루션을 시스템에서 삭제하고 공격을 시도하는 것으로 파악되는데, 센티넬원(SentinelOne)과 트렌드마이크로(Trend Micro) 등 주요 보안 기업들의 제품을 포함한 약 26개 EDR 솔루션이 공격 가능 대상이다. 지난해부터 활동이 파악된 크립토24는 주로 미국, 유럽, 아시아 등지의 금융, 제조, 엔터테인먼트, 기술 분야 대형 조직들을 노리는 것으로 알려졌다.
18일 보안 업계에 따르면, 크립토24가 사용하는 악성 도구는 중국의 개발자 ‘myzxcg’가 만든 오픈소스 EDR 우회 도구 ‘리얼블라인딩EDR(RealBlindingEDR)’을 맞춤형으로 개조한 것으로 파악된다. 이 도구는 2023년 10월 깃허브(GitHub)에 공개돼 누구나 다운로드할 수 있는 상태로, 개발자는 v1.5 버전부터 실행 파일만 배포하고 소스코드는 더 이상 업데이트하지 않는다고 발표했다.
리얼블라인딩EDR은 윈도우 시스템의 6가지 핵심 감시 기능을 제거해 EDR을 ‘눈멀게’ 만드는 방식으로 작동한다. 간단히 말해 보안 카메라의 렌즈를 가리는 것과 같은 효과를 내는 것이다.
트렌드마이크로의 분석에 따르면, 이 도구는 △젠 디지털(Gen Digital) △카스퍼스키(Kaspersky) △AVG 테크놀로지스(AVG Technologies) △소포스(Sophos) △트렌드마이크로(Trend Micro) △멀웨어바이트(Malwarebytes) △비트디펜더(Bitdefender) △아비라(Avira) △시만텍(Symantec) △브로드컴(Broadcom) △트렐릭스(Trellix) △센티넬원(SentinelOne) △안랩(AhnLab) △사이넷(Cynet) △팬다(Panda) △사일런스(SylancE) △상포 테크놀로지스(Sangfor Technologies) △퀵힐(QuickHeal) △코소시스(Cososys) △시스코 시스템(Cisco Systems) △맥아피(McAfee) △포티넷(Fortinet) △코모도 시큐리티 솔루션(Comodo Security Solutions) △아크로니스(Acronis) △시트릭스(Citrix) 등 26개 주요 보안업체의 제품을 겨냥한다. 이는 현재까지 발견된 보안 우회 도구 중 가장 광범위한 공격 범위를 가진 것으로 평가된다.
특히 주목할 점은 크립토24가 리얼블라인딩EDR 변형 도구와 함께 각 솔루션 고유의 정식 설치 프로그램을 악용한다는 것이다. 트렌드마이크로 제품의 경우, 정상적 제거 프로그램인 ‘XBC언인스톨러(XBCUninstaller.exe)’를 악용해 공격을 시도하는데 이 과정에서 그룹 정책 스크립트를 통해 네트워크에서 원격으로 해당 도구를 실행, 보안 기능을 비활성화한 것으로 파악됐다. 마치 집 열쇠를 이용해 문을 여는 것처럼 정상적인 관리 도구를 악용하는 방식이다.
센티넬원 제품에 대해서도 마찬가지로 설치 프로그램 자체를 악용해 공격을 진행했다. 센티넬원의 보안 에이전트는 수동 조치나 고유 코드가 필요한 안티탬퍼 보호 기능으로 보호되지만 다른 버전의 에이전트를 설치할 때 기존 파일을 새 버전으로 교체하기 직전에 관련 윈도우 프로세스를 종료하는 취약점이 있다. 공격자들은 이 짧은 순간을 악용해 정상적인 센티넬원 설치 프로그램을 실행한 후, 실행 중인 에이전트 서비스를 종료하고 설치 과정을 강제 중단시켜 컴퓨터를 무방비 상태로 만드는 것으로 파악됐다.
특히 크립토24의 공격 양상은 ▲초기 침입 후 네트워크 내 횡적 이동 ▲애니데스크(AnyDesk)를 이용해 지속적으로 원격 접근 시도 ▲키로거를 통해 비밀번호 수집 ▲다양한 백도어 악성코드 배포 ▲구글 드라이브(Google Drive)를 통해 은밀히 데이터 유출 등 단순 파일 암호화를 넘어 장기간에 걸쳐 복합적인 정보 수집 및 감시 활동을 한다는 점에서 일반적 랜섬웨어 공격과 차별화된다. 또한 야간이나 주말처럼 감시가 소홀한 시간대를 집중 공략하는 전략적 움직임을 보이는 것으로 알려졌다.
센티넬원은 이러한 공격에 대응하기 위해 기본적으로 비활성화된 ‘온라인 인증(Online Authorization)’ 설정을 활성화하도록 고객들에게 권장하고 있다. 이 기능이 활성화되면 모든 에이전트 업그레이드나 제거 작업에 관리 콘솔의 승인이 필요해진다. 트렌드마이크로 역시 에이전트 자체 보호 기능을 활성화해 로컬 사용자가 트렌드 제품을 변조하거나 제거하지 못하도록 하는 방안을 제시하고 있다.
한 국내 보안 기업의 연구소장은 “정상적인 관리 도구를 악용하고, 맞춤형 보안 우회 도구를 사용한다는 점에서 주목되는 케이스”라면서 “지속적인 보안 모니터링을 넘어 총체적 관점에서의 대응이 필요하다. 제로 트러스트 보안 체계 구현, 정기적 보안 점검, 오프라인 백업 유지 등 다층 방어 체계를 구축해야 한다”고 강조했다.