Partnership

Partnership

PC 버전
모바일 버전

[지니언스 뉴스레터 2025.08 Vol. 68]

페이지 정보

profile_image
작성자 관리자
조회 10회 작성일 25-08-19 16:00

본문

55fd356604f43f7f9773474b60ef2f8a_1755586601_5287.jpg
Genian EDR을 활용한 리눅스 위협 분석 part 2 (Defense Evasion#2)
공격자는 피해자의 시스템에 침투한 후, 보안 자산의 탐지와 차단을 회피하고 악성 행위를 수행하기 위해 
AppArmor, SELinux와 같은 보안 기능을 비활성화 하거나, 
방화벽 규칙을 생성, 삭제하는 등의 방어 회피(Defense Evasion) 전술을 사용합니다. 




리눅스 환경에서의 방어 회피 전술 알아보기
17634_2938647_1754616484365758947.png
Genians Blog
Genian EDR을 활용한 리눅스 위협 분석 Part 2(Defense Evasion#2)
17634_2938647_1754616489771699291.png
공격자는 피해자의 시스템에 침투한 후, 보안 자산의 탐지와 차단을 회피하고 악성 행위를 수행하기 위해 AppArmor, SELinux와 같은 보안 기능을 비활성화하거나, 방화벽 규칙을 생성·삭제하는 등의 방어 회피(Defense Evasion) 전술을 사용합니다.

만약 방어 회피에 실패하게 될 경우, 보안 솔루션으로 인해 정보 탈취, 데이터 훼손 등의 최종 목표를 이룰 수 없게 됩니다.

따라서 공격자들은 방어 회피 기술을 지속적으로 발전시키고 있으며, MITRE ATT&CK에서도 이를 하나의 공격 전술(Tactic)로 분류해 방어 회피에 사용되는 기술(Technique)을 업데이트 하고 있습니다.

이번 블로그에서는 최근 이슈가 된 악성코드 사례를 바탕으로, 공격자가 리눅스 환경에서 어떤 기술로 방어를 회피하는지 분석하고, Genian EDR을 활용해 이를 탐지하는 방법에 대해 살펴봅니다.
블로그 자세히 보기
Genians Blog
RoKRAT 셸코드 및 스테가노그래피 기반 위협 분석과 EDR 대응 방안
17634_2938647_1754616493837369374.png

APT37 그룹이 사용하는 RoKRAT 악성코드의 변종이 새롭게 확인되었습니다.

 

위협 행위자는 LNK 확장자를 가진 바로가기 파일 내부에 'Powershell' 명령어를 삽입해 공격에 활용했습니다.
바로가기 파일은 내부에 정상적인 미끼 문서와 함께 RoKRAT Shellcode 등을 은닉하고 있어, 정상적인 LNK 파일과 비교해 파일 사이즈가 비정상적으로 크다는 특징이 있습니다.

 

또한, 'Multiple Provider Router DLL'로 위장한 RoKRAT 로더(Loader) 형태의 악성 파일도 다수 식별되었으며, 일부는 HWP 문서 내 악성 OLE 객체를 삽입해 공격에 활용된 것으로 분석됩니다.
실제 악성 HWP 문서가 실행된 뒤, 내부의 하이퍼링크를 클릭하면 'ShellRunas.exe' 실행 여부를 묻는 창이 표시되고, 사용자가 이를 허용할 경우 악성 모듈이 시스템에 로드됩니다.
이후 모듈은 Dropbox에서 스테가노그래피(Steganography) 기법을 활용해 악성코드가 숨겨진 JPEG 이미지 파일을 다운로드하고 메모리 상에서 로드합니다.

 

이처럼 RoKRAT 위협은 진화를 거듭하고 있으며, 최신 변종은 일반적인 백신이나 SIEM 시스템만으로는 탐지와 대응이 어려운 APT용 악성코드입니다.
이와 같은 공격에 대응하기 위해서는 이상 행위를 실시간으로 탐지하고 차단할 수 있는 EDR 기반 대응 체계가 필수적입니다.

블로그 자세히 보기
Previous Blog  
17634_2938647_1754617441526285829.png
Gunra 랜섬웨어 분석 보고서
17634_2938647_1754616442677810879.png
'클릭픽스' 전술을 활용한 김수키 그룹 위협 사례 분석
Genians News
지니언스 여름맞이
17634_2938647_1754616591083950118.png

지니안들의 무더위를 식혀줄 여름맞이 이벤트가 올해도 어김없이 돌아왔습니다.


대형 냉동고에 채워진 다양한 아이스크림과, 카페 말랑에서만 맛볼 수 있는 스페셜 팥빙수까지!
지니안들이 여름을 더욱 시원하게 보내는 특별한 순간을 함께해 보세요.

소식 자세히 보기
Media Report
17634_1683009292.png
17634_1683009294.png
NAC    EDR    GPI    IPAM    ZTNA   Contact Us

지니언스 | 경기도 안양시 동안구 벌말로 66, 평촌역 하이필드지식산업센터 A동 12층
COPYRIGHT © GENIANS, INC. ALL RIGHTS RESERVED.
facebook-snsC.png공유하기web-snsC.png웹에서 보기
homepage2-snsC.pngblog-snsC.pngfacebook-snsC.pngyoutube-snsC.png


 

NEWS

Total 66건 1 페이지
  • 열람중
    [지니언스 뉴스레터 2025.08 Vol. 68] Genian EDR을 활용한 리눅스 위협 분석 part 2 (Defense Evasion#2)공격자는 피해자의 시스템에 침투한 후, 보안 자산의 탐지와 차단을 회피하고 악성 행위를 수행하기 위해&n...
  • 65
    [지니언스 뉴스레터 2025.07 Special] @media only screen and (max-width:640px) {.stb-container {}.stb-left-cell,.stb-right-cell {max-width: 10...
  • 64
    [지니언스 뉴스레터 2025.07 Vol. 67] 국내외 보안 행사나 온·오프라인 세미나를 통해 다양한 정보보안 솔루션을 살펴보면, 각 제품이 저다마의 특화된 기술과 영역을 기반으로 핵심 경쟁력을 갖추고 있다는 점을 확인할 수 있습니다.하지만 이런...
  • 63
    [지니언스 뉴스레터 2025.06 Vol. 66]  2025 RSAC 살펴보기 Genians Blog 2025 RSAC 전시회(Exhibition) 참관기 RSA Conference (RSAC) 2025는 '다양한 목소리, 하나의 ...
  • 62
    [지니언스 뉴스레터 2025.04 Vol. 64] 제로트러스트(Zero Trust) 확산에 대한 정부와 정보보호 업계의 노력에도 불구하고시장의 반응은 아직 충분하지 않은 것 같습니다.이론은 점검 복잡해지고 있지만, 구체적인 전환 방법이나 성공 사례...
  • 61
    [지니언스 뉴스레터 2025.02 Vol. 62]  출근 후 사내 자원에 접속할 때 여러 번 로그인해야 하는 불편함과 보안 취약성을 해결하기 위해 SSO나 LDAP과 같은 인증 프로토콜을 활용할 수 있습니다. 이를 지원하는 솔루션...
  • 60
    [지니언스 뉴스레터 2025.01 Vol. 61] 대부분의 제품에서 사용되는 ID/PW 로그인 방식은 로그인 정보를 탈취할 경우 제품 운영 전반에 심각한 위협을 초래할 수 있습니다.반면, 생체인증은 추측하거나 재사용이 불가능하므로 보안성이 뛰어납니...
  • 59
    [지니언스 뉴스레터 2024.12 Vol. 60] 공격자는 정보 탈취, 데이터 훼손, 서비스 중단 등을 달성하기 위해 피해자의 시스템에 침투합니다.이 과정에서 보안 자산에 의한 탐지 및 차단을 피하고 악성 행위를 수행하기 위해 난독화, 인...
  • 58
    [지니언스 뉴스레터 2024.11 Vol. 59] 클라우드 환경은 눈에 보이지 않는 데이터 센터와 네트워크 인프라 위에서 운영되기 때문에 직접적인 관리가 어렵습니다. 따라서 보안 위협이나 장애 발생 시 대응 체계가 더욱 중요합니다.이번 블...
  • 57
    [지니언스 뉴스레터 2024.10 Vol. 58] 제품 개발 과정에서 모든 고객의 요구 사항을 수용하는 데는 한계가 있습니다.그러나 연동을 위한 API와 편의성/접근성을 지닌 서비스들이 시중에 출시되어 있어, 이를 이용해 고객의 요구 사항을 직접 ...
  • 56
    [지니언스 뉴스레터 2024.09 Vol. 57] 가트너의 하이프사이클을 통해 바라본 제로트러스트와 ZTNA Genians Blog ZTNA를 통해 본, 제로트러스트 성공의 조건 가트너의 하이프사이클(Hype Cycle) 보고서는 기술이 등...
  • 55
    [지니언스 뉴스레터 2024.05 Vol. 53] 침해사고의 영향력은 갈수록 심각해지고 있습니다.피해를 방지하기 위해서는 지속적인 감시와 탐지 체계를 통해 이상 징후를 신속히 감지해야 합니다.Genian EDR을 활용하여 침해사고를 식별, 제한, ...
  • 54
    [지니언스 뉴스레터 2024.04 Vol. 52] 지니언스는 자사 제품 및 서비스의 취약점을 발굴하고 보안을 강화하기 위해 22년 3월부터 업계 최초로 버그바운티를 시행하고 있습니다.이번 블로그에서는 약 2년간의 버그바운티 운영 실적을 공유하고, ...
  • 53
    [지니언스 뉴스레터 2024.03 Vol. 51] 대부분의 해킹 침해 사고는 소프트웨어 또는 애플리케이션에 존재하는 보안 취약점(또는 보안 약점)을 악용하여 발생합니다.만약 개발 과정에서 시큐어 코딩 또는 보안을 고려하지 못했거나 취약점이 있는 오...
  • 52
    [지니언스 뉴스레터 2024.02 Vol. 50] 최근 변화된 업무 환경에 따라 제로트러스트(Zero Trust)의 개념이 확대.발전하고 있으며, NAC 또한 ZTNA(Zero Trust Network Access)로 빠르게 변화하고 있습...
  • 51
    [지니언스 뉴스레터 July 2023 Vol.43] 2019년 말에 등장한 LockBit 랜섬웨어 조직은 러시아에 기반을 두고 전 세계의 기업 및 공공기관을 대상으로 활동하고 있습니다.모든 랜섬웨어 조직들 중 가장 활발히 활동하고 있으며, ...

검색