Medusa 랜섬웨어의 보안 회피 방법

Medusa 랜섬웨어 그룹은 보안 방어 체계를 우회하기 위해 더욱 정교한 기술을 활용하며 계속 진화하고 있습니다. 최근에는 "Bring Your Own Vulnerable Driver" (BYOVD) 기술을 사용하여 악성 드라이버를 실행하고, 이를 통해 엔드포인트 탐지 및 대응(EDR) 솔루션을 비활성화하고 있습니다. 이로 인해 랜섬웨어가 기업의 핵심 시스템을 쉽게 침투하고 암호화할 수 있습니다.

이번 공격의 핵심 요소는 "ABYSSWORKER"라는 악성 드라이버입니다. 이 드라이버는 중국 벤더에서 탈취되었거나 폐기된 인증서로 서명되어 있어 정상적인 드라이버처럼 보이기 때문에 보안 솔루션의 탐지를 회피할 수 있습니다.

Medusa는 이 악성 드라이버를 랜섬웨어 페이로드와 함께 배포하며, HeartCrypt라는 패커(Packer-as-a-Service, PaaS)를 사용하여 로더를 난독화합니다. 서명된 악성 드라이버와 난독화된 로더의 조합은 전통적인 보안 솔루션이 공격을 탐지하고 차단하는 것을 훨씬 더 어렵게 만듭니다.

ABYSSWORKER 드라이버가 설치되면, Medusa 랜섬웨어는 다음과 같은 방식으로 보안 시스템을 무력화합니다.

• 보안 프로세스 및 EDR 솔루션을 비활성화

• 시스템 파일을 조작하고 특정 프로세스를 강제 종료

• 보안 모니터링 콜백을 제거하여 탐지를 회피

또한, 이 드라이버는 CrowdStrike의 Falcon 드라이버 같은 정상적인 보안 소프트웨어 구성 요소를 가장하여 탐지를 더욱 어렵게 만듭니다. 이 기법을 통해 시스템 내부에서 보안 경고를 발생시키지 않고 조용히 활동할 수 있습니다.

악성 드라이버를 이용한 보안 솔루션 비활성화 기법은 Medusa만의 전략이 아닙니다. EDRSandBlast 및 RealBlindingEDR과 같은 다른 공격 도구들도 유사한 기법을 활용하여 엔드포인트 보안 솔루션을 우회하고 있습니다.

이는 사이버 범죄자들이 점점 더 정교한 회피 기술을 개발하며 최신 보안 시스템을 무력화하려는 경향이 커지고 있음을 보여줍니다.

기업들은 이러한 위협에 대비하기 위해 사전 대응 전략을 수립해야 합니다. 효과적인 보안 조치는 다음과 같습니다.

• 허가되지 않은 드라이버 설치를 모니터링하고 차단

• 행동 분석 및 이상 탐지를 활용하여 비정상적인 시스템 활동을 감지

• 보안 솔루션을 최신 상태로 유지하여 새로운 위협을 신속하게 탐지 및 차단

  
  

Medusa 랜섬웨어 그룹이 BYOVD 기법을 채택했다는 사실은 사이버 범죄자들이 지속적으로 공격 기술을 발전시키며 보안 솔루션을 우회하려 한다는 점을 보여줍니다. 이러한 공격이 점점 더 확산됨에 따라, 기업들은 보안 태세를 강화하여 최신 위협에 대비해야 합니다. PAGO MDR 서비스는 Preemptive Disruption 및 Containment Action 방법론을 적용하여 위협을 사전에 탐지하고 신속하게 차단함으로써 기업의 보안 리스크를 최소화합니다.

출처: The Hacker News