◎  개요

  • Defense Evasion은 공격자의 목적이 “침투” 그 자체가 아니라 “오래 들키지 않고 움직이기”일 때 가장 중요해지는 전술입니다.
  • 여기에는 코드나 명령을 숨기는 Obfuscation, Windows 스캔 인터페이스를 우회하는 AMSI Bypass, 그리고 로그나 에이전트를 손상시키는 Log Tampering이 포함됩니다.
  • 즉, 공격자가 실제로 무언가를 하면서도 방어 제품이 그 사실을 잘 보지 못하게 만드는 것이 핵심입니다.

 

◎ Obfuscation

  • Obfuscation은 명령, 스크립트, 페이로드, 문자열, 경로를 일부러 읽기 어렵게 만드는 기법입니다.
  • PowerShell 인코딩, Base64, 난독화된 변수명, 압축/패킹, API 해시화 등이 대표적인 형태입니다.
  • 이 방식은 코드의 의미를 숨겨 정적 탐지와 시그니처 기반 필터를 우회하려는 목적이 강합니다.
  • 실무에서 Obfuscation을 볼 때는 “내용을 읽을 수 있느냐”보다 “패턴이 비정상적이냐”를 보셔야 합니다.
  • 예를 들어 긴 인코딩 문자열, 비정상적으로 복잡한 명령줄, 짧은 시간 안에 여러 단계 디코딩이 이어지는 행위는 경고 신호입니다.
  • 특히 스크립트가 네트워크에서 내려온 뒤 바로 실행되거나 메모리 상에서 풀리는 경우는 더 주의하셔야 합니다.

 

◎ AMSI Bypass

  • AMSI는 Windows에서 악성 스크립트와 콘텐츠를 스캔할 수 있도록 돕는 인터페이스입니다.
  • 공격자들은 이 인터페이스를 무력화하거나 우회해 Defender와 연동된 스크립트 탐지를 피하려고 합니다.
  • 대표적인 방식으로는 메모리 패치, DLL 하이재킹, 레지스트리 조작, 오류 유도, 훅 조작, 문자열 변경 등이 알려져 있습니다.
  • 중요한 점은 AMSI Bypass가 단순한 “Defender 끄기”가 아니라는 것입니다.
  • 공격자는 종종 AMSI 초기화 자체를 실패시키거나, 스캔 결과를 우회하게 만들어 스크립트가 정상처럼 보이게 만듭니다.
  • 따라서 EDR 관점에서는 PowerShell 실행만 보는 것이 아니라, AMSI 관련 오류, 비정상 DLL 로딩, 스크립트 실행 직전의 메모리 변경까지 함께 보셔야 합니다.

 

 

◎ Log Tampering

  • Log Tampering은 탐지와 포렌식을 방해하기 위해 로그 자체를 없애거나 왜곡하는 행위입니다.
  • Windows Event Log 서비스 중단, 감사 정책 변경, Sysmon 드라이버 비활성화, 특정 이벤트 소스 삭제, 로그 파일 삭제나 손상 등이 여기에 해당합니다.
  • 이 단계는 공격자가 이미 내부에서 어느 정도 발판을 확보했다는 신호로 보는 경우가 많습니다.
  • 실제 환경에서는 로그가 사라진 “사건” 자체가 탐지 포인트가 됩니다.
  • 예를 들어 이벤트 로그가 갑자기 끊기거나, 수집 에이전트가 죽거나, 보안 로그 설정이 변경되면 단순 장애가 아니라 방어 회피 시도로 봐야 합니다.
  • 로그는 단순 기록이 아니라 사고를 복원하는 재료이므로, 공격자는 이를 먼저 끊으려는 경향이 강합니다.

 

◎ EDR/Logging 회피 최신 트렌드

  • 최근 EDR 회피는 단순한 바이너리 난독화에서 더 나아가, 운영체제와 보안 도구의 정상 동작을 교묘히 이용하는 방향으로 진화하고 있습니다.
  • 예를 들어 직접 syscall 호출, DLL 언후킹, 메모리 패치, PPID 스푸핑, 사용자 모드 훅 우회, 서명된 정상 도구 악용이 계속 등장하고 있습니다.
  • 즉, 악성 파일을 눈에 띄게 만들기보다 정상 프로세스에 섞이게 만드는 쪽으로 이동하고 있습니다.
  • 또한 최근에는 단일 우회보다 여러 우회를 조합하는 경향이 강합니다.
  • 스크립트 난독화로 시작해 AMSI를 우회하고, 이어서 로그 수집을 약화시키며, 마지막에 정상 도구를 써서 행동을 숨기는 식입니다.
  • 이런 복합형 Defense Evasion은 한 가지 탐지로 막기 어렵기 때문에 행위 상관 분석이 중요합니다.

 

◎ 탐지 포인트

 - Defense Evasion을 잡으려면 단일 이벤트보다 주변 맥락을 보셔야 합니다.

  • PowerShell이 갑자기 인코딩 인자를 사용하거나, 스크립트 실행 직전에 AMSI 관련 오류가 반복되거나, 보안 로그 설정이 바뀌는 경우는 강한 단서입니다.
  • 또한 평소와 다른 프로세스가 Sysmon, EventLog, Defender 관련 행위에 관여하면 의심해야 합니다.

 

 - EDR에서는 다음 신호를 특히 유심히 보셔야 합니다.

  • 짧은 시간 안에 여러 디코딩·복호화·실행 단계가 이어지는 경우.
  • 서명된 정상 도구가 비정상 경로에서 실행되는 경우.
  • 보안 관련 DLL 또는 서비스의 비정상 로딩·중단·설정 변경이 발생하는 경우.
  • 기존 감사나 로깅 정책이 갑자기 약해지는 경우.

 

◎ 방어 관점

  • 방어에서는 우회 기법을 하나씩 막기보다, 우회가 어려운 운영 환경을 만드는 것이 더 중요합니다.
  • PowerShell의 로깅 강화, Script Block Logging, AMSI 연계 탐지, Windows Event Log 보호, Sysmon 안정화, EDR 변조 탐지, 관리자 권한 최소화가 기본입니다.
  • 또한 로그 수집을 중앙화하고, 엔드포인트에서 삭제가 발생해도 원격 저장소에는 남도록 해야 합니다.
  • 최근 트렌드를 보면 공격자는 점점 더 “안 보이게 움직이는 것”에 집중하고 있습니다.
  • 따라서 방어도 단순 서명 탐지에서 벗어나, 프로세스 흐름, 메모리 변화, 로그 무결성, 관리 도구 남용을 함께 봐야 합니다.
  • 결국 Defense Evasion은 공격자의 기술보다 방어자의 관찰 범위를 넓히는 문제가 더 큽니다.

 

◎ 정리

  • Defense Evasion은 공격자가 탐지와 대응을 피하기 위해 사용하는 핵심 전술입니다.
  • Obfuscation은 내용을 숨기고, AMSI Bypass는 스크립트 스캔을 우회하며, Log Tampering은 조사와 탐지를 방해합니다.
  • 최신 EDR/Logging 회피는 점점 더 정상 도구와 정상 동작에 섞이는 방향으로 진화하고 있으므로, 단일 이벤트가 아니라 행위 연쇄와 로그 무결성까지 함께 보셔야 합니다.

 

 

 

반응형

+ Recent posts