BYOVD(Bring Your Own Vulnerable Driver) 공격의 등장은 합법적인 서명 드라이버의 심각한 취약점을 드러냅니다.이러한 형태의 악용을 통해 사이버 범죄자는 커널 수준에서 코드를 실행하고 Microsoft Defender의 탐지를 피한 후 랜섬웨어를 배포할 수 있습니다.시스템을 보호하려면 이 가이드에 설명된 보호 조치를 구현하는 것이 필수적입니다.
BYOVD 공격과 Microsoft Defender에 미치는 영향 이해
BYOVD 공격은 주로 rwdrv.sys 드라이버를 활용하는데, 이 드라이버는 Throttlestop이나 다양한 팬 제어 소프트웨어와 같은 합법적인 애플리케이션과 일반적으로 연관되어 있지만, 무단 커널 접근을 위해 조작될 수 있습니다.공격 프로세스는 다음과 같습니다.
- 공격자는 종종 네트워크를 침해하거나 원격 액세스 트로이 목마(RAT)를 사용하여 대상 PC에 침투합니다.
- 접근이 보안되면 신뢰할 수 있는 rwdrv.sys 드라이버를 설치합니다.
- 이 드라이버는 상승된 권한을 얻어 악성 hlpdrv.sys 드라이버를 설치하는 데 악용됩니다.
- 그러면 hlpdrv.sys 드라이버 가 Windows 레지스트리 설정을 변경하여 Microsoft Defender의 보호 기능을 효과적으로 비활성화합니다.
- 이러한 방어수단이 우회되면 공격자는 랜섬웨어를 설치하거나 다른 악의적인 활동에 참여할 수 있습니다.
현재 아키라 랜섬웨어가 이러한 공격과 관련이 있는 것으로 알려져 있습니다.그러나 Microsoft Defender가 무력화되면 공격자는 다양한 악성 행위를 실행할 수 있습니다.다음 예방 조치를 준수하여 경계를 늦추지 않는 것이 중요합니다.
Windows 보안 기능 강화
Windows에는 Microsoft Defender가 손상된 경우에도 이러한 공격을 차단할 수 있는 보안 기능이 포함되어 있습니다.방어력을 강화하려면 시작 메뉴에서 “Windows 보안”을 검색하여 기본적으로 비활성화되어 있을 수 있는 다음 보안 옵션을 활성화하세요.
- 제어된 폴더 액세스: 이 기능은 Defender가 오프라인 상태일 때도 랜섬웨어 위협으로부터 보호합니다.바이러스 및 위협 방지 → 설정 관리 → 제어된 폴더 액세스 관리 로 이동하여 옵션을 활성화하세요.특정 폴더를 지정하여 랜섬웨어 공격으로부터 추가적인 보호를 제공할 수도 있습니다.
- 핵심 격리 기능: 이 기능을 활성화하면 취약한 드라이버 설치를 방지하고 유해한 코드 실행을 차단할 수 있습니다.이 설정을 활성화하면 시스템 보안이 크게 향상되어 BYOVD 공격이 침투하기 전에 차단할 수 있습니다.기기 보안 으로 이동하여 핵심 격리 세부 정보에 액세스하세요.여기에서 모든 기능을 활성화하는 것이 좋습니다.단, 메모리 무결성을 활성화하려면 추가적인 드라이버 조정이 필요할 수 있습니다.
불필요한 커널 수준 유틸리티 제거
커널 수준에서 작동하는 유틸리티 도구를 사용할 때는 주의가 필요합니다.많은 유틸리티 도구가 rwdrv.sys 드라이버를 사용하기 때문입니다.이 드라이버가 시스템에 이미 설치되어 있으면 공격자가 추가 드라이버를 설치할 필요가 없으므로 작업이 간소화됩니다.하지만 이러한 기존 드라이버는 최근 공격에서 악용되었습니다.이러한 유틸리티 도구가 필요하지 않다면 사용을 중단하는 것이 좋습니다.특히 Throttlestop이나 RWEverything처럼 rwdrv.sys를 설치하는 유틸리티 도구는 더욱 그렇습니다.
rwdrv.sys가 설치되어 있는지 확인하려면 Windows 검색에 “cmd”를 입력하고 명령 프롬프트를 마우스 오른쪽 버튼으로 클릭한 후 관리자 권한으로 실행을 선택합니다.명령을 실행하여 검사를 수행합니다.출력 결과에 rwdrv.syswhere /r C:\ rwdrv.sys 가 존재한다면, 해당 설치에 관여하는 애플리케이션을 확인하고 제거합니다.
일상 업무를 위한 표준 사용자 계정 활용
BYOVD와 같은 위협으로부터 최적의 보호를 위해서는 일상적인 활동에 관리자 계정 대신 표준 계정을 사용하는 것이 좋습니다.이 전략은 특히 관리자 권한을 악용하여 취약한 드라이버를 설치하거나 악용하는 공격에 매우 중요합니다.
표준 계정으로 작업하면 해커가 시스템에 고급 변경 사항을 적용하여 공격이 진행되는 것을 막기가 어렵습니다.침입 시도가 발생하면 해당 작업에 대한 알림을 받게 됩니다.새 표준 계정을 설정하려면 Windows 설정 으로 이동하여 계정 → 다른 사용자 → 계정 추가를 선택 하고 안내에 따라 표준 권한을 가진 새 계정을 설정하세요.
대체 바이러스 백신 솔루션 탐색
이 특정 공격은 Microsoft Defender의 보호 기능을 비활성화하도록 설계되었지만, 타사 바이러스 백신 솔루션에는 효과가 떨어집니다.이러한 애플리케이션은 보호 기능을 관리하는 데 다양한 방법을 사용하기 때문에 BYOVD와 같은 공격이 균일하게 성공하기 어렵습니다.
보안을 강화하려면 Avast 나 AVG Antivirus 와 같이 실시간 검사 기능이 있는 평판 좋은 무료 바이러스 백신 프로그램을 설치하는 것을 고려하세요.
GuidePoint와 Kaspersky와 같은 보안 연구원들은 이미 Akira 랜섬웨어를 이용한 BYOVD 관련 공격에서 rwdrv.sys가 사용된 사례를 추적 하고 침해 지표(IoC)를 발표했습니다. Microsoft에서 이 취약점을 해결하기 위한 향후 솔루션을 기대하지만, 사용 가능한 모든 Windows 보안 기능, 특히 Microsoft Defender의 고급 기능을 활성화하여 사전 예방 조치를 취해야 합니다.
답글 남기기