엔드포인트 보호는 다음에서 중요한 역할을 합니다.
현대 조직 보안 스택. 그러나 이 보안의 본질은
모델은 근본적으로 결함이 있습니다. 엔드포인트 보안 솔루션 및 악성
이를 위반하려는 배우들은 끊임없는 고양이 게임에 갇히고
생쥐. 양측은 계속해서 상대방의 전술에 적응하고 대응해야 합니다.
불행히도 조직의 보안 전문가에게는 경쟁의 장
근본적으로 불균형하다.

보안 솔루션 및 전문가는
완벽한 엔드포인트 보호를 유지합니다. 한편 해커는 단 하나의
엄청난 피해를 입히려는 성공적인 시도. 그러나 보안 솔루션은
한 가지 유리한 점: 가장 일반적인 엔드포인트 보안 회피
기술은 공격자 풀을 제한하는 지속적인 업데이트와
공격이 시작되는 규모.

이는 곤란을 초래한다.
질문 — 공격자가 방어를 회피할 수 있는 기술이 존재한다면 어떻게 될까요?
악성 코드에 대한 조정이 거의 필요하지 않은 상태에서
그것은 제가 저와 함께 발표한 최근 발표에서 호평을 받은 주제였습니다.
동료 보안 연구원 힐라 코헨(Hila Cohen) DEF 콘 27 라스베가스, 네바다.

이 기술을 자세히 살펴보자
엔드포인트 보안에 대한 의미.

엔드포인트 보안 현황

기존 보안 솔루션은 XNUMX가지를 사용합니다.
보호를 유지하기 위한 메커니즘:

• 정적 서명 — 이것은 시퀀스의 간단한 해시일 수 있습니다.
  파일의 바이트 수. 서명은 파일 세그먼트(또는 메모리 블록)에 서명하여
  일반적인 IOC(Indicators of Compromise)를 검사하여 파일이
  물들이는.
• 발견적 규칙 — 이 규칙은 가져온 항목을 검사할 수 있습니다.
  함수 목록, 실행 가능한 용도, 섹션 크기 및 구조 등
  엔트로피를 포함한 속성. 발견적 규칙은 속성을 식별하려고 시도합니다.
  악성 파일에서 흔히 볼 수 있지만 안전한 실행 파일에는 존재하지 않습니다. 그들
  IOC를 기반으로 하지 않으며 여기에 포함된 바이너리 시퀀스 또는 해시를 검사하지 않습니다.
  정적 서명 범주.
• 행동 서명 -이것들
  서명은 모든 악성 활동을 식별, 평가 및 차단하려고 시도합니다.
  정적 서명 및 휴리스틱 규칙의 제한으로 인해 감염
  파일은 종종 안전한 것으로 잘못 분류됩니다. 행동 서명은 다른
  접근 방식은 시스템에서 실행되는 작업 순서를 기반으로 하기 때문에
  악의적인 논리를 구현하는 것보다

위에서 언급했듯이 엔드포인트 보호
솔루션에는 다양한 약점이 있습니다. 공격자는 IOC를 변경할 수 있으며,
탐지를 회피할 수 있는 악성 파일의 속성 및 동작
그리고 격리. 그러나 이러한 기술은 매우 수동적이며 상당한 작업이 필요합니다.
공격자가 대규모로 구현하기 어렵게 만듭니다.

그러나 가능하게 하는 또 다른 접근 방식이 있습니다.
많은 노동력 없이 엔드포인트 보안 우회
전문 기술: Malproxying.

Malproxying 작동 방식

엔드포인트의 핵심 운영 모델
보안 솔루션은 간단합니다. 코드를 식별하고 분석한 다음 분류하고
(잠재적으로) 차단. 그러나 공격자가 해당 코드를 완전히 가릴 수 있다면 어떻게 될까요?

그것이 malproxying의 전제입니다.
대상 시스템에 악성 코드 배포를 방지하고
따라서 해당 코드를 대상 운영 체제와의 상호 작용에서 분리합니다.
체계. 작동 방식은 다음과 같습니다.

코드 조각은 작동과 상호 작용합니다.
일련의 API 호출을 통해 시스템 및 환경. 공격자는 이들을 리디렉션합니다.
API 호출, 그리고 자신의 운영 체제에서 실행하는 대신 프록시
네트워크를 통해 대상 머신에. 따라서 악성 코드는
보안 솔루션에 의해 모니터링되지 않는 공격자 측(예:
공격자는 환경을 완전히 제어하지만
악성 코드가 실제로 대상 환경과 상호 작용하여
일반적인 엔드포인트 보안 보호 메커니즘을 우회합니다. 악성코드,
한편, 대상 머신에서 실행되지 않았다고 말할 수 없습니다.

더 깊은 수준에서 기술에는 두 가지가 포함됩니다.
주요 구성 요소: 공격자 및 대상 스텁. 공격자 코드 로드 및 실행
악의적인 명령, API 함수 호출을 제어하고 리디렉션
대상 스텁에 대한 네트워크 터널.

대상 코드는 결백한 것으로 보이며
사전 코딩된 악성 활동. API 요청 및 매개변수를 수신하고,
이러한 요청을 실행하고 결과를 공격자 스텁에 반환합니다.
이러한 결과는 악성 코드에 정확히 반환됩니다.
악성 코드가 API 함수를 로컬로 호출한 경우 반환됩니다. 그만큼
악성 코드는 응답이 거쳐온 긴 여정을 전혀 인식하지 못합니다.
목적지에 도착할 때까지.

Malproxying 대응

Malproxying 기술은 다음과 같이 설계되었습니다.
엔드포인트 탐지 솔루션에서 사용하는 기본 메커니즘을 회피합니다. 목표
스텁에는 기본 형식에 악의적인 논리가 포함되어 있지 않으므로
잡히면 식별하고 쉽게 수정할 수 있습니다. 정적 서명 및 경험적 규칙
쉽게 우회됩니다.

그러나 행동 서명은 또 다른
문제. 결론적으로 "악의적인" API 호출 시퀀스는 다음과 같아야 합니다.
공격자의 악의적인 목표를 달성하기 위해 대상 시스템에서 실행됩니다. ㅏ
정교한 모니터링 도구는 악성 흐름을 감지하고
경보. 이것은 단지 또 다른 장기간의 고양이와 쥐 싸움을 불러일으킬 뿐입니다.
공격자는 모니터링 도구가
그들의 악의적인 행동의 흔적을 모으십시오.

예를 들어 공격자는 각
다른 스레드에서 API 함수 호출로 인해 보안이 더 어려워짐
단일 코드 흐름을 식별하여 악성인지 여부를 확인하는 솔루션
아니다. 둘째, 공격자는 탐지 지점을 우회할 수 있습니다.
솔루션은 프로세스의 활동을 추적합니다. 일단 그 탐지 포인트는
우회하면 보안 솔루션은 모든 API 기반 활동을 차단합니다.

지속적인 개선과 개선
행동 탐지 기능은 더 나은 옵션을 나타냅니다. 트리거된 작업
다양한 기술을 사용하여 악의적인 논리에 의해 추적될 수 있습니다.
완전히 추적됩니다. 실행된 시스템 기능에 대한 보다 강력한 로그 작성
악의적인 행동을 정의하는 서명과 호출을 통해 조직은
이 새로운 공격 기술에 대한 보다 실용적인 방어선을 개발하십시오.

Amit Waisel, 보안 연구 수석 기술 책임자, XM Cyber