소포스(Sophos) 연구진은 지난 7월에 발생한 공격을 조사하는 과정에서 푸어트리(Poortry) 또는 번트시가(BurntCigar)라는 이름의 툴셋이 프로세스를 종료하는 이전 공격과 달리, EDR 구성 요소를 완전히 삭제하는 데 사용되었다는 증거를 발견했다고 밝혔다. 이 방법은 랜섬웨어가 설치되는 길을 없애는 데 도움이 된다.
지난해 트렌드 마이크로도 푸어트리가 이 기능을 추가했다고 보고한 적이 있지만, 소포스에 따르면 사이버보안 업체에서 EDR 제거 기능을 사용한 것은 이번이 처음이다.
맨디언트가 처음 발견한 푸어트리/버트시가는 스톤스탑(Stonestop)이라는 이름의 로더와 함께 사용되는 악성 커널 드라이버로, 마이크로소프트 드라이버 서명 적용을 우회하려고 시도한다. 드라이버와 로더는 모두 VM프로텍트(VMProtect), 테미더(Themida) 또는 ASM가드(ASMGuard) 같은 상용 또는 오픈소스 패커에 의해 심하게 난독화되어 있다.
이 드라이버는 속성 시트의 동일한 정보를 사용해 위장을 시도하며, 이는 토넥(Tonec)사의 인터넷 다운로드매니저(Internet Download Manager)라는 상용 프로그램용 드라이버와 동일하다. 하지만 소포스에 따르면 이 소프트웨어 패키지의 드라이버가 아니라 공격자가 이 소프트웨어 패키지에서 정보를 복제했을 뿐이다.
푸어트리를 사용하는 것으로 알려진 랜섬웨어 조직으로는 쿠바, 블랙캣, 메두사, 락빗, 랜섬허브 등이 있다.
소포스는 마이크로소프트가 푸어트리 제작자가 마이크로소프트의 증명 서명 프로세스를 통해 서명된 커스텀 커널 레벨 드라이버를 사용하는 허점을 막은 이후, 개발자가 탐지를 회피하기 위해 새로운 기능을 추가했다고 강조했다.
서명 타임스탬프 위조를 사용하거나 유출된 유효한 타사 디지털 인증서를 획득하는 것도 새 기능이다. 지난 17개월 동안 위협 공격자는 실행 파일에 사용한 서명 인증서를 최소 9번이나 교체했다.
소포스는 위협 행위자가 공격 중에 단일 자산 내의 여러 컴퓨터에 푸어트리의 변종을 배포하는 것을 목격했다. 이러한 변종은 동일한 페이로드를 포함하지만 공격 중에 처음 사용된 드라이버와 다른 인증서로 서명된다. 예를 들어, 2023년 8월 공격자는 처음에 스플래시탑(SplashTop)이라는 원격 액세스 도구를 통해 조직에 침입했다. 그리고 네트워크에 접속하자마자 푸어트리와 스톤스톱을 배포했다. 다행히도 이 경우 서명자 이름인 “bopsoft”는 이미 도난당한 인증서로 알려져 있었기 때문에 표적 기업의 방어로 차단되었다.
그러나 공격자는 30초 이내에 다른 푸어트리 드라이버를 로드했는데, 이 드라이버는 “Evangel Technology (HK) Limited”가 서명한 것이었다. 이 시도 역시 차단되었다.
소포스가 최근 조사한 또 다른 공격에서는 8월 8일 목요일에 “FEI XIAO”라는 이름의 인증서로 서명된 푸어트리 로더가 발견되었다. 소포스는 이 타임스탬프가 위조된 것인데도 “높은 신뢰도”를 가지고 있다고 밝혔다.
소포스는 보고서에서 “한때 '골치 아픈' 엔드포인트 보호 구성 요소를 해제하는 비교적 간단한 도구였던 것이 이제는 그 자체로 드라이버 서명 확인 보호 기능을 우회하기 위해 도난당하거나 부적절하게 사용된 코드 서명 인증서를 거의 무제한으로 공급하는 악의적 기능을 하는 스위스 아미 나이프가 되었다”라고 표현했다.
그 외에 소포스는 푸어트리가 EDR을 죽이는 기능 외에도 저수준 운영체제 기능을 제어하는 데 사용되는 다양한 API 호출을 제한적으로 제어할 수 있는 루트킷과 유사한 형태로 진화했다고 설명했다
editor@itworld.co.kr