[보안뉴스]구글 맨디언트, “‘브릭스톰’ 백도어 공격 주의”

내용 요약

구글 클라우드 Mandiant가 EDR 에이전트가 설치되지 않은 어플라이언스를 노린 ‘브릭스톤(BRICKSTORM)’ 백도어 공격을 대응 중입니다. 이 공격은 UNC5221 및 중국 연계 위협 집단이 활용한 고급 기법으로, 무결점 시스템에 지속적으로 잠입합니다.

핵심 포인트

• 에이전트리스 어플라이언스는 전통적 EDR 보호가 부재한 영역이며, 백도어 배포가 쉬운 표적이 됩니다.
• ‘브릭스톤’은 원격 명령/제어(C2)와 파일 삭제, 암호화 기능을 포함해 침해가 지속되도록 설계되었습니다.
• UNC5221 등 중국 연계 공격자는 정교한 모듈화 전략으로 침투와 은폐를 동시에 달성합니다.

기술 세부 내용

1️⃣ EDR 에이전트리스 공격 환경

• 문제점: 어플라이언스에 에이전트 설치가 불가하거나 비활성화된 경우, 기존 EDR 탐지 범위가 사라집니다.
• 공격 흐름:
  1️⃣ 공격자는 취약점(예: 원격 코드 실행)을 통해 네트워크 내 어플라이언스에 접근.
  2️⃣ 시스템 콜 스니핑이나 커널 모듈 삽입으로 정상 운영 체제에 백도어를 삽입.
  3️⃣ 에이전트가 없으므로 정상적인 보안 로그에 흔적이 남지 않아 탐지가 지연됩니다.
• 방어 방안:
  • 네트워크 분리와 제한된 접근 제어(IP ACL, 서브넷 차단) 적용.
  • 정기적 펌웨어 및 OS 패치를 통해 알려진 취약점 차단.
  • 실시간 시스템 모니터링(Sysmon, LKM 차단)과 행위 기반 탐지 도입.

2️⃣ BRICKSTORM 백도어

• 구조:
  • C2 모듈: HTTPS/TCP‑TLS를 사용해 암호화된 명령을 수신.
  • 파일 조작: 임시 파일 생성, 로그 삭제, 악성코드 배포.
  • 가려진 프로세스: 숨김 프로세스 생성과 서비스 등록으로 윈도우 이중화.
• 배포 경로:
  • 웹 취약점(예: RCE), 악성 스크립트 삽입(JavaScript, PowerShell) 등을 통해.
• 감지 포인트:
  • 비정상적인 프로세스(숨김/비정상 경로), 네트워크 트래픽(외부 C2 서버와의 대시보드) 모니터링.
  • 시스템 이벤트(파일 생성/삭제) 분석으로 비정상 패턴 탐지.

3️⃣ UNC5221 & 중국 연계 위협

• 전술: 모듈형 공격 구조와 정교한 은폐 기술을 사용해 복수 단계 공격을 수행.
• 행위:
  • 피싱/사회공학으로 초기 접근 권한 획득.
  • 지능형 악성코드(멀티스레딩, 파일 암호화)로 장기 잠입.
  • 지속적 C2 연결을 통해 데이터 탈취 및 명령 실행.
• 대응:
  • SOC 분석가가 모듈별 시그니처와 행동 분석을 활용.
  • 사이버 인텔리전스(IOC, TTP) 공유를 통해 조직 간 협업 강화.

---

(총 1,420자 이내)

 

출처: http://www.boannews.com/media/view.asp?idx=139485&kind=&sub_kind=