hhkb
레드팀

레드팀풀체인_05_거점 확보와 방어 회피

작성자 : Heehyeon Yoo|2025-12-26
# RedTeam# Persistence# DefenseEvasion# OpSec# DLLSideloading

1. 거점 확보(Persistence) 실습

초기 침투 이후, 지속적인 접근 권한을 유지하기 위해 거점(Bridgehead)을 확보하는 과정이다. 단순히 악성코드를 실행하는 것을 넘어, 시스템 재부팅이나 세션 종료 후에도 연결이 유지되도록 설정한다.

1.1. DLL 사이드로딩(DLL Sideloading) 활용

정상적인 프로그램인 Notepad++의 업데이터(GUP.exe)가 실행될 때, 같은 경로에 있는 악성 DLL(libcurl.dll)을 로드하도록 유도하는 기법을 사용한다.

  • 구성 요소:
    • GUP.exe: 서명된 정상 실행 파일(Trigger).
    • libcurl.dll: 악성 쉘코드를 로드하는 C2 로더(Loader).
    • robots.txt: 암호화된 쉘코드(Encrypted Shellcode).
  • 실행 흐름: GUP.exe 실행 -> libcurl.dll 로드 -> robots.txt 복호화 및 메모리 실행 -> C2 서버 연결.

1.2. 작업 스케줄러(Scheduled Task) 등록

매번 수동으로 실행하는 것은 탐지 위험이 높으므로, 윈도우의 작업 스케줄러를 이용해 단발성 트리거를 만든다.

  • OpSec 고려사항:
    • 이름 위장: Update Task, Chrome Updater 등 정상적인 시스템 작업처럼 보이도록 명명한다.(실습에서는 Run Group Choi 등을 사용했으나 실무에서는 금지).
    • 일회성 실행: 주기적인 실행(매분, 매시간)은 패턴 탐지에 취약하므로, "한 번만 실행(Run Once)"하고 스케줄을 삭제하는 방식을 권장한다.

2. 방어 회피(Defense Evasion)의 핵심 원칙

2.1. 방어 회피의 역설(The Defense Evasion Paradox)

"방어 회피 기법을 많이 사용할수록, 그 행위 자체가 또 다른 탐지 시그니처나 비정상(Anomaly)을 만들어낸다."

  • 괴물 바이너리: Call Stack Spoofing, ROP Gadgets, Module Stomping 등 수많은 회피 기술을 덕지덕지 붙인 바이너리는 그 자체로 매우 이질적(Abnormal)인 형태가 되어, 오히려 AI/ML 기반 탐지나 숙련된 위협 헌터의 눈에 띄기 쉽다.
  • 시스템 부하: 과도한 후킹 우회나 커널 조작은 시스템 불안정성을 유발하여 블루스크린(BSOD)을 일으킬 수 있으며, 이는 즉각적인 발각으로 이어진다.

2.2. Blend-In(녹아들기) 전략

가장 강력한 회피는 기술적인 우회가 아니라, 정상적인 사용자 행위와 구별되지 않게 녹아드는 것이다.

  • 정상 프로세스 위장: 서명된 정상 바이너리(GUP.exe, Teams.exe 등) 하위에서 사이드로딩으로 실행.
  • 트래픽 위장: 일반적인 HTTPS 웹 서핑 트래픽처럼 패킷 크기와 주기를 조절(AWS Cloudfront, MS Azure 도메인 등을 C2 채널로 사용).
  • 문맥(Context) 고려: 개발자 PC라면 python.exegit.exe 하위에서, 인사팀 PC라면 excel.exe 하위에서 동작하는 것이 자연스럽다.

2.3. 완벽한 회피는 없다

  • 로그는 남는다: EDR 알람을 우회했더라도, Sysmon 로그, 네트워크 넷플로우(NetFlow), 방화벽 로그, 인증 로그 어딘가에는 공격의 흔적(Telemetry)이 남는다.
  • 목표 재설정: 방어 회피의 목표는 "100% 탐지 불가능한 상태"가 아니라, "블루팀의 대응 역량에 맞춰 현실적인 위협을 시뮬레이션하는 것"이어야 한다. 탐지를 지연시켜 목표를 달성할 시간을 버는 것(Time-to-Detect 증가)이 현실적인 목표다.

3. 최신 보안 환경의 이해

  • EDR/XDR의 진화: 엔드포인트뿐만 아니라 클라우드, 네트워크, 계정(Identity) 로그를 통합 분석하여 상관관계(Correlation)를 파악한다.(예: CrowdStrike, SentinelOne).
  • 다층 방어: 엔드포인트 우회에 성공했더라도, 네트워크 IDS/IPS, 사용자 행위 분석(UEBA), 24/7 보안 관제(MDR) 등 겹겹의 방어막이 존재한다.
  • 레드팀의 자세: "내가 뚫었다"는 자아(Ego)를 버리고, 블루팀이 탐지하지 못한 갭(Gap)을 찾아 보완해주는 가치 제공(Value Delivery)에 집중해야 한다.