사이버보안 연구원들은 Microsoft의 Windows Smart App Control과 SmartScreen의 설계상 약점을 발견했는데, 이를 통해 위협 행위자는 아무런 경고도 없이 대상 환경에 처음으로 접근할 수 있습니다.
Smart App Control(SAC)은 Microsoft가 Windows 11에 도입한 클라우드 기반 보안 기능으로, 악성, 신뢰할 수 없는, 잠재적으로 원치 않는 앱이 시스템에서 실행되는 것을 차단합니다. 서비스가 앱에 대한 예측을 할 수 없는 경우, 앱에 서명이 되어 있는지 또는 유효한 서명이 있는지 확인하여 실행합니다.
Windows 10과 함께 출시된 SmartScreen은 사이트나 다운로드한 앱이 잠재적으로 악성인지 여부를 판별하는 유사한 보안 기능입니다. 또한 URL 및 앱 보호를 위해 평판 기반 접근 방식을 활용합니다.
Redmond는 해당 설명서에서 “Microsoft Defender SmartScreen은 웹사이트의 URL을 평가하여 안전하지 않은 콘텐츠를 배포하거나 호스팅하는 것으로 알려져 있는지 확인합니다.”라고 언급했습니다.
“또한 앱에 대한 평판 검사를 제공하고, 다운로드한 프로그램과 파일 서명에 사용된 디지털 서명을 검사합니다. URL, 파일, 앱 또는 인증서에 확립된 평판이 있는 경우 사용자는 경고를 보지 못합니다. 평판이 없는 경우 해당 항목은 더 높은 위험으로 표시되고 사용자에게 경고를 표시합니다.”
SAC를 활성화하면 Defender SmartScreen이 대체되고 비활성화된다는 점도 언급할 가치가 있습니다.
Elastic Security Labs는 The Hacker News와 공유한 보고서에서 “Smart App Control과 SmartScreen에는 보안 경고 없이 초기 액세스가 가능하고 사용자 상호 작용이 최소화될 수 있는 근본적인 설계 취약점이 여러 가지 있습니다.”라고 밝혔습니다.
이런 보호 기능을 우회하는 가장 쉬운 방법 중 하나는 합법적인 EV(확장 검증) 인증서로 앱에 서명하는 것입니다. 이 기술은 악의적인 행위자가 맬웨어를 배포하는 데 이미 악용하고 있는 기술로, 최근 HotPage 사례에서 그 증거가 드러났습니다.
탐지 회피에 사용할 수 있는 다른 방법 중 일부는 다음과 같습니다.
- 시스템을 우회하기 위해 좋은 평판을 가진 앱(예: JamPlus 또는 알려진 AutoHotkey 인터프리터)을 식별하고 재활용하는 평판 하이재킹
- 평판 시딩은 애플리케이션의 취약점을 이용해 악의적인 동작을 유발하거나 일정 시간이 지난 후 겉보기에 무해해 보이는 공격자 제어 바이너리를 사용하는 방식입니다.
- 평판 변조는 전체 평판을 잃지 않고 셸코드를 삽입하기 위해 합법적인 바이너리(예: 계산기)의 특정 섹션을 변경하는 것을 포함합니다.
- LNK 스톰핑은 Windows 바로가기(LNK) 파일을 처리하는 방식의 버그를 악용해 웹 마크(MotW) 태그를 제거하고 SAC 보호 기능을 우회하는 것입니다. SAC가 해당 레이블이 있는 파일을 차단하기 때문입니다.
“이것은 비표준 대상 경로나 내부 구조를 가진 LNK 파일을 만드는 것을 포함합니다.” 연구자들은 말했습니다. “이러한 LNK 파일을 클릭하면 explorer.exe가 표준 포맷으로 수정합니다. 이 수정으로 보안 검사를 수행하기 전에 MotW 레이블이 제거됩니다.”
“평판 기반 보호 시스템은 상품성 맬웨어를 차단하는 강력한 계층입니다.”라고 회사는 말했습니다. “그러나 모든 보호 기술과 마찬가지로 이 시스템에도 약간의 주의로 우회할 수 있는 약점이 있습니다. 보안 팀은 탐지 스택에서 다운로드를 주의 깊게 조사해야 하며 이 분야의 보호를 위해 OS 네이티브 보안 기능에만 의존해서는 안 됩니다.”
