팔로우 
요약
이 기사는 공격자들이 커널 수준 접근을 얻기 위해 취약 드라이버 기술을 이용하여 안티바이러스 및 EDR 플랫폼과 같은 엔드포인트 보호 도구를 비활성화하거나 제거하는 방법을 분석합니다. 방화벽 규칙 오용, 서명되었지만 취약한 드라이버 악용, 보안 가시성을 약화시키는 동안 지속성을 유지하기 위한 원격 액세스 도구 의존 등 여러 일반적인 전술을 설명합니다. 실제 사례에서는 도난당한 VPN 자격 증명, 악의적인 광고, 알려진 결함이 있는 합법 드라이버가 어떻게 보안 프로세스를 종료하는데 사용될 수 있는지를 보여줍니다. 주요 관심사는 공격자가 감지되지 않고 작동할 수 있는 사각지대를 만드는 커널 수준 공격의 증가하는 위협입니다.
조사
헌트리스(Huntress)는 초기 2026년 공격자가 도난당한 소닉월(SonicWall) VPN 자격 증명을 사용하여 해지된 엔케이스(EnCase) 포렌직 드라이버를 악용하는 맞춤형 EDR-킬러 바이너리를 배포한 사건을 문서화했습니다. 이후 사례에서는 악성 광고가 스크린커넥트(ScreenConnect) 설치로 이어졌고, 취약한 화웨이(Huawei) 오디오 드라이버가 보안 서비스를 종료하는 데 사용되었습니다. 이러한 조사에서 헌트리스는 반복되는 드라이버 악용, 프로세스 종료 루프, 기본 정적 감지를 피하기 위해 신뢰받는 서명된 드라이버 사용을 관찰했습니다.
완화
권장 방어 조치에는 실시간으로 취약 드라이버의 악용을 감지하고, 예상치 못한 방화벽 규칙 변경을 모니터링하며, 드라이버 서명 및 로딩에 대한 엄격한 통제를 적용하는 것이 포함됩니다. 헌트리스는 또한 TrueSight 드라이버 악용 감지와 악의적인 방화벽 규칙의 자동 정리를 도입했습니다. 추가적인 보호는 변조 보호 기능과 EDR 도구의 중단 또는 제거를 어렵게 만들기 위한 배제 항목에 대한 더 엄격한 통제에서 비롯될 수 있습니다.
대응
이 활동이 감지되면 영향을 받은 시스템을 즉시 격리하고, 무단 방화벽 변경 사항을 되돌리며, 악성 드라이버를 언로드하거나 차단하고, 영향을 받은 EDR 또는 안티바이러스 에이전트를 재설치하거나 수리하십시오. 그런 다음 보안팀은 포렌식 분석을 수행하여 추가된 지속성 메커니즘이나 도난당한 자격 증명을 밝히고 VPN 자격 증명과 같은 권한 계정을 회전해야 합니다.
graph TB classDef action fill:#99ccff action_valid_accounts[“<b>행동</b> – <b>T1078 유효한 계정</b><br/><b>설명</b>: 침해된 자격 증명을 사용하여 인증된 접근 권한 획득<br/><b>세부사항</b>: SonicWall VPN 자격 증명 침해”] class action_valid_accounts action action_priv_esc[“<b>행동</b> – <b>T1068 권한 상승 취약점 악용</b><br/><b>설명</b>: 취약한 서명 드라이버를 악용하여 권한 상승 수행<br/><b>세부사항</b>: EnCase 취약 드라이버를 이용한 BYOVD”] class action_priv_esc action action_impair_defenses[“<b>행동</b> – <b>T1562 방어 체계 방해</b><br/><b>설명</b>: 보안 에이전트 제거 또는 비활성화 및 관련 프로세스 종료”] class action_impair_defenses action action_disable_firewall[“<b>행동</b> – <b>T1562.004 시스템 방화벽 비활성화 또는 수정</b><br/><b>설명</b>: EDR 통신을 차단하기 위한 숨겨진 방화벽 규칙 생성”] class action_disable_firewall action action_service_stop[“<b>행동</b> – <b>T1489 서비스 중지</b><br/><b>설명</b>: 보안 서비스 반복 종료”] class action_service_stop action action_valid_accounts –>|이동| action_priv_esc action_priv_esc –>|이동| action_impair_defenses action_impair_defenses –>|이동| action_disable_firewall action_impair_defenses –>|이동| action_service_stop
공격 흐름
시뮬레이션 실행
전제 조건: 원격 감지 및 기준점 사전 비행 검사가 통과해야 합니다.
공격 서사 및 명령
적은 기업의 EDR 원격 감지를 비활성화하기 위해 알려진 EDR 클라우드 엔드포인트로의 모든 출력 트래픽을 차단하는 방화벽 규칙을 추가하려 합니다. 탐지 가능성을 높이기 위해 이 규칙의 이름은 명시적으로 “EDR”을 언급합니다. 단계는 다음과 같습니다:
- 알려진 EDR 엔드포인트 나열 (데모를 위해 하드코딩).
- 반입금지 차단 아웃바운드 규칙 이름 “EDR 통신 차단” 생성.
- 규칙이 활성 상태이고 EDR 도메인으로의 출력 트래픽이 차단되었음을 확인하십시오.
- 악성 규칙 이름인 EventID 2004의 생성 관찰, 이는 Sigma 규칙을 트리거해야 합니다.
회귀 테스트 스크립트
# -------------------------------------------------
# 시뮬레이션 스크립트 – 악성 방화벽 규칙 생성
# -------------------------------------------------
# 1. EDR 엔드포인트 목록 정의 (예시)
$edrEndpoints = @("edr.contoso.com","logs.edr.contoso.net")
# 2. 각 엔드포인트에 대해 차단 아웃바운드 규칙 생성
foreach ($host in $edrEndpoints) {
$ruleName = "Block EDR Communications - $host"
New-NetFirewallRule `
-DisplayName $ruleName `
-Direction Outbound `
-RemoteAddress $host `
-Action Block `
-Profile Any `
-Enabled True `
-Protocol Any
Write-Host "Created rule: $ruleName"
}
# 3. 검증을 위한 새로 생성된 규칙 목록 출력
Get-NetFirewallRule -DisplayName "*Block EDR Communications*"정리 명령
# -------------------------------------------------
# 정리 스크립트 – 악성 방화벽 규칙 제거
# -------------------------------------------------
Get-NetFirewallRule -DisplayName "*Block EDR Communications*" | Remove-NetFirewallRule -Confirm:$false
Write-Host "모든 악성 EDR 차단 규칙이 제거되었습니다."