백신 및 EDR을 우회를 돕는 소스코드가 공개되었다.

기능은 다음과 같다.

 

1. 잘 알려진 공격 String 변환

String 기반의 IOC 패턴을 무력화 하기위하여 적용되었다.

Go.build와 같은 탐지 문구 암호화 및 제거

2. 파일 팽창

100MB 이상의 파일 및 프로세스는 일부 백신 및 EDR에서 탐지를 하지 못하는 원리를 적용했다.

특정 백신 및 EDR에서 100MB 이상의 파일에서 악성행위(RDP 세션 오픈) 미탐지

3. 인증서 훔치기

다른 프로그램의 인증서를 복사하여 자기 자신에게 적용한다.

정상파일에서 인증서를 훔친 화면

 

백신 및 EDR 우회 기능 부여 프로그램 Mangle

https://github.com/optiv/Mangle

 

GitHub - optiv/Mangle: Mangle is a tool that manipulates aspects of compiled executables (.exe or DLL) to avoid detection from E

Mangle is a tool that manipulates aspects of compiled executables (.exe or DLL) to avoid detection from EDRs - GitHub - optiv/Mangle: Mangle is a tool that manipulates aspects of compiled executabl...

github.com

 

인증서 우회 관련 기사

https://www.boannews.com/media/view.asp?idx=98134 

 

사이버 공격자들이 자신을 감추는 방법 몇 가지

사이버 공격자는 자신의 공격 방식이 노출되지 않길 바라며 새로운 기법을 개발한다. 한 번 노출된 방식은 기업 보안 담당자나 위협 인텔리전스 기업에 의해 탐지 및 차단되며, 이러한 데이터는

www.boannews.com

 

저작자표시 비영리 변경금지 (새창열림)
TwoIceFish
TwoIceFish
https://github.com/TwoIceFIsh

티스토리툴바