MITRE ATT&CK: T1036.003 (Rename Legitimate Utilities) | 전술: Defense Evasion | 플랫폼: Linux, Windows, macOS
도입: 왜 이 공격이 중요한가
2022년 BlueNoroff(APT38) 그룹이 암호화폐 거래소를 공격했을 때, 보안 솔루션들은 이상함을 전혀 감지하지 못했습니다. 이유가 뭐였을까요? 해커들이 rundll32.exe와 mshta.exe 같은 정상 Windows 도구들의 이름만 살짝 바꿔서 사용했거든요.
Rename Legitimate Utilities 는 공격자가 정상적인 시스템 도구나 유틸리티의 파일명을 변경해서 보안 솔루션의 탐지를 우회하는 기법입니다. 생각보다 단순하지만 엄청나게 효과적이에요.
💡 쉬운 비유: 가짜 명품백을 만들 때 로고만 살짝 바꾸는 것처럼, 해커도 정상 프로그램의 이름만 바꿔서 보안 솔루션을 속입니다.
1. 공격자 관점
왜 이 기법을 사용하는가
- 화이트리스트 우회: 대부분 보안 솔루션은
rundll32.exe,powershell.exe같은 정상 도구들을 파일명으로 판단해서 허용하는데, 이름만 바꾸면 쉽게 속일 수 있어요 - 탐지 규칙 무력화: SIEM이나 EDR 솔루션들이 특정 파일명 기반으로 만든 탐지 규칙들을 한 번에 무력화시킬 수 있거든요
- 관리자 의심 회피: IT 관리자가 프로세스 목록을 봐도
dbengin.exe같은 이름으로는 의심하기 어려워요
동작 흐름
💡 쉬운 비유: 스파이가 가짜 신분증을 만들 때 사진은 본인 걸 쓰지만 이름만 바꾸는 것과 같아요. 기능은 똑같지만 신원 확인을 피할 수 있거든요.
2. 실제 공격 사례
📌 APT38 (BlueNoroff) - 암호화폐 거래소 공격 (2022년)
배경: 북한 연계 해킹 그룹 APT38이 전 세계 암호화폐 거래소들을 대상으로 대규모 금융 사이버 공격을 감행했습니다. 수백억 원 규모의 암호화폐 탈취가 목표였어요.
공격 과정:
- 초기 침투: MOTW(Mark-of-the-Web) 우회를 위해 ISO 파일 형태로 악성코드 유포
- 도구 위장:
rundll32.exe와mshta.exe같은 정상 Windows 유틸리티를 다른 이름으로 변경해서 사용 - 탐지 우회: 보안 솔루션들이 파일명 기반으로 만든 화이트리스트와 탐지 규칙을 모두 우회하여 시스템 장악
피해 규모: 전 세계 수십 개 암호화폐 거래소에서 수백억 원 규모의 디지털 자산 탈취
출처: BlueNoroff introduces new methods bypassing MoTW
📌 Daggerfly (Evasive Panda) - 아프리카 통신사 공격 (2022-2023년)
배경: 중국 연계 APT 그룹 Daggerfly가 아프리카 지역의 주요 통신사를 대상으로 장기간 스파이 활동을 수행했습니다. 통신 인프라 정보와 고객 데이터 수집이 목적이었어요.
공격 과정:
- 지속적 침투: 2022년 11월부터 시작해서 2023년까지 장기간 잠복
- 도구 위장:
rundll32.exe를dbengin.exe로 이름을 바꿔서ProgramData\Microsoft\PlayReady디렉토리에 배치 - 모듈형 공격: MgBot 악성코드 프레임워크의 다양한 플러그인들을 위장된 도구로 실행하여 시스템 전체 장악
피해 규모: 통신사 내부 네트워크 전체 장악, 고객 통신 데이터 및 인프라 정보 대량 유출 추정
출처: Daggerfly: APT Actor Targets Telecoms Company in Africa
📌 APT32 - 베트남 정부 기관 공격 (2017년)
배경: 베트남 정부 연계로 추정되는 APT32 그룹이 정적국 정부 기관들을 대상으로 정보 수집 활동을 벌였습니다.
공격 과정:
- 스피어피싱: 정부 관계자들을 대상으로 한 표적형 이메일 공격
- 스크립트 위장:
pubprn.vbs스크립트 파일을.txt확장자로 변경해서 실행 - 지속 공격: 위장된 스크립트를 통해 시스템에 백도어 설치 후 장기간 정보 수집
피해 규모: 다수 정부 기관의 기밀 문서 및 정책 정보 유출
출처: Nick Carr Status Update APT32 pubprn
3. 왜 탐지가 어려운가?
공식 탐지 방법
DET0005 메타데이터 불일치 및 의심스러운 경로에서 실행되는 이름 변경된 정상 유틸리티: 디스크상의 파일명이 PE 메타데이터(OriginalFilename 또는 InternalName)와 일치하지 않는 바이너리의 실행을 탐지합니다. rundll32, powershell, psexec 같은 LOLBAS나 시스템 바이너리가 이름이 바뀐 상태로 관찰되는 경우가 많습니다.
공격자가 이 기법을 선호하는 이유
- 기존 탐지 규칙 우회: 대부분의 보안 솔루션들이 파일명 기반으로 화이트리스트를 관리하는데, 이름만 바꾸면 이 모든 규칙들을 한 번에 우회할 수 있어요
- 정상 기능 그대로 사용: 파일 자체는 정상적인 Windows 도구라서 기능상 문제없이 악성 작업을 수행할 수 있거든요
- 관리자 착각 유도: IT 관리자가 프로세스 목록을 봐도 생소한 이름이라 서드파티 소프트웨어로 착각하기 쉬워요
탐지의 현실적 한계
PE 메타데이터 검증이 가능하다고 해도, 실제 환경에서는 정상적인 소프트웨어들도 파일명과 메타데이터가 다른 경우가 많아서 오탐이 엄청나게 발생합니다. 특히 서드파티 소프트웨어나 사내 개발 도구들은 더더욱 그래서 실무에서는 이런 탐지 규칙을 적용하기가 현실적으로 어려워요.
4. 나도 위험할까? 자가 진단
이 공격이 나와 관련 있는지 확인해보세요.
이런 환경이라면 주의가 필요합니다
-
Windows 시스템에서 다양한 서드파티 도구들을 사용하는 환경 (공격자가 정상 도구들 사이에 위장된 파일을 숨기기 쉬워요)
-
파일 실행 시 디지털 서명 검증을 하지 않는 환경 (이름만 바뀐 정상 파일도 그냥 실행되거든요)
-
시스템 폴더에 대한 접근 권한 관리가 느슨한 환경 (공격자가 System32 같은 폴더에서 파일을 복사해 나가기 쉬워요)
-
프로세스 모니터링이나 파일 무결성 검사를 하지 않는 환경 (위장된 도구들이 실행되어도 발견하기 어려워요)
공식 대응 방안
M1022 파일 및 디렉토리 권한 제한: C:\Windows\System32와 같은 폴더를 보호하기 위해 파일 시스템 접근 제어를 사용하세요.
당장 할 수 있는 것
- 알 수 없는 프로세스 주의: 작업 관리자에서 생소한 이름의 프로세스가 실행 중이라면 파일 위치와 디지털 서명을 확인해보세요
- 다운로드 파일 검증 습관: 인터넷에서 다운로드한 파일은 실행 전에 반드시 공식 출처인지 확인하고, 가능하면 디지털 서명도 체크하세요
- 🏢 보안 담당자: PowerShell이나 SIEM에서 파일명과 PE 메타데이터 불일치를 탐지하는 스크립트를 구현하고, System32 폴더 접근 로그를 모니터링하세요
5. 관련 기술
| 기법 | 어떤 상황에서 함께 사용되나 |
|---|---|
| T1218 System Binary Proxy Execution | 이름을 바꾼 rundll32.exe나 mshta.exe로 악성 DLL이나 스크립트를 실행할 때 |
| T1564.001 Hidden Files and Directories | 위장된 도구들을 숨김 속성으로 설정하거나 시스템 폴더 깊숙한 곳에 배치할 때 |
| T1055 Process Injection | 위장된 정상 도구를 실행한 후, 해당 프로세스에 악성 코드를 주입하여 추가 탐지 우회를 시도할 때 |
참고 자료
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK (최신 버전) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
?뱛 ??湲? [?꾩옣 湲곕쾿(T1036) ?쒕━利?(/blog/attack-security-file-t1036-v5w5uamj)???쇰??낅땲??
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.