악성코드 31%가 사용하는 MITRE 3년 연속 1위 기법. DLL Injection부터 Process Hollowing까지 12개 하위 기법의 전체 구조.
MITRE ATT&CK: T1055 (Process Injection) | 전술: Defense Evasion, Privilege Escalation | 플랫폼: Windows, macOS, Linux
악성코드의 31%가 사용하는 기법이 있다. Picus Security가 100만 개 이상의 악성 파일을 분석한 결과, 프로세스 인젝션(T1055)은 3년 연속 MITRE ATT&CK 1위 기법으로 기록됐다. 정상 프로세스의 메모리 공간에 악성 코드를 주입해 실행하는 기술이다.
공격자가 이 기법을 선택하는 이유는 세 가지다.
첫째, 신분 세탁이다. svchost.exe나 explorer.exe 안에서 실행되는 코드는 EDR 로그에 정상 프로세스 이름으로 기록된다. 보안 장비 입장에서는 신뢰할 수 있는 프로세스가 정상적으로 동작하는 것처럼 보인다.
둘째, 파일리스 실행이다. Process Hollowing이나 Process Doppelganging 같은 기법은 디스크에 파일을 남기지 않는다. 파일 기반 스캐너, 해시 탐지, 경로 기반 규칙을 모두 우회한다.
셋째, 권한 상속이다. 주입된 코드는 대상 프로세스의 보안 토큰, 네트워크 권한, 로드된 모듈을 그대로 사용한다. 별도의 권한 상승 없이도 대상 프로세스의 권한으로 동작한다.
개요
| ID | 이름 |
|---|---|
| T1055.001 | DLL Injection |
| T1055.002 | Portable Executable Injection |
| T1055.003 | Thread Execution Hijacking |
| T1055.004 | Asynchronous Procedure Call |
| T1055.005 | Thread Local Storage |
| T1055.008 | Ptrace System Calls |
| T1055.009 | Proc Memory |
| T1055.011 | Extra Window Memory Injection |
| T1055.012 | Process Hollowing |
| T1055.013 | Process Doppelgänging |
| T1055.014 | VDSO Hijacking |
| T1055.015 | ListPlanting |
각 하위 기법 상세 분석은 개별 글에서 다룹니다.
Lazarus Group은 한국 소프트웨어, 반도체, 금융, 통신 6개 기업을 대상으로 워터링 홀 공격을 실행했다. Cross EX(한국 금융 보안 소프트웨어) 취약점을 악용해 정상 프로세스인 SyncHost.exe에 셸코드를 주입했다. 주입된 코드는 ThreatNeedle 변종을 로드해 C2 통신을 수행했다.
Kaspersky는 공격자가 AGAMEMNON 다운로더에 Hell's Gate 기법(직접 시스콜)을 적용해 보안 솔루션의 API 후킹을 우회했다고 보고했다.
Kimsuky는 DEEP#GOSU 캠페인에서 Win7Elevate를 이용해 UAC를 우회한 뒤, explorer.exe에 악성 DLL을 주입했다. 페이로드는 임시 폴더에서 복호화된 후 explorer.exe 프로세스 공간 내에서 실행됐다. 권한 상승과 은닉을 동시에 달성한 사례다.
Kimsuky의 DEEP#GOSU (2024)
프로세스 인젝션 탐지의 핵심은 크로스 프로세스 메모리 조작을 포착하는 것이다.
| 탐지 수단 | 이벤트 | 의미 |
|---|---|---|
| Sysmon Event ID 8 | CreateRemoteThread | 원격 프로세스에 스레드 생성 |
| Sysmon Event ID 10 | ProcessAccess | PROCESS_VM_WRITE 권한 요청 |
| ETW TI Provider | NtUnmapViewOfSection | 원격 프로세스 메모리 해제 (Hollowing 지표) |
상관 분석 전략: Event ID 1(CREATE_SUSPENDED) + Event ID 10(VM_WRITE) + Event ID 8(같은 PID에 CRT) = Process Hollowing 고신뢰 지표
Dllhost.EXE Execution Anomaly (심각도: high)
detection:
selection:
Image|endswith: \dllhost.exe
CommandLine: dllhost.exe, dllhost
filter_main_null:
CommandLine: None
condition: selection and not 1 of filter_main_*
커맨드라인 인자 없이 실행되는 dllhost.exe는 프로세스 인젝션 활동을 나타낼 수 있다.
Remote Process Injection in LSASS via mimikatz
PsExec.exe /accepteula \\DC1 -c mimikatz.exe "lsadump::lsa /inject /id:500" "exit"
mimikatz를 이용해 LSASS 프로세스에 원격 인젝션을 수행하는 테스트다. 탐지 룰 검증에 활용할 수 있다.