RAM 분석을 통한 Process Hollowing 탐지 및 C2 연결 식별

Process Hollowing Detection: Your RAM is your treasure!

M.M2026년 5월 8일6분intermediate

AI 요약

Context

신뢰된 프로세스 외형을 빌려 악성 코드를 실행하는 Process Hollowing 기법으로 인한 보안 위협 증가. 디스크에 흔적을 남기지 않는 Living-off-the-land(LOTL) 공격 특성으로 인해 전통적인 파일 기반 탐지 방식의 한계 노출.

Volatility 도구를 활용한 RAM 덤프 분석으로 휘발성 메모리 내 실행 흔적 추적
Parent Process ID(PPID) 분석을 통한 svchost.exe와 notepad.exe 간의 비정상적 계층 구조 식별
Network Connection 분석으로 Port 443(HTTPS)을 통한 외부 Command & Control(C2) 서버와의 Established 연결 상태 확인
Memory Region 스캔을 통한 RWX(Read-Write-Execute) 권한의 비정상적 할당 영역 탐색
Raw Hexadecimal 데이터 분석으로 메모리 내 MZ Magic Header(4D 5A)를 찾아 PE 파일 직접 주입 사실 검증

실천 포인트

1. 사고 조사 시 전원 차단 전 RAM 덤프 우선 확보

2. 표준 Windows 아키텍처 기반의 PPID Baseline 정의 및 이상 징후 모니터링

3. 시스템 프로세스의 메모리 페이지 권한이 PAGE_EXECUTE_READWRITE(RWX)로 설정되었는지 주기적 점검

4. HTTPS 포트(443)를 이용한 은닉 통신 여부를 확인하기 위해 외부 IP 연결 상태 분석

태그