피드로 돌아가기
Dev.toSecurity
원문 읽기
Signed Driver의 신뢰 체계를 이용한 EDR 커널 가시성 무력화 분석
BYOVD Explained — How Attackers Use Signed Drivers to Kill EDRs
AI 요약
Context
Windows의 Ring 0(Kernel)과 Ring 3(User) 간의 하드웨어 레벨 격리로 인해 보안 솔루션은 커널 콜백에 의존하여 시스템을 감시함. 하지만 Driver Signature Enforcement 기반의 신뢰 모델은 서명된 드라이버의 내부 취약점까지 검증하지 못하는 구조적 한계가 존재함.
Technical Solution
- 정식 서명된 취약 드라이버(Vulnerable Signed Driver)를 로드하여 Driver Signature Enforcement 검증 통과
- User mode에서 IOCTL(Input/Output Control) 인터페이스를 통해 취약한 드라이버의 커널 메모리 접근 권한 획득
- 커널 내 EDR의 감시 체계인 Process/Thread/Image load callback 함수 포인터 배열 식별
- 획득한 메모리 쓰기 권한으로 해당 콜백 엔트리를 삭제하거나 함수 포인터를 덮어쓰는 Surgical Modification 수행
- EDR 프로세스는 유지하되 커널로부터 전달되는 데이터 입력원(Input Source)을 차단하여 가시성 완전 제거
실천 포인트
- 환경 내 로드되는 드라이버의 Baseline을 구축하고 비정상적인 드라이버 로드 이벤트 상시 모니터링 - 알려진 취약 드라이버 리스트(Driver Blocklist)를 최신 상태로 유지하여 로드 단계에서 원천 차단 - SIEM 내에서 드라이버 로드 알람 발생 시 밀리초(ms) 단위의 빠른 대응 체계 및 자동화된 격리 프로세스 검토 - 서명된 소프트웨어가 반드시 안전하다는 신뢰 모델을 탈피한 Zero Trust 기반의 커널 접근 제어 전략 수립