홈으로 돌아가기

해커가 OS를 파일로 위장: 안티바이러스를 우회하는 새로운 전술

사이버 범죄자들이 합법적인 QEMU 도구를 사용하여 숨겨진 가상 머신을 실행하고, 이미지를 일반 파일로 위장합니다. Sophos 전문가들은 이 기술이 안티바이러스와 EDR을 우회하는 데 사용되는 두 가지 캠페인을 확인했습니다.

해커가 일반 파일에 전체 운영체제를 숨기는 방법
Advertisement 728x90

해커, 전체 운영체제를 일반 파일로 위장: 안티바이러스를 우회하는 새로운 전술

사이버 범죄자들이 합법적인 가상화 도구 내부에 악성 활동을 숨기는 방법을 찾아냈다. QEMU를 사용하여 공격자는 표준 보안 조치로 탐지되지 않는 전체 운영체제를 실행한다. 이 기술은 이미 여러 랜섬웨어 캠페인에서 사용되고 있다.

QEMU 기반 공격의 작동 방식

QEMU는 에뮬레이션 및 가상화를 위한 인기 있는 오픈소스 소프트웨어이다. 공격자 손에서는 흔적을 숨기는 강력한 도구가 된다. 감염된 시스템에서 직접 악성 프로세스를 실행하는 대신, 해커는 그 내부에 가상 머신(VM)을 배포한다. 모든 악성 행위는 이 VM 내부에서 수행되며, 호스트에는 합법적인 QEMU 프로세스만 남는다.

가상 디스크 이미지는 일반 파일(예: 데이터베이스 또는 DLL 라이브러리)로 위장된다. 명령 서버와의 통신은 역방향 SSH 터널을 통해 이루어져 네트워크 이상 징후를 탐지하기 어렵게 만든다.

Google AdInline article slot

두 가지 캠페인: STAC4713 및 STAC3725

Sophos 연구원들은 이 기술을 사용하는 최소 두 가지 별개의 캠페인을 식별했다.

캠페인 STAC4713

2025년 후반부터 활동한 이 캠페인에서 공격자는 SYSTEM 권한으로 실행되는 TPMProfiler 작업을 통해 숨겨진 VM을 배포했다. VM 내부에는 원격 접속, 자격 증명 탈취, 데이터 유출을 위한 전체 도구 세트가 배치되었다. 이 캠페인은 PayoutsKing 랜섬웨어 유포와 연관되어 있다. 분석가들은 이를 가상화 인프라(VMware, ESXi)를 대상으로 공격하는 GOLD ENCOUNTER 그룹이 주도한 것으로 보고 있다.

캠페인 STAC3725

2026년 2월부터 시작된 이 캠페인은 NetScaler의 CitrixBleed2 취약점을 악용한다. 침해 후 해커는 악성 ScreenConnect 클라이언트를 설치하고 로컬 관리자 계정을 생성한 후 Alpine Linux 이미지로 QEMU를 실행한다. 첫 번째 캠페인과 달리, 정찰 도구는 VM 내부에 수집된다: Impacket, BloodHound, Kerbrute, Metasploit 등이 사용된다.

Google AdInline article slot

위험한 이유: 은밀성과 장기 접근

이 접근 방식의 주요 위험은 악성 활동이 호스트 시스템에 거의 흔적을 남기지 않는다는 점이다. 안티바이러스 및 EDR 솔루션은 합법적인 QEMU 프로세스만 볼 수 있으며 가상 머신 내부를 들여다볼 수 없다. 이는 공격자에게 장기적인 은밀한 접근을 제공하고, 네트워크를 통한 측면 이동을 용이하게 하며, 랜섬웨어 공격을 조용히 준비할 수 있게 한다.

방어 방법: 전문가 권장 사항

Sophos는 이러한 공격을 탐지하기 위해 다음 조치를 권장한다:

  • 환경에서 승인되지 않은 QEMU 설치를 확인하라.
  • SYSTEM으로 실행되는 의심스러운 작업을 모니터링하라.
  • 비정상적인 SSH 포트 포워딩을 탐지하라.
  • 비정상적인 가상 디스크 파일을 주시하라.

주요 시사점

  • 해커는 합법적인 QEMU 도구를 사용하여 숨겨진 가상 머신을 실행한다.
  • VM 이미지는 일반 파일(데이터베이스, DLL)로 위장된다.
  • 공격은 안티바이러스 및 EDR을 우회하여 탐지되지 않는다.
  • 두 가지 캠페인 확인: STAC4713(PayoutsKing) 및 STAC3725(CitrixBleed2).
  • 승인되지 않은 QEMU 설치 및 의심스러운 SSH 터널을 모니터링하라.

맥락 및 시사점

악성 활동을 숨기기 위해 가상화를 사용하는 것은 사이버 범죄 전술의 진화이다. 이전에는 합법적인 시스템 유틸리티(LOLBins)가 이 목적으로 사용되었지만, QEMU는 더 넓은 기능을 제공한다. 이러한 공격은 특히 가상화가 널리 퍼진 기업 환경에서 증가할 것으로 예상된다. 기업은 행동 분석 및 하이퍼바이저 수준 모니터링을 포함한 방어 전략을 조정해야 한다.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

다음 읽기