[소만사 악성코드 분석리포트 ] “EDR 킬러“ BYOVD 공격 분석

인증기관으로부터 허가받은 서명이 적용된 정상 드라이버로 위장,
관리자 권한 보다 높은 시스템 권한을 실행하여 탐지 및 차단이 불가능

1. 요약
      1) BYOVD 공격은 합법적인 서명이 되어 있어서 시스템은 정상 드라이버로 인식하지만
          실제로는 취약점을 가진 드라이버를 악용하는 것을 말함.
      2) BYOVD 공격은 관리자 권한보다 높은 시스템 권한을 실행할 수 있어
          일반적인 탐지 및 차단이 불가능하여 보안 솔루션을 쉽게 우회할 수 있다는 것이 특징.
      3) 2023년부터 랜섬웨어 제작 그룹 등에 활발히 사용.
          그룹에서 공격 범위를 넓혀가는 추세, 국내 공격 사례는 북한 라자루스 그룹의 정보 탈취 행위에 사용.
          본격적인 공격에 활용될 가능성이 높음.

2. 대응 방안
     1) EDR/AV 솔루션 적용 (행위기반으로 차단)
     2) 주요 데이터는 주기적인 백업을 통해 시스템 파괴 시에도 복구가 가능하도록 대비
     3) 논리적 망분리(VDI)를 적용하여 악성코드 PC 유입을 원천 차단
     4) 신뢰할 수 없는 메일의 첨부파일 실행 금지
     5) 비 업무 사이트 및 신뢰할 수 없는 웹사이트의 연결 차단
     6) PC취약점 점검과 조치 (OS나 어플리케이션은 가급적 최신 버전 유지하며 취약점 점검 및 조치)