Advanced Evasion Technique (AET)는 사이버 공격자가 보안 시스템을 우회하고 탐지되지 않은 채로 악성 페이로드를 전달하기 위해 사용하는 정교한 방법입니다. AET는 공격의 진정한 성격을 숨기기 위해 다양한 전술을 사용하여 전통적인 서명 기반 탐지 방법이 이를 식별하기 어렵게 만듭니다.
AET는 탐지를 피하고 페이로드를 전달하기 위해 여러 기술을 활용합니다:
AET가 사용하는 주요 전술 중 하나는 난독화입니다. 여기서 공격자는 서명 기반 탐지를 피하기 위해 악성 코드의 구조를 조작하거나 암호화합니다. 코드를 변형하거나 암호화 기법을 사용하여 AET는 악성 코드를 무해하고 보안 솔루션에 의해 탐지되지 않도록 나타나게 할 수 있습니다.
AET는 깊이 있는 패킷 검사를 포함한 방어적 조치를 회피하기 위해 프로토콜 조작 기술도 사용합니다. 이는 네트워크 프로토콜, 패킷 헤더 또는 페이로드 내용을 수정하여 보안 시스템이 악성 활동을 식별하고 중단하기 어렵게 만듭니다.
AET가 사용하는 또 다른 회피 전술은 트래픽 분할입니다. 악성 트래픽을 여러 패킷으로 나누어 AET는 패턴 매칭을 피하고 보안 솔루션이 목적지에서 악성 콘텐츠를 재조립하기 어렵게 만듭니다. 이 분할 기술은 검열 시스템을 우회하고 탐지되지 않은 채로 페이로드를 전달하는 데 도움을 줍니다.
다형성은 AET가 탐지를 회피하기 위해 활용하는 또 다른 기술입니다. 이 방법에서 악성 코드는 지속적으로 외형을 변경하여 기반 코드를 변형합니다. 이를 통해 AET는 전통적인 서명 기반 탐지 방법으로는 감지할 수 없는 새로운 변종의 악성 코드를 생성할 수 있습니다. 코드를 변형할 수 있는 능력은 AET를 회피하기 어려운 존재로 만들어 보안 시스템이 알려진 서명에만 의존하지 않도록 합니다.
고급 회피 기술에 대비하기 위해서는 선제적인 보안 조치를 취하는 것이 중요합니다. 다음은 고려할 만한 예방 팁입니다:
서명 기반 탐지에만 의존하기보다 파일 및 네트워크 활동의 행동을 분석하는 보안 솔루션을 구현하는 것이 좋습니다. 이 접근 방식은 AET를 특정 서명이 아직 알려지지 않았더라도 행동 패턴에 따라 식별하고 차단할 수 있습니다. 행동 기반 탐지는 파일 또는 네트워크 트래픽의 행동과 의도를 알아내는 데 중점을 두어 AET에 대한 더욱 효과적인 방어를 제공할 수 있습니다.
침입 탐지 및 예방 시스템을 최신 상태로 유지하는 것은 새로운 회피 기술을 탐지하고 차단하는 데 중요합니다. 보안 공급업체는 알려진 AET 패턴 및 행동을 포함하여 최신 위협 정보가 포함되도록 시스템을 자주 업데이트합니다. 보안 시스템을 정기적으로 업데이트함으로써 조직은 새로 떠오르는 AET에 대한 최신 방어 수단을 보유할 수 있습니다.
네트워크 세분화는 AET의 영향을 완화하는 데 효과적인 전략입니다. 중요한 시스템을 격리하고 덜 안전한 영역과 분리함으로써 조직은 잠재적인 위협을 제한할 수 있습니다. AET가 방어의 한 계층을 우회할 수 있게 되더라도, 네트워크 세분화는 공격의 측면 이동을 제한하고 전체 네트워크로의 확산을 방지할 수 있습니다.
Intrusion Detection System (IDS): IDS는 악성 활동이나 정책 위반에 대해 네트워크 또는 시스템 활동을 모니터링하는 보안 솔루션입니다. 네트워크 트래픽을 분석하고 의심스럽거나 잠재적으로 해로운 활동이 감지되면 시스템 관리자나 보안 담당자에게 경고합니다.
Polymorphic Malware: 다형성 악성 소프트웨어는 전통적인 안티바이러스 솔루션이 탐지하기 위해 기반 코드나 구조를 변경하는 종류의 악성 소프트웨어입니다. 외형을 정기적으로 변화시킴으로써, 다형성 악성 소프트웨어는 알려진 바이러스 서명에 의존하는 서명 기반 탐지 메커니즘을 우회할 수 있습니다.