- Microsoft는 바이러스 백신에 매우 중요한 규칙을 추가하여 Windows의 보안을 강화하고 있습니다.
- 새로운 ASR 규칙이 Microsoft Defender에 도입되고 있으며 악성 앱이 PC에서 사용하는 암호를 추출하지 못하도록 설계되었습니다.
- 새로운 ASR 규칙의 도입은 특히 맬웨어 공격에 대해 운영 체제를 더욱 안전하게 만들기 위한 Microsoft의 노력의 일부입니다.
실행 중인 경우 윈도우 11 또는 최신 버전의 Windows Server인 운영 체제의 일부인 Microsoft Defender 바이러스 백신은 이제 암호 도난을 방지할 수 있습니다.
새로운 기능은 Microsoft Defender에서 파일을 검사하고 맬웨어를 차단하는 데 사용하는 규칙 집합인 ASR(Antimalware Scan Interface) 규칙을 통해 도입되었습니다.
이 규칙은 기계 학습을 사용하여 Windows의 LSA 기능에 액세스할 필요가 없지만 어쨌든 액세스를 시도하는 악성 프로세스를 식별합니다.
LSASS 작동 방식
LSASS(Local Security Authority Subsystem Service)는 로그인 및 기타 보안 관련 작업을 수행하므로 맬웨어가 LSA 기능에 액세스하면 메모리 또는 기타 의 방법 Windows 보안 기능.
Microsoft의 Credential Guard는 컴퓨터에 로그온하는 사용자를 인증하여 Defender 구성 요소로 시스템을 보호합니다. 이것의 문제는 모든 프로그램과 호환되지 않기 때문에 모든 환경에서 Credential Guard가 활성화되지는 않는다는 것입니다.
공격자가 사용자의 컴퓨터에 침입할 때 생성되는 메모리 덤프 파일에는 사용자의 암호와 사용자 이름이 포함될 수 있습니다. 이 파일은 이를 위해 설계된 특수 도구인 Mimikatz를 사용하여 가능합니다.
공격자는 운영 체제에 존재하는 합법적인 프로세스를 사용하여 시스템에 대한 전체 액세스 권한을 얻고 자격 증명이 포함된 메모리 덤프를 원격 위치로 전송할 수 있습니다.
Defender는 프로세스가 합법적이고 작업이 유해하지 않기 때문에 이 작업을 차단하지 않습니다. Defender는 프로세스의 악의적인 사용만 감지하며 생성 또는 전송을 방지할 수 없습니다.
Microsoft Defender의 업데이트
Microsoft는 이라는 새로운 보안 규칙을 도입하여 이 보안 문제를 해결했습니다. 공격 표면 감소 (ASR).
이 규칙은 프로그램이 LSASS를 여는 것을 방지하고 차례로 메모리 덤프를 생성하는 것도 방지합니다. 상승된 권한을 가진 프로그램이 프로세스를 열려고 하는 경우에도 LSASS에 대한 액세스를 차단합니다.
관리자 권한이 있는 프로그램만 LSASS를 열 수 있으므로 이 차단은 또한 컴퓨터에서 실행되고 있을 수 있는 다른 보호된 프로세스에 액세스하는 것을 방지합니다.
또한 이 규칙은 보호된 프로세스 자체가 자체 이미지를 열지 못하도록 차단하여 보호된 메모리에서 데이터를 캡처하거나 수정할 수 없도록 합니다.
이 기본 설정으로 인해 이 ASR 규칙이 활성화되고 이와 관련된 다른 모든 규칙은 기본 상태로 유지됩니다.
장점과 단점
Microsoft Defender는 알려진 맬웨어와 알려지지 않은 맬웨어를 모두 검색하는 검색 시스템을 사용하지만 완벽하지는 않습니다. 맬웨어 작성자는 항상 맬웨어가 탐지되지 않도록 보호하는 새로운 방법을 찾고 있습니다.
그러나 컴퓨터에서 타사 바이러스 백신 소프트웨어를 사용하는 경우 ASR 규칙을 사용할 수 없습니다. ASR 규칙이 없기 때문에 해커는 Microsoft Defender의 제한과 제외 경로를 우회할 수 있습니다.
여러 Windows 보안 연구원 이미 Defender에 대한 ASR 규칙을 우회하여 제외 경로를 이용하여 Lsass.exe 파일에 액세스했습니다.
보고서에 따르면 Defender에는 이미 여러 제외 항목이 있기 때문에 특정 관리 권한이 허용됩니다. 사용자가 ASR 요청을 묻고 응답할 수 있습니다. 이렇게 하면 해커가 해당 규칙을 악용하는 동시에 대상을 지정하는 새로운 방법을 찾을 수 있습니다. 컴퓨터.
즉, Windows 11 Enterprise 및 Pro 버전의 사용자만 개선된 ASR 규칙으로 보호됩니다.
그러나 보안 연구원들은 새로운 ASR 규칙을 환영했습니다. Windows를 조금 더 안전하게 만들수록 도난당한 암호가 적을수록 모든 사람이 혜택을 받을 수 있으므로 더 좋습니다.
최신 버전의 마이크로소프트 디펜더, Microsoft Defender Preview로 알려진, 장치의 보안을 관리할 수 있는 대시보드를 제공합니다.
새로운 Microsoft Defender 업그레이드가 Windows 보안 측면에서 유망하다고 생각하십니까? 아래 의견 섹션에 귀하의 생각을 알려주십시오.
