WDAC(Windows Defender 응용 프로그램 제어)는 신뢰할 수 있는 소프트웨어만 실행할 수 있게 하는 보안 솔루션입니다. 이 솔루션은 보안 경계로 분류되기 때문에, Microsoft는 적격 우회에 대한 버그 바운티 금액을 지불하여 이 연구 영역의 경쟁력과 활성 상태를 유지합니다.
WDAC 우회 버그 현상금 제출의 일반적인 결과:
Microsoft의 WDAC 권장 차단 목록을 보면 Jimmy Bayne(@bohops), Casey Smith(@subTee)와 같은 전설적인 사용자가 아직 수정되지 않았지만 명예로운 언급을 받은 WDAC 우회 방법을 발견한 것을 알 수 있습니다. 이 목록 외에도 LOLBAS 프로젝트에는 Microsoft의 차단 목록에서 확인되지 않은 수정되지 않은 추가 우회가 포함되어 있습니다. 한 가지 예로 Microsoft Teams 애플리케이션을 들 수 있는데, 이 애플리케이션은 LOLBAS에 문서화되어 있지만 여전히 실행 가능한 WDAC 우회로로 남아 있습니다.
레드팀 작전 중 WDAC을 만나면 다음 기술을 사용하여 성공적으로 우회하고 2단계 명령 및 제어(C2) 페이로드를 실행했습니다.
1. MSBuild.exe와 같이 잘 알려진 LOLBIN 사용
2. 신뢰할 수 없는 DLL을 신뢰할 수 있는 애플리케이션에 사이드 로드
3. 클라이언트의 WDAC 정책에서 사용자 지정 제외 규칙 악용
4. 신뢰할 수 있는 애플리케이션에서 C2 배포를 허용하는 새 실행 체인 찾기
Ruben Boonen(@FuzzySec)이 Wild West Hackin' Fest 강연 'Statikk Shiv: Leveraging Electron Applications for Post-Exploitation'에서 설명했듯이, Electron 애플리케이션은 HTML, JavaScript, CSS와 같은 표준 웹 기술을 사용해 데스크톱 애플리케이션을 렌더링하는 웹 브라우저 역할을 합니다. Electron의 자바스크립트 엔진은 Node.js 엔진으로, 호스트 운영체제와 상호작용할 수 있는 강력한 API를 제공합니다. 이러한 API를 사용하면 파일 읽기 및 쓰기, 프로그램 실행 및 네이티브 애플리케이션의 일반적인 기타 작업과 같은 작업을 수행할 수 있습니다.
런타임에 Electron 애플리케이션은 JavaScript 파일을 읽고 해당 코드를 해석한 후 Electron 프로세스 내에서 실행합니다. 아래 애니메이션은 Microsoft Teams Electron 애플리케이션이 런타임에 자바스크립트 파일을 읽은 다음 child_process 모듈을 사용하여 whoami.exe를 실행하는 방법을 보여줍니다.
이 예제에서 Teams Electron 프로세스는 JavaScript 파일을 읽은 다음, Child_process 모듈을 사용하여 whoami.exe를 생성합니다. 이 모듈은 Electron 프로세스를 트리거하여 내보낸 API uv_spawn을 실행하고, 운영 체제와 상호 작용하여 새 프로세스를 생성하는 역할을 담당합니다.
Windows 애플리케이션의 기존 아키텍처는 다음으로 구성됩니다.
EXE는 DLL에서 내보낸 함수를 호출하여 능력을 확장합니다. 그러나 Electron 애플리케이션은 이 아키텍처를 뒤집습니다. EXE가 DLL에서 API를 호출하는 대신 Electron EXE 자체는 다음과 같이 호출되는 API 내보내기를 노출합니다.
이 구조를 통해 Node.js JavaScript 및 노드 모듈은 브라우저의 기존 JavaScript가 할 수 없는 방식으로 운영 체제와 상호 작용할 수 있습니다.
아래 이미지에서는 @hasherezade가 만든 훌륭한 도구를 사용하는 PE Bear를 사용해 Teams Electron 애플리케이션을 살펴보는데, 이 도구는 Teams Electron 실행 파일에 2,977개의 내보된 API를 포함하고 있음을 보여줍니다. 이 대규모 API 표면은 Node.js JavaScript 파일 및 노드 모듈에서 운영 체제와 상호 작용하는 데 활용할 수 있는 광범위한 기능을 제공합니다.
Electron 애플리케이션은 런타임에 JavaScript를 실행하므로 이러한 JavaScript 파일을 수정하면 공격자가 Electron 프로세스에 임의의 Node.js 코드를 삽입할 수 있습니다. JavaScript 코드는 Node.js 및 Chromium API를 활용하여 운영 체제와 상호 작용할 수 있습니다.
신뢰할 수 있는 Electron 애플리케이션의 JavaScript 파일을 수정하여 임의의 Node.js JavaScript 코드를 실행하는 기능은 제가 발견하지 못했습니다. 제가 찾을 수 있는 가장 오래된 참고 자료는 2022년으로 거슬러 올라갑니다.
2022년 초, Andrew Kisliakov는 "Microsoft Teams and other Electron Apps as LOLbins"라는 블로그를 게시했습니다. Andrew와 @mrd0x는 자신들의 연구 결과를 LOLBAS 프로젝트에 기여했습니다.
2022년 후반에 Valentina Palmiotti(@chompie1337), Ellis Springe(@knavesec), Ruben은 이 접근 방식을 더욱 탐구하여 내부 지속성 도구를 개발했고, 이후 레드팀 운영에서 이 도구가 사용되고 있습니다.
또한 2022년에 Michael Taggart는 명령 실행을 위해 일렉트론 애플리케이션을 수정할 수 있도록 설계된 도구인 quASAR 프로젝트를 출시했습니다. 그는 블로그 "Quasar: Compromising Electron Apps"에서 2022년 9월, Electron 프로젝트의 한 멤버가 연락해 무결성 검사가 실험적인 기능이며 앞으로 완전히 지원될 것이라고 말했다고 전했습니다.
Signal과 같은 최신 Electron 애플리케이션을 직접 실험한 결과, 일부 Electron 애플리케이션의 경우 JavaScript 파일 수정을 방지하는 무결성 검사가 시행되고 있음을 확인했습니다. 그러나 활발하게 배포되는 많은 Electron 애플리케이션은 여전히 취약합니다.
이 기법은 실제 공격에서도 관찰되었습니다. 2022년에 위협 행위자가 배포 서버에서 번들로 제공되는 JavaScript 파일을 수정하여 MiMi 애플리케이션에 백도어를 설치했습니다. 트렌드마이크로는 이를 공급망 공격으로 식별했습니다. 이 공격은 손상된 Electron 앱이 최종 사용자에게 배포되어 악성 JavaScript 코드를 실행하여 2단계 C2 페이로드를 다운로드하고 실행하는 것으로 나타났습니다.
2024년 4월, I Bobby Cooke (@0xBoku)는 금융 부문 고객을 위해 다가오는 레드팀 운영을 준비하기 위해 사용할 새로운 실행 체인을 찾고 있었습니다. 이 부문은 더 높은 보안 표준과 더 엄격한 규정을 적용하여 종종 WDAC와 같은 추가 보안 제어를 구현합니다. 연구 중에 또 다른 취약한 Electron 애플리케이션을 발견했습니다. 그러나 Microsoft에서 서명하지 않았기 때문에 고객의 WDAC 정책을 우회할 가능성은 낮았습니다.
그런 다음 Microsoft에서 서명하고 가장 엄격한 WDAC 정책도 우회할 수 있는 레거시 Microsoft Teams 애플리케이션으로 전환했습니다. 이 시점에서 Dylan Tran(@d_tranman)이 이 퀘스트에 합류했고, 우리는 임의의 Node.js JavaScript 실행에서 2단계 C2 셸코드 실행으로 에스컬레이션하는 방법을 모색하기 시작했습니다.
Node.js는 API를 통해 운영체제와 상호 작용할 수 있지만, 개발자가 WINAPI 및 NTAPI를 직접 호출할 수 있는 C의 전체 기능이 부족합니다. 이러한 격차를 해소하기 위해 개발자는 Node.js 프레임워크의 기능을 확장하는 Node 모듈을 만들었습니다. C++ 코드에서 컴파일된 이러한 모듈은 WINAPI를 호출하고, Node.js API와 상호 작용하고, Electron 애플리케이션 내에서 JavaScript를 실행할 수 있습니다. 컴파일된 노드 모듈은 .node 확장명을 가지며 DLL 로드 이벤트를 통해 Windows 프로세스에 로드됩니다.
연구하는 동안 우리는 여러 Electron 애플리케이션을 살펴보고 서명된 노드 모듈을 분석했습니다. 우리는 이러한 모듈이 JavaScript에서 직접 상호 작용하여 내장 능력을 활용할 수 있다는 것을 발견했습니다.
셸코드를 실행하기 위한 자체 사용자 지정 노드 모듈을 만드는 것은 실행 가능한 접근 방식이며 Loki C2의 기능이지만 닭과 계란 문제가 발생합니다. JavaScript에서 노드 모듈을 로드하면 DLL 로드 이벤트가 트리거되며, 이 이벤트는 서명되지 않은 DLL에 대해 엄격한 규칙을 적용하는 WDAC 정책에 의해 차단될 수 있습니다. 다행히도 합법적인 Electron 애플리케이션에는 수많은 서명된 노드 모듈이 존재합니다.
페이로드를 실행하는 이러한 접근 방식은 유망해 보였고, 발견한 내용을 Valentina와 공유했고 그녀도 이 탐구에 동참했습니다. 그녀의 도움으로 우리는 서명된 노드 모듈을 반대로 하고, 임의의 셸코드를 실행할 수 있는 취약점이나 내장 능력을 검색하는 데 더 깊이 빠져 들었습니다.
유용한 기능을 갖춘 노드 모듈의 한 가지 예로는 Visual Studio Code와 함께 번들로 제공되는 Microsoft 서명 모듈인 windows_process_tree.node가 있습니다. PE Bear에서 검사하면 아래와 같이 두 가지 내보낸 함수가 표시됩니다.
기존 DLL과 달리 Node 모듈은 사용 가능한 모든 함수를 내보내기 테이블에 나열하지 않습니다. Napi_register_module_v1 내보낸 함수는 Electron 프로세스에 의해 호출되며 모듈을 로드하고 내보낸 기능을 Electron 프로세스에 노출하는 역할을 합니다. 이는 다리 역할을 하여 Electron 프로세스 내에서 JavaScript가 모듈의 기능을 호출하고 상호 작용할 수 있도록 합니다.
노드 모듈에서 호출 가능한 모든 함수를 나열하는 간단한 방법은 아래 Node.js 코드를 활용하는 것입니다.
PowerShell에서 이 Node.js 스크립트를 실행하면 Windows_process_tree.Node에 두 개의 호출 가능한 함수가 있음을 알 수 있습니다. getProcessList와 getProcessCpuUsage가 있습니다.
지속성을 사용하면 JavaScript에서 이러한 함수를 호출하는 방법을 결정할 수 있습니다. Node.js의 한 가지 제한 사항은 시스템에서 실행 중인 모든 프로세스를 나열하는 기본 제공 API가 없다는 것입니다. 이러한 제한 때문에 마이크로소프트는 이 모듈에 GetProcessList 함수를 도입하여 VS Code Electron 애플리케이션의 기능을 확장했습니다.
Child_process 모듈을 사용하여 실행 중인 프로세스에 대한 세부 정보를 반환하는 하위 프로세스에서 PowerShell을 실행하면 JavaScript에서 이 정보를 직접 검색할 수 있습니다. 아래 이미지에서 Loki C2는 PowerShell 하위 프로세스를 생성하여 프로세스 목록을 검색합니다.
이러한 접근 방식은 심각한 운영 보안 위험을 초래합니다. PowerShell 하위 프로세스를 실행하면 탐지 가능성이 높으며 작업에 플래그가 지정되거나 레코딩될 가능성이 높아집니다. 이를 방지하기 위해 Loki C2는 windows_process_tree.node와 같은 서명된 노드 모듈을 활용하여 Node.js 능력을 확장합니다.
Loki C2에는 아래 이미지에서 볼 수 있듯이, Microsoft 서명 모듈인 windows_process_tree.node에 로드하고 getProcessList 함수를 호출하여 프로세스 정보를 검색하는 ps 명령이 포함되어 있습니다.
windows_process_tree.node 모듈에서 getProcessList 함수를 호출하는 Loki C2 JavaScript 코드는 다음과 같습니다. getProcessList는 프로세스 데이터를 JSON 형식으로 반환하며, Loki C2는 이 데이터를 구조화된 테이블로 포맷하여 가독성을 높입니다.
내부 구조가 문서화되어 있지 않기 때문에 Node 모듈 내에서 함수를 올바르게 호출하는 방법을 결정하는 것은 어려울 수 있습니다. 그러나 NSA에서 개발한 Ghidra와 같은 도구를 사용하고 Valentina와 같은 숙련된 리버스 엔지니어와 협력함으로써 우리는 이러한 모듈을 성공적으로 분석하고 해당 기능과 상호 작용하는 방법을 식별했습니다.
Valentina는 궁극적으로 서명되지 않은 DLL을 로드하지 않고 2단계 C2 셸코드를 실행할 수 있는 방법을 발견했지만, 세부 사항을 공개하는 것은 그녀에게 맡기겠습니다. Dylan, Valentina와 저는 함께 다가오는 피싱 캠페인의 안정성을 보장하기 위해 기술을 개선하기 위해 노력했습니다.
안타깝게도 초기 이메일 피싱 캠페인은 블루팀에 의해 보고되어 차단되었습니다. 이러한 어려움 이후, Brett Hawkins(@h4wkst3r)와 저는 두 번째 캠페인을 준비하기 시작했습니다. 저는 페이로드 담당자로서 동일한 페이로드를 재사용하고 싶지 않았기 때문에 블루팀이 우리를 너무 쉽게 추적하고 두 번째 캠페인을 중단시킬 수 있었습니다. 하지만 Valentina의 기술을 새로운 페이로드에 적용할 시간이 충분하지 않았기 때문에 다른 접근 방식을 사용하여 새로운 페이로드를 개발하기 시작했습니다.
일반적으로 신뢰할 수 있는 Electron 애플리케이션에서 임의의 JavaScript를 실행하는 기능은 C2 에이전트를 배포하는 명령을 실행하는 데 사용됩니다. 그러나 Valentina의 기술이 없으면 이 접근 방식은 결국 서명되지 않은 프로그램을 실행해야 하고 차단될 가능성이 높기 때문에 WDAC에 실패합니다.
두 번째 캠페인을 준비할 수 있는 기간이 며칠밖에 남지 않았을 때, '전체 C2 프레임워크를 JavaScript로 구축하면 어떨까?'라는 생각이 들었습니다.
C2 에이전트 자체가 완전히 JavaScript로 작성된 경우 가장 엄격한 WDAC 정책에도 불구하고 C2 채널을 설정할 수 있습니다. 거기서부터 정찰을 수행하여 2단계 C2 페이로드를 배치할 방법을 찾을 수 있습니다. 서명되지 않은 DLL 로드 이벤트는 없으며 신뢰할 수 있는 Teams 프로세스 내에서 실행되는 JavaScript만 있습니다.
우리에게 필요한 것은 충분한 기능뿐이었습니다.
연구하는 동안 작성한 모든 Node.js 코드를 활용하여 하룻밤 사이에 C2 개념 증명을 구성했습니다. 다음 날, 저는 이를 Dylan과 공유했고, 함께 모든 기능을 갖춘 JavaScript 기반 C2로 빠르게 확장했습니다. C2는 다음을 수행할 수 있었습니다.
현재 Loki C2로 알려진 JavaScript C2는 두 번째 캠페인에서 성공을 거두었습니다. 그 이후로 Loki C2를 계속 개선하고 확장하여 더 많은 능력을 추가하고 안정성을 높이고 기능을 향상시켰습니다.
이 연구를 통해 얻은 모든 Electron 지식을 바탕으로 Electron 프레임워크를 사용하여 Loki C2용 그래픽 사용자 인터페이스를 구축했습니다.
아래 동영상에서는 Loki C2를 사용하여 엄격한 WDAC 정책을 우회하는 방법을 보여줍니다. 아래 두 섹션에서는 동영상에서 무슨 일이 일어나고 있는지 설명합니다.
이 데모에서는 앱 제어 정책 마법사를 통해 AWS의 최신 Windows Server 2025 EC2 인스턴스에 WDAC를 배포합니다. 마법사에서는 세 가지 기본 정책 템플릿을 제공합니다.
기본 Windows 모드는 가장 엄격하며 다음을 실행할 수 있습니다.
데모에서는 기본 Windows 모드 정책이 선택되어 있습니다. WDAC가 정책을 즉시 시행할 수 있도록 기본 감사 모드는 비활성화되어 있습니다. 또한 Microsoft의 권장 WDAC 차단 목록에 있는 규칙을 포함하는 권장 차단 목록과 병합 옵션이 선택됩니다. 앱 제어 마법사는 WDAC 정책에 대한 XML 및 CIP 파일을 생성한 다음 CITool.exe를 사용하여 서버에 배포합니다.
WDAC가 활성화되면 Loki C2 Agent.exe를 실행하려고 시도하지만 실행 파일에 Microsoft가 서명하지 않았기 때문에 WDAC가 이를 차단합니다.
이 제한을 우회하기 위해 Loki Agent의 /resources/app/ 디렉토리 내용을 복사합니다. 합법적인 레거시 Microsoft Teams 애플리케이션이 포함된 "teams"라는 폴더가 데스크톱에 있습니다. Teams.exe의 속성을 보면 Microsoft에서 서명한 것임을 확인할 수 있습니다.
그런 다음 Teams 애플리케이션의 /resources/ 디렉토리로 이동하여 기존 파일을 모두 삭제합니다. 삭제가 완료되면 이전에 복사한 Loki C2 Agent /resources/app/ 디렉토리를 ~/Desktop/teams/resources/app/에 붙여넣습니다.
이렇게 수정하면 Teams.exe를 클릭하여 실행합니다. Teams 실행 파일은 Microsoft에서 서명했기 때문에 WDAC는 이를 차단하지 않습니다. System Informer에서 WDAC의 개입 없이 Teams 프로세스가 성공적으로 생성된 것을 확인할 수 있습니다. 하지만 Teams /resources/app/ 디렉토리를 Loki C2 에이전트의 코드로 교체했기 때문에 이제 전자 기반 Teams 애플리케이션은 신뢰할 수 있는 Teams 프로세스 내에서 Loki C2 에이전트의 JavaScript를 실행합니다.
Teams 프로세스는 Loki C2 클라이언트를 성공적으로 호출하고, 저는 여러 명령을 실행하여 손상된 서버의 원격 제어를 시연합니다.
Loki C2에 대한 초기 액세스 권한을 얻은 후, 우리는 Shawn Jones(@anthemtotheego)와 제가 개발한 내부 C2인 Dragon과 같이 더 유능한 2단계 C2 에이전트를 실행할 수 있는 여러 방법을 파악했습니다. Loki C2를 처음 만든 이후 발견한 다양한 에스컬레이션 방법은 모두 이 게시물에서 공개하지 않겠지만, 향후 릴리스에서 다룰 계획입니다.
이 기술을 올바르게 구현하면 최고 수준의 엔드포인트 탐지 및 대응(EDR) 솔루션을 계속 우회할 수 있습니다. 그러나 은밀한 스테이지 2 C2가 없으면 운영자는 하위 프로세스에서 명령을 실행하는 스폰을 통한 명령 실행에 의존해야 합니다. 이를 통해 주요 EDR에 대한 악용 후 탐지가 신속하게 트리거됩니다.
Loki C2는 MITRE ATT&CK Technique T1218.011 - System Binary Proxy Execution: Electron Applications를 준수합니다.
인터넷을 검색한 결과, Electron 애플리케이션을 비우고 해당 코드를 공개적으로 공개되거나 야생에서 사용되는 C2로 대체하는 이 기술을 찾지 못했습니다. 그러나 Loki C2를 신뢰할 수 있는 레드 팀과 공유한 결과 내부적으로 유사한 기능을 개발했다는 사실이 확인되었습니다.
MITRE ATT&CK TTP, 여러 연구 간행물 및 LOLBAS 항목이 있더라도 이 Electron 애플리케이션 할로잉 기술 자체는 감지되지 않고 있습니다. 제 가정에 따르면 EDR 솔루션은 이를 탐지하는 데 중점을 두지 않고 명령을 실행하기 위해 하위 프로세스를 생성하는 것과 같은 악용 후 지표에 중점을 둡니다. 우리는 이러한 일반적인 악용 후 탐지를 피하면서 2단계 C2를 배포하는 방법을 개발했기 때문에 탐지를 피하면서 여러 교전에서 이 기술을 성공적으로 사용했습니다.
이 모든 것을 염두에 두고, 다음에 공급업체가 "100% MITRE 적용 범위"를 주장하는 것을 들을 때 이것이 실제로 무엇을 의미하는지 생각해 볼 가치가 있습니다.
