윈도우 이벤트 로그에 셸코드를 숨기는 새로운 파일리스 악성코드 발견

This New Fileless Malware Hides Shellcode in Windows Event Logs

 

실제 공격에서 윈도우 이벤트 로그를 통해 셸 코드를 숨기는 사례가 처음으로 발견되었습니다.

 

카스퍼스키 연구원인 Denis Legezo는 기술 문서를 발표해 아래와 같이 밝혔습니다.

 

"'파일이 없는' 마지막 단계의 트로이 목마가 파일 시스템에서 눈에 잘 띄지 않게 숨을 수 있습니다.”

 

아직까지 알려진 공격자와의 연결점이 발견되지 않은 이 은밀한 감염 프로세스는 2021년 9월 의도된 타깃이 Cobalt Strike 및 Silent Break가 포함된 압축 .RAR 파일을 다운로드하도록 속이는 방식으로 시작된 것으로 추측됩니다.

 

이후 공격자 시뮬레이션 소프트웨어 모듈을 통해 윈도우 시스템 프로세스나 신뢰할 수 있는 응용 프로그램에 코드를 삽입합니다.

 

또한 이들은 탐지를 방지하기 위한 포장을 사용하는데, 이는 운영자가 탐지를 피하려는 시도로 추측됩니다.

 

 

<이미지 출처: https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/>

 

 

핵심 방법 중 하나는 실제 공격에서 한 번도 발견되지 않은 기술로 이벤트 로그에 다음 악성코드를 포함하는 암호화된 셸코드를 8KB 조각으로 유지한 후 결합 및 실행하는 것입니다.

 

 

<이미지 출처: https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/>

 

 

최종 페이로드는 임의 명령을 실행하고, URL에서 파일을 다운로드하고, 권한을 확장하고, 스크린샷을 찍도록 허용하는 두 가지 통신 메커니즘(RC4 암호화, 명명된 파이프로 암호화되지 않은 HTTP)을 사용하는 트로이목마 세트입니다.

 

또한 공격자는 피해자가 사용하는 합법적인 소프트웨어를 모방하는 원격 서버를 사용하고, 공격 체인의 후속 단계를 개발하기 위해 초기 정찰을 통해 수집한 정보를 사용합니다.

 

Legezo는 아래와 같이 덧붙였습니다.

 

"이 캠페인을 실행하는 공격자는 꽤 유능합니다.”

 

"코드는 알려진 악성코드와 유사한 점이 없으며 고유합니다."

 

이는 Sysdig의 연구원들이 Redis 서버의 치명적인 취약점을 악용하여 메모리 내에서 실행되는 파일 없는 악성코드를 통해 읽기 전용 컨테이너를 해킹하는 방법을 시연하며 공개되었습니다.

 

 

 

 

출처:

https://thehackernews.com/2022/05/this-new-fileless-malware-hides.html

https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/