팔로우 
요약
드래곤 보스 솔루션이 서명한 잠재적으로 원치 않는 애플리케이션이 합법적인 업데이트 워크플로를 악용하여 MSI 및 PowerShell 페이로드를 조용히 다운로드하고 실행했습니다. 이러한 페이로드는 안티바이러스 보호 기능을 비활성화하고 WMI 이벤트 구독 및 예약 작업을 통해 지속성을 설정했습니다. 업데이터가 누구든지 소유할 수 있는 미등록 도메인과 통신했기 때문에 소프트웨어는 임의 코드 전달을 위한 공급망 기회를 효과적으로 만들었습니다. 연구원들은 여러 고가치 부문을 포함하여 25,000개 이상의 엔드포인트가 이 인프라에 접근하는 것을 관찰했습니다.
조사
헌트리스는 WMI 기반 지속성 아티팩트와 예약 작업 생성의 급증을 발견한 후 서명된 실행 파일인 RaceCarTwo.exe 로 추적했습니다. 이 실행 파일은 MSI 설치 프로그램을 실행시켰습니다. 설치 프로그램은 ClockRemoval.ps1이라는 PowerShell 스크립트를 추출했으며, 이 스크립트는 안티바이러스 프로세스를 종료하고, AV 업데이트 도메인에 대한 액세스를 차단하며, Microsoft Defender 제외 항목을 추가하고, 발판을 유지하기 위해 자체를 반복적으로 다시 설치했습니다. 조사관들은 또한 chromsterabrowser.com과 같은 미등록 도메인이 주요 업데이트 소스로 사용되고 있다는 것을 발견했습니다. 이는 외부자가 이 도메인을 등록하고 자신의 페이로드를 전달할 수 있음을 의미합니다.
완화
추가 남용을 차단하기 위해, 연구팀은 노출된 도메인을 등록하고 싱크홀링하여 악성 업데이트 경로를 효과적으로 차단했습니다. 또한, 방어자가 영향을 받은 구성 요소를 식별하고 제거할 수 있도록 관련 WMI 이벤트 구독, 예약 작업 및 레지스트리 변경 사항을 문서화했습니다. 조직은 알려진 도메인을 차단하고 이 캠페인과 관련된 특정 작업 이름 및 WMI 소비자 활동을 모니터링하여 계속되는 타협의 위험을 줄여야 합니다.
대응
보안 팀은 ClockSetupWmiAtBoot, DisableClockServicesFirst, DisableClockAtStartup, RemoveClockAtLogon과 같은 예약 작업 생성을 탐지해야 합니다. 또 RemoveClockPeriodic와 같은 예약 작업도 포함됩니다. WMI 이벤트 구독에 MbRemoval or MbSetup이 포함된 경우 경고가 발생해야 합니다. 방어자들은 드래곤 보스 솔루션이 서명한 실행 파일을 모니터링하고, WMILoad 디렉터리에 ClockRemoval.ps1 이 존재하는지 확인하고, 안티바이러스 벤더 도메인을 차단하는 호스트 파일 항목을 검토하며, 영향을 받은 시스템 전반에서 예상치 못한 윈도우 디펜더 제외 사항을 조사해야 합니다.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffeb99 classDef file fill:#c0ffc0 classDef technique fill:#dddddd %% Technique nodes tech_t1210[“<b>기술</b> – T1210 원격 서비스 악용<br/><b>설명</b>: 사용자 정의 업데이트 메커니즘이 원격 URL에 연결하여 악성 MSI 페이로드를 다운로드하고 설치한다.”]:::technique tech_t1218_007[“<b>기술</b> – T1218.007 시스템 바이너리 프록시 실행: Msiexec<br/><b>설명</b>: Msiexec.exe가 악성 MSI 패키지를 조용히 설치하는 데 사용된다.”]:::technique tech_t1059_001[“<b>기술</b> – T1059.001 명령 및 스크립트 인터프리터: PowerShell<br/><b>설명</b>: PowerShell이 ClockRemoval 스크립트를 실행하여 보안 제품을 비활성화한다.”]:::technique tech_t1546_003[“<b>기술</b> – T1546.003 이벤트 기반 실행: WMI 이벤트 구독<br/><b>설명</b>: 지속적인 WMI 구독이 새로운 프로세스 시작 시 악성 스크립트를 실행한다.”]:::technique tech_t1053[“<b>기술</b> – T1053 예약 작업<br/><b>설명</b>: 지속성을 위해 예약 작업이 생성된다.”]:::technique tech_t1489[“<b>기술</b> – T1489 서비스 중지<br/><b>설명</b>: 보안 서비스가 중지되고 비활성화된다.”]:::technique tech_t1562[“<b>기술</b> – T1562 방어 무력화<br/><b>설명</b>: 보안 프로세스 종료 및 업데이트 차단이 수행된다.”]:::technique tech_t1564_012[“<b>기술</b> – T1564.012 아티팩트 숨김<br/><b>설명</b>: hosts 파일 수정 및 Defender 예외 추가.”]:::technique tech_t1070_004[“<b>기술</b> – T1070.004 흔적 제거<br/><b>설명</b>: 파일 및 레지스트리 삭제.”]:::technique %% Action and artifact nodes action_contact_domain[“<b>작업</b> – 미등록 도메인 접속<br/><b>도메인</b>: worldwidewebframework3.com”]:::action file_malicious_msi[“<b>파일</b> – 악성 MSI 페이로드”]:::file tool_msiexec[“<b>도구</b> – Msiexec.exe”]:::tool script_clockremoval[“<b>프로세스</b> – ClockRemoval.ps1 (PowerShell)”]:::process persistence_wmi[“<b>작업</b> – WMI 구독 생성”]:::action persistence_schtask[“<b>작업</b> – 예약 작업 등록”]:::action action_service_stop[“<b>작업</b> – 보안 서비스 중지”]:::action action_impair_defenses[“<b>작업</b> – 방어 무력화”]:::action action_host_modification[“<b>작업</b> – hosts 수정 및 Defender 예외 추가”]:::action action_file_deletion[“<b>작업</b> – 파일 및 레지스트리 삭제”]:::action %% Connections showing flow action_contact_domain –>|downloads| file_malicious_msi file_malicious_msi –>|installed via| tool_msiexec tool_msiexec –>|executes| script_clockremoval script_clockremoval –>|creates| persistence_wmi script_clockremoval –>|creates| persistence_schtask script_clockremoval –>|stops| action_service_stop script_clockremoval –>|impairs| action_impair_defenses script_clockremoval –>|modifies| action_host_modification script_clockremoval –>|deletes| action_file_deletion %% Linking actions to techniques action_contact_domain –>|uses| tech_t1210 tool_msiexec –>|uses| tech_t1218_007 script_clockremoval –>|uses| tech_t1059_001 persistence_wmi –>|uses| tech_t1546_003 persistence_schtask –>|uses| tech_t1053 action_service_stop –>|uses| tech_t1489 action_impair_defenses –>|uses| tech_t1562 action_host_modification –>|uses| tech_t1564_012 action_file_deletion –>|uses| tech_t1070_004 %% Class assignments class action_contact_domain action class file_malicious_msi file class tool_msiexec tool class script_clockremoval process class persistence_wmi action class persistence_schtask action class action_service_stop action class action_impair_defenses action class action_host_modification action class action_file_deletion action
공격 흐름
탐지
의심스러운 Taskkill 실행 (via cmdline)
보기
Powershell이 의심스러운 디렉터리에 있는 파일 실행, 맴돌기 실행 정책 사용 (via cmdline)
보기
LOLBAS Schtasks (via cmdline)
보기
LOLBAS MsiExec가 셸을 스폰 (via cmdline)
보기
IOCs (HashSha256) 특정 탐지: When PUPs Grow Fangs: Dragon Boss Solutions가 25,000개 이상의 엔드포인트에 열린 문을 남겼을 때
보기
Dragon Boss Solutions PowerShell 실행 정책 수정 [Windows PowerShell]
보기
Dragon Boss Solutions LLC의 악성 실행 탐지 [Windows 프로세스 생성]
보기
시뮬레이션 실행
전제 조건: 원격 측정 및 기준 사전 비행 검사가 통과해야 합니다.
이유: 이 섹션에서는 탐지 규칙을 트리거하기 위한 적군 기법(TTP)의 정확한 실행을 자세히 설명합니다. 명령과 내러티브는 식별된 TTP를 직접 반영하고 탐지 논리에 의해 기대되는 정확한 원격 측정을 생성하도록 설계되어야 합니다.
-
공격 내러티브 및 명령:
적군은 정식으로 서명된 인증서를 획득했습니다. RaceCarTwo.exe 드래곤 보스 솔루션스 LLC가 서명. 그들은 애플리케이션 허용 목록 우회를 위해 이 바이너리의 신뢰받는 상태를 활용합니다. 먼저 악성 MSI(Setup.msi)를 배포하여 특권 서비스를 드롭하고 지속성을 달성하기 위해 예약 작업을 설치합니다. T1546.016. 이후ClockRemoval.ps1PowerShell 스크립트를 실행하여 엔드포인트 AV 제품을 비활성화하거나 제거합니다. T1059.001. 두 작업은 동일한 프로세스에서 수행되며, 탐지 규칙이 정확한 명령 줄 패턴을 볼 수 있도록 보장합니다.-
악성 MSI 배포:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "Setup.msi" ` -Wait -
AV 비활성 PowerShell 스크립트 실행:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "ClockRemoval.ps1" ` -Wait
-
-
회귀 테스트 스크립트:
아래 스크립트는 Sigma 규칙이 기대하는 정확한 원격 측정을 재현하며 단일 실행에서 두 단계를 자동화합니다.# ------------------------------------------------- # DragonBoss 악성 실행 체인의 시뮬레이션 # ------------------------------------------------- $binaryPath = "C:Program FilesDragonBossRaceCarTwo.exe" # 1. 악성 MSI 설치 Write-Host "[*] 악성 MSI(Setup.msi)를 배포 중…" Start-Process -FilePath $binaryPath -ArgumentList "Setup.msi" -Wait # 2. AV 비활성 PowerShell 스크립트 실행 Write-Host "[*] 동일한 바이너리를 통해 ClockRemoval.ps1을 실행 중…" Start-Process -FilePath $binaryPath -ArgumentList "ClockRemoval.ps1" -Wait Write-Host "[+] 시뮬레이션 완료. SIEM에서 알림을 확인하세요." -
정리 명령:
시뮬레이션 중 생성된 아티팩트를 제거하여 호스트를 사전 테스트 상태로 복원합니다.# ------------------------------------------------- # DragonBoss 시뮬레이션 정리 # ------------------------------------------------- # 설치된 MSI 제품 제거 (실제 GUID로 ProductCode를 대체) $productCode = "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" try { Write-Host "[*] 악성 MSI 제거 중..." msiexec /x $productCode /quiet /norestart } catch { Write-Warning "MSI 제거 실패 또는 제품 존재하지 않음." } # MSI에 의해 디스크에 기록된 경우 PowerShell 스크립트 삭제 $scriptPath = "$env:ProgramDataClockRemoval.ps1" if (Test-Path $scriptPath) { Write-Host "[*] ClockRemoval.ps1 제거 중..." Remove-Item $scriptPath -Force } Write-Host "[+] 정리 완료."