Resoker RAT, 명령 및 제어에 텔레그램 사용

Ruslan Mikhalov SOC Prime에서 위협 연구 책임자

팔로우

Detection stack

AIDR
Alert
ETL
Query

위협 보고서
공격 흐름
탐지
시뮬레이션

요약

ResokerRAT은 Telegram Bot API를 명령 및 제어에 사용하여 새롭게 식별된 원격 접근 트로이 목마입니다. 이는 Run 레지스트리 값을 통해 지속되며 권한 상승, 스크린 샷 캡처, 작업 관리자 차단 및 UAC 제어 약화의 기능을 포함합니다. 가시성을 줄이기 위해 숨겨진 창에서 PowerShell을 실행하고 일반 분석 도구를 종료하려고 시도합니다. 탐지는 mutex, 주요 레지스트리 수정, Telegram 기반 C2 활동에서 중심을 잡을 수 있습니다.

조사

Resoker의 분석은 mutex 생성, 안티 디버그 로직, 보안 및 분석 유틸리티를 목표로 한 공격적인 프로세스 종료를 강조합니다. 이 멀웨어는 키보드 후킹을 설정하고 Telegram에서 전달된 명령의 지정된 세트를 수용하며, 작업 관리자 비활성화 및 UAC 행동 완화를 위해 레지스트리 값을 변경합니다. 후속 페이로드는 초기 침해 후 모듈식 확장을 지원하는 숨겨진 PowerShell 실행을 통해 회수될 수 있습니다.

완화

알려진 mutex를 모니터하고 DisableTaskMgr 및 UAC 관련 키에 연결된 레지스트리 변경에 대해 경고합니다. 가능한 경우 Telegram API 엔드포인트에 대한 아웃바운드 액세스를 제한하거나 차단하고, 승인받지 않은 PowerShell 실행을 방지하기 위해 애플리케이션 제어를 시행하십시오. 키보드 훅 동작과 의심스러운 숨겨진 창 PowerShell 활동을 플래그하는 호스트 기반 탐지는 영향을 더욱 줄일 수 있습니다.

응답

탐지되면, 호스트를 격리하고 악성 프로세스를 중단시키며 Run-key 지속성 항목을 제거하세요. 휘발성 증거(mutex 값, Telegram 봇/C2 지표, 명령줄 원격 측정)를 보존하고 추가 페이로드나 지속성을 위한 완전한 포렌식 검사를 수행하세요. 작업 관리자와 UAC에 영향을 미치는 레지스트리 변경을 복원하고, 도난이 의심되는 경우 노출된 자격 증명을 회전시키며, 반복 발생을 방지하기 위해 최소 권한 실행 정책을 다시 적용하세요.

"graph TB %% 클래스 정의 classDef action fill:#ffcc99 classDef technique fill:#99ccff classDef persistence fill:#ffd699 classDef command_and_control fill:#ffdd99 %% 노드 정의 action_execution["작동 – T1059.001 PowerShell: Resoker.exe를 통해 숨겨진 PowerShell 명령 실행 기법: PowerShell을 사용하여 명령 실행"] class action_execution action tech_hide_window["기법 – T1564.003 숨겨진 창: 사용자 가시성을 피하기 위해 숨겨진 창에서 명령 실행"] class tech_hide_window technique action_process_enum["작동 – T1057 프로세스 검색: 실행 중인 프로세스를 열거하고 분석 도구를 종료"] class action_process_enum action action_keylogging["작동 – T1056.001 키로그: 글로벌 낮은 수준의 키보드 훅 설치하여 입력을 캡처"] class action_keylogging action persistence_run_key["지속성 – T1037.005 레지스트리 실행 키: 자동 시작을 위해 HKCU 실행 레지스트리 항목 생성"] class persistence_run_key persistence defense_disable_taskmgr["기법 – T1562.001 작업 관리자 비활성화: DisableTaskMgr 레지스트리 값을 1로 설정"] class defense_disable_taskmgr technique action_screen_capture["작동 – T1113 화면 캡처: PowerShell을 통해 스크린 캡처하고 PNG 파일 저장"] class action_screen_capture action action_download["작동 – T1059.001 PowerShell 및 T1202 간접 명령 실행: 숨겨진 PowerShell 명령을 사용하여 추가 파일 다운로드"] class action_download action c2_telegram["명령 및 제어 – T1102.002 웹 서비스 및 T1102.003 단방향 메시지: HTTPS를 통해 Telegram Bot API를 사용하여 공격자와 통신"] class c2_telegram command_and_control %% 공격 흐름 연결 action_execution –>|사용| tech_hide_window action_execution –>|트리거| action_process_enum action_process_enum –>|종료| action_keylogging action_process_enum –>|설정| persistence_run_key persistence_run_key –>|강화| defense_disable_taskmgr action_process_enum –>|활성화| action_screen_capture action_screen_capture –>|호출| action_download action_download –>|사진을 통해 탈취| c2_telegram "

공격 흐름

공격 내러티브 & 명령어:
Windows 워크스테이션에 확고한 발판을 얻은 적은 사용자의 데스크톱을 시각적 신호를 올리지 않고 캡처하려고 합니다. 그는 PowerShell을 -WindowStyle Hidden 스위치를 사용하여 .NET을 불러옵니다 System.Windows.Forms and System.Drawing 어셈블리를 로드하고 CopyFromScreen 메서드를 사용하여 기본 화면을 캡처하며 비트맵을 임시 파일에 기록합니다. 이 명령은 PowerShell 스크립트 블록 로그에서 전체 문자열이 나타나도록 한 줄로 작성되며, 모든 네 가지 탐지 셀렉터와 일치합니다.

회귀 테스트 스크립트:

# 무음 스크린 캡처 – 탐지 원격 측정을 재현합니다
$psCommand = @"
Add-Type -AssemblyName System.Windows.Forms
Add-Type -AssemblyName System.Drawing
$bounds = [System.Windows.Forms.Screen]::PrimaryScreen.Bounds
$bitmap = New-Object System.Drawing.Bitmap $bounds.Width, $bounds.Height
$graphics = [System.Drawing.Graphics]::FromImage($bitmap)
$graphics.CopyFromScreen($bounds.Location, [System.Drawing.Point]::Empty, $bounds.Size)
$output = "C:Tempscreenshot.png"
$bitmap.Save($output, [System.Drawing.Imaging.ImageFormat]::Png)
Write-Host "Screenshot saved to $output"
"@

# 조립된 명령과 함께 숨겨진 PowerShell 실행
powershell -WindowStyle Hidden -Command $psCommand

정리 명령:

# 스크린 캡처 이미지와 잔여 객체 제거
Remove-Item -Path "C:Tempscreenshot.png" -ErrorAction SilentlyContinue

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입