팔로우 
요약
이 글은 W32Time 서비스를 악용하여 공격자가 Windows에서 지속성을 확보하는 방법을 설명합니다. 레지스트리 변경을 통해 악성 DLL을 시간 공급자로 등록하면, 서비스가 시작될 때마다 페이로드가 자동으로 로드됩니다. 이 방법은 합법적인 Windows 구성 요소 뒤에 악성 실행을 숨겨 공격자가 지속성 활동을 정상적인 시스템 동작에 녹아들게 만듭니다.
조사
이 보고서는 특정 멀웨어 샘플이나 침입 캠페인에 초점을 맞추지 않습니다. 대신, 공격자가 W32Time 서비스의 레지스트리 설정을 변경하고 악성 DLL을 로드하도록 강제하기 위해 사용할 수 있는 기술적 과정을 살펴봅니다. 또한 악용 구현에 필요한 명령 구문과 레지스트리 경로를 강조합니다.
완화
조직은 그룹 정책을 사용하여 W32Time 서비스 파일 및 관련 레지스트리 키를 비인가된 수정으로부터 보호해야 합니다. 레지스트리 쓰기 권한은 신뢰할 수 있는 관리자에게만 제한해야 하며, 수호자들은 TimeProviders 하위 키의 변경 사항을 감시해야 합니다. W32Time DLL에 대한 파일 무결성 검사와 로컬 서비스 계정에 대한 엄격한 최소 권한 제어는 위험을 더 줄일 수 있습니다.
대응
탐지 팀은 W32TimeTimeProviders 레지스트리 경로 아래의 하위 키 생성 또는 수정에 대해 알림을 설정해야 합니다. 알 수 없는 DLL을 참조하는 레지스트리 값은 즉시 조사해야 합니다. 이러한 신호는 w32tm.exe가 비표준 DLL을 로드하는 프로세스 활동과 관련 지속성 행동과 함께 상관관계가 있을 수 있습니다.
공격 흐름
이 부분을 업데이트하고 있습니다. 알림을 받으려면 가입하세요
알림받기탐지
TimeProviders 악용 가능성 (레지스트리 이벤트 통해)
보기
의심스러운 파일 확장자가 실행 키에 추가됨 [ASEPs] (레지스트리 이벤트 통해)
보기
지속성 포인트 가능성 [ASEPs – Software/NTUSER Hive] (cmdline 통해)
보기
TimeProviders 악용 시도 가능성 (cmdline 통해)
보기
지속성 포인트 가능성 [ASEPs – Software/NTUSER Hive] (레지스트리 이벤트 통해)
보기
IOCs(이메일)로 탐지: MITRE ATT&CK에서의 T1547.003 시간 공급자 설명
보기
악성 시간 제공자 DLL에 대한 레지스트리 조작 탐지 [Windows 레지스트리 이벤트]
보기
시뮬레이션 실행
전제 조건: 텔레메트리 & 기준 사전 점검이 통과했어야 합니다.
-
공격 내러티브 및 명령:
시스템 재부팅을 견디고 탐지가 어려운 지속성을 원하는 로컬 관리자 권한을 가진 공격자는 Windows 시간 서비스(W32Time)를 악용하여 악성 DLL을 시간 공급자로 등록하기로 선택합니다. 이 기법은 합법적인reg.exe유틸리티(생활용 도구)를 활용하여 레지스트리 키를 수정하는 것입니다HKLMSystemCurrentControlSetServicesW32TimeTimeProviders<CustomProvider>. 서비스가 부팅 시 DLL을 로드하면 공격자는 SYSTEM 권한으로 코드 실행을 얻습니다. -
회귀 테스트 스크립트:
# ------------------------------------------------- # W32Time 시간 공급자로 악성 DLL 등록 # ------------------------------------------------- $providerName = "MaliciousTimeProvider" $dllPath = "C:TempevilTime.dll" # 1. 더미 악성 DLL 자리표로 생성 (테스트용) New-Item -Path $dllPath -ItemType File -Force | Out-Null # 2. 시간 공급자 레지스트리 키 추가 $regPath = "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" reg add "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /v "Dll" /t REG_SZ /d $dllPath /f # 3. 공급자 활성화 (값 Enabled = 1) reg add "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /v "Enabled" /t REG_DWORD /d 1 /f Write-Host "악성 시간 공급자 등록됨. SIEM에서 탐지를 확인하세요." -
정리 명령:
# ------------------------------------------------- # 악성 시간 공급자 등록 제거 # ------------------------------------------------- $providerName = "MaliciousTimeProvider" $regPath = "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" # 공급자 키를 재귀적으로 삭제 reg delete "HKLMSystemCurrentControlSetServicesW32TimeTimeProviders$providerName" /f # 더미 DLL 파일 삭제 Remove-Item "C:TempevilTime.dll" -Force -ErrorAction SilentlyContinue Write-Host "정리 완료."