가짜 설치 프로그램 체인, ValleyRAT 감염으로 끝나다
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
트로이 목마화된 설치 관리자는 LINE 메신저 설정으로 위장하여 ValleyRAT 페이로드를 전달하는 것이 관찰되었습니다. NSIS 로 제작되고 의심스러운 인증서로 서명된 이 드롭퍼는 코드 인젝션, 지속성 and 을 지원하는 여러 DLL과 INI 구성 요소를 심습니다. 이후 이 악성코드는 추가 악성 이진 파일을 가져오기 위해 홍콩에 호스팅된 두 개의 C2 서버와 통신합니다. 이 활동은 중국어 사용자를 대상으로 한 것으로 보이며, 고급 기능을 사용합니다. 여기에는 . The malware then communicates with two Hong Kong–hosted C2 servers to fetch additional malicious binaries. The activity appears aimed at Chinese-speaking users and employs advanced tradecraft, including PoolParty Variant 7 프로세스 인젝션이 포함됩니다.
조사
Cybereason 분석가들은 가짜 LINE 설치 관리자의 정적 및 동적 분석을 수행하여 PowerShell, 과 과 , 사용자 지정 DLL 로더 사용을 확인했습니다. 이 체인은 %AppData%, and %LocalAppData%에 아티팩트를 생성하고 뮤텍스를 통한 동기화를 설정하며 예약된 작업 을 통해 지속성을 등록했습니다. 설치 후 행동은 explorer.exe and 및 UserAccountBroker.exe로의 인젝션을 포함하여 은폐 중심의 원격 접속 워크플로와 일치합니다. 네트워크 원격 추적에서는 홍콩에 위치한 두 개의 C2 IP 주소가 명령 회수 및 페이로드 준비에 사용된 것으로 식별했습니다. 귀속은 , consistent with a stealth-focused remote access workflow. Network telemetry identified two C2 IP addresses in Hong Kong used for command retrieval and payload staging. Attribution was assessed as consistent with Silver Fox 활동과 일관성을 보였으며, SADBRIDGE.
와 코드 중복이 나타났습니다.
완화 서명 체인과 연관된 의심스러운 인증서 검증 인식에서 NSIS로 패킹된 가짜 인스톨러를 사냥하고 알림을 설정하십시오. 설치 관리자가 내린 파일 세트 생성, 관련 레지스트리 수정 사항 및 Windows Defender 제외 추가 시도를 모니터하세요. 식별된 C2 IP에 대한 아웃바운드 연결을 차단하고 잘못되거나 신뢰할 수 없는 인증서를 거부하는 코드 서명 제어를 시행하십시오. EDR 감지를 추가하여 RPC 기반의 영속성과 일치하는 -스타일 인젝션 패턴 및 작업 예약 생성 시퀀스에 대해 설정합니다. associated with the signing chain. Monitor for creation of the installer’s dropped file set, related registry modifications, and attempts to add Windows Defender exclusions. Block outbound connectivity to the identified C2 IPs and enforce code-signing controls that reject invalid or untrusted certificates. Add EDR detections for PoolParty Variant 7-style injection patterns and for scheduled-task creation sequences consistent with RPC-based persistence.
응답
의심스러운 활동이 감지되면 엔드포인트를 격리하고, 악성 프로세스를 종료하며 가짜 설치 관리자와 모든 내려받은 아티팩트를 제거하십시오. 추가 모듈에 대한 전체 스윕을 수행하고 Defender 설정을 복구하며(허가되지 않은 제외 제거 포함) 공격자가 생성한 예약된 작업을 삭제하십시오. 최근 사용자 및 호스트 활동을 검토하여 측면 이동의 징후를 확인한 후 메모리 캡처 및 심층 포렌식 수집을 위해 사건 대응 팀에 보고하십시오. ValleyRAT modules, restore Defender settings (including removal of unauthorized exclusions), and delete attacker-created scheduled tasks. Review recent user and host activity for signs of lateral movement, then escalate to incident response for memory capture and deeper forensic collection.
공격 흐름
탐지
가능한 예약 작업 생성 (PowerShell 경유)
보기
의심스러운 예약 작업 (감사 경유)
보기
Rundll32 Dll 의심 경로 실행 (프로세스 생성 경유)
보기
Windows Defender 설정 의심스러운 변경 (PowerShell 경유)
보기
LOLBAS Regsvr32 (명령 줄 경유)
보기
IOCs (DestinationIP) 탐지를 위한: 가짜 설치 관리자: 결국, ValleyRAT 감염
보기
IOCs (HashSha1) 탐지를 위한: 가짜 설치 관리자: 결국, ValleyRAT 감염
보기
IOCs (SourceIP) 탐지를 위한: 가짜 설치 관리자: 결국, ValleyRAT 감염
보기
Windows Defender 제외 및 예약된 작업을 사용한 가짜 설치 관리자 탐지 [Windows PowerShell]
보기
시뮬레이션 실행
전제 조건: 원격 측정 및 기준성 비행 전 점검이 통과해야 합니다.
이론: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 상대방 기법(TTP)의 정밀한 실행을 상세히 설명합니다. 명령 및 서술은 반드시 식별된 TTP들을 직접 반영해야 하며, 탐지 논리에 의해 예상되는 정확한 원격 측정을 생성하는 것을 목표로 해야 합니다.
-
공격 서술 및 명령:
이미 낮은 권한 계정을 탈취한 공격자가 손잡힌 호스트에 페이로드를 스테이징하려 하면서 바이러스 백신 탐지를 회피하려고 합니다. 공격자는:- PowerShell을 사용하여 Windows Defender에 전체를 C: 드라이브에 대한 제외를 추가하여 그곳에 배치된 악성 이진 파일이 Defender에 의해 보이지 않게 합니다.
- 같은 same PowerShell 호출에서는, 숨겨진 페이로드(
C:Malwarepayload.ps1)을 특정한 정통 프로세스(예:explorer.exe)가 시작될 때 매번 시작하도록 예약 작업을 등록하여 지속성을 제공합니다. - 이 두 가지 행동이 하나의 명령줄로 결합되어 있기에, 원격 측정은 Sigma 규칙의 선택1 및 선택2 조건과 일치하여 경고를 야기합니다.
selection1 and selection2condition, causing an alert.
-
회귀 테스트 스크립트:
# ------------------------------------------------- # 가짜 설치 관리자 시뮬레이션 – Sigma 규칙 트리거 # ------------------------------------------------- # 1. 제외 경로 정의 (전체 C: 드라이브) $exclusion = "C:" # 2. 예약된 작업 세부 사항 정의 $taskName = "UpdateScheduler" $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-ExecutionPolicy Bypass -File C:Malwarepayload.ps1" $trigger = New-ScheduledTaskTrigger -AtLogOn # 3. 두 명령을 하나의 PowerShell 명령줄로 결합 $combined = "Add-MpPreference -ExclusionPath `"$exclusion`"; Register-ScheduledTask -TaskName `"$taskName`" -Action `$action -Trigger `$trigger -Force" # 4. 결합된 명령을 호출 Invoke-Expression $combined -
정리 명령:
# ------------------------------------------------- # 정리 – 제외 및 예약 작업 제거 # ------------------------------------------------- # C:에 대한 Defender 제외를 제거 Remove-MpPreference -ExclusionPath "C:" # 예약 작업 삭제 Unregister-ScheduledTask -TaskName "UpdateScheduler" -Confirm:$false