SOC Prime Bias: Critical

04 Jul 2026 07:08 UTC

방어 손상 올림픽 추적하기

Author Photo
SOC Prime Team linkedin icon 팔로우
방어 손상 올림픽 추적하기
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

위협 행위자가 Adobe ColdFusion의 취약점을 이용하여 외부 공개 웹 서버에 스테가노그래피 웹셸을 배포했습니다. 초기 접근을 확보한 후, 공격자는 Microsoft Defender를 비활성화하고 보안 로깅 서비스를 종료하며 레지스트리 설정을 수정하는 등 공격적인 방어 저해 활동을 수행했습니다. 결국 이 작업은 호스트 보호를 약화시킨 후 Mimikatz를 사용한 자격 증명 덤핑에 초점을 맞추고 있는 것으로 보였습니다.

조사

조사는 분석가들이 whoami 와 같은 정찰 명령이 IIS 작업자 프로세스인 w3wp.exe에서 시작되었음을 감지했을 때 시작되었습니다. 추가적인 분석을 통해 이미지 파일 내에 숨겨진 스테가노그래피 웹셸과 보안 제어를 종료하는 스크립트인 i.bat 가 드러났습니다. 추가 포렌식 검토에서는 자격 증명 도난을 지원하고 가시성을 줄이기 위한 타임스탬프 덮어쓰고 레지스트리 변경이 발견되었습니다.

완화

조직은 Adobe ColdFusion과 같은 인터넷에 노출된 플랫폼을 비롯한 모든 소프트웨어가 알려진 취약점으로부터 완전히 패치되도록 해야 합니다. 로컬 호스트에서 쉽게 변경할 수 없는 견고한 중앙 집중식 로깅을 배포하는 것도 중요합니다. 또한 레지스트리 기반 보안 설정을 강화하고 보안 공급자 구성을 무단으로 변경한 사항을 모니터링하는 것이 방어 저해 활동을 방해하는 데 도움이 될 수 있습니다.

대응

이 활동이 감지되면 보안 팀은 추가적 움직임이나 데이터 유실을 막기 위해 영향을 받은 웹 서버를 즉시 격리해야 합니다. 침입 중에 노출되었거나 캐시된 모든 자격 증명을 취소하고 변경해야 합니다. 이후, 스테가노그래피 아티팩트와 무단으로 예약된 작업이나 WMI 이벤트 소비자를 식별하고 제거하기 위한 전체 포렌식 검사가 수행되어야 합니다.

공격 흐름

탐지

의심스러운 WMI 이벤트 소비자 생성 (cmdline 경유)

SOC Prime 팀
2026년 7월 3일

레지스트리 오용을 통해 가능한 접근성 기능 (cmdline 경유)

SOC Prime 팀
2026년 7월 3일

가능한 시스템 열거 (cmdline 경유)

SOC Prime 팀
2026년 7월 3일

의심스러운 AppCmd 활동 (cmdline 경유)

SOC Prime 팀
2026년 7월 3일

WDigest 레지스트리 키 오용 가능성 (cmdline 경유)

SOC Prime 팀
2026년 7월 3일

데이터베이스 자격 증명 탈취 가능성 (cmdline 경유)

SOC Prime 팀
2026년 7월 3일

계정 또는 그룹 열거/조작 가능성 (cmdline 경유)

SOC Prime 팀
2026년 7월 3일

의심스러운 Taskkill 실행 (cmdline 경유)

SOC Prime 팀
2026년 7월 3일

Windows Defender 설정 의심스러운 변경 (PowerShell 경유)

SOC Prime 팀
2026년 7월 3일

의심스러운 IIS 로깅 비활성화 (cmdline 경유)

SOC Prime 팀
2026년 7월 3일

시스템 레지스트리 쿼리로 인한 가능한 탐색 (cmdline 경유)

SOC Prime 팀
2026년 7월 3일

의심스러운 Microsoft IIS 서버 행동 (cmdline 경유)

SOC Prime 팀
2026년 7월 3일

짧은 스크립트 이름 사용을 통한 실행 가능성 (cmdline 경유)

SOC Prime 팀
2026년 7월 3일

PowerShell을 통한 Windows Defender 보호 비활성화 탐지 [Windows Powershell]

SOC Prime AI 규칙
2026년 7월 3일

CVE-2023-29298 ColdFusion 취약 경로를 통한 익스플로잇 탐지 [웹서버]

SOC Prime AI 규칙
2026년 7월 3일

시뮬레이션 실행

필수조건: 원격 측정 및 베이스라인 프리플라이트 체크가 통과해야 합니다.

논리: 이 섹션은 탐지 규칙을 유발하기 위해 설계된 상대적 기술(TTP)의 정확한 실행을 상세히 설명합니다. 명령 및 설명은 식별된 TTP를 직접 반영하고 탐지 논리에 의해 기대되는 정확한 원격 측정을 생성하려는 목적이어야 합니다. 추상적이거나 관련 없는 예시는 잘못된 진단으로 이어질 것입니다.

  • 공격 서사 및 명령: 적이 워크스테이션에서 로컬 관리자 접근을 성공적으로 얻었습니다. 경고 없이 자격 증명 수집기(Mimikatz 등)를 배포하기 위해 공격자는 Windows Defender의 실시간 스캐닝을 비활성화하기로 결정했습니다. 공격자는 자신의 발자취를 최소화하기 위해 단일 명령의 PowerShell 명령을 선택했으며, 특히 Set-MpPreference cmdlet을 사용하여 실시간 모니터링과 스크립트 스캐닝을 비활성화했습니다. 이 작업은 엔드포인트에서 “맹점”을 만들기 위해 수행되었습니다.

  • 회귀 테스트 스크립트:

    # 시뮬레이션 스크립트: 'selection_command' 로직을 트리거
    # 참고: 이 스크립트는 Defender 설정을 변경하기 위해 관리자 권한으로 실행되어야 성공합니다.
    # 이 스크립트는 선택된 문자열이 탐지 규칙을 통해 매칭되는 것을 유발하도록 설계되었습니다.
    
    Write-Host "[+] 시뮬레이션 시작: Windows Defender 보호를 비활성화합니다..." -ForegroundColor Cyan
    
    # 'Set-MpPreference -DisableRealtimeMonitoring $true' 트리거
    Write-Host "[+] 실행 중: Set-MpPreference -DisableRealtimeMonitoring $true"
    Set-MpPreference -DisableRealtimeMonitoring $true
    
    # 'Set-MpPreference -DisableScriptScanning $true' 트리거
    Write-Host "[+] 실행 중: Set-MpPreference -DisableScriptScanning $true"
    Set-MpPreference -DisableScriptScanning $true
    
    # 'Set-MpPreference -SubmitSamplesConsent NeverSend' 트리거
    Write-Host "[+] 실행 중: Set-MpPreference -SubmitSamplesConsent NeverSend"
    Set-MpPreference -SubmitSamplesConsent NeverSend
    
    # 'selection_file' 로직을 트리거하기 위해 더미 파일 생성 및 실행
    Write-Host "[+] 실행 중: DisableDefender.ps1 생성 및 실행"
    "Write-Host '가상 회피'" | Out-File -FilePath "$env:TEMPDisableDefender.ps1"
    & "$env:TEMPDisableDefender.ps1"
    
    Write-Host "[+] 시뮬레이션 명령 완료." -ForegroundColor Green
  • 정리 명령:

    # 정리 스크립트: 보호 재활성화 및 아티팩트 제거
    Write-Host "[!] 정리 시작..." -ForegroundColor Yellow
    
    # 보호 재활성화
    Set-MpPreference -DisableRealtimeMonitoring $false
    Set-MpPreference -DisableScriptScanning $false
    Set-MpPreference -SubmitSamplesConsent AutoLimit
    
    # 더미 스크립트 제거
    if (Test-Path "$env:TEMPDisableDefender.ps1") {
        Remove-Item -Path "$env:TEMPDisableDefender.ps1" -Force
        Write-Host "[+] 더미 스크립트 제거 완료."
    }
    
    Write-Host "[+] 정리 완료. 시스템이 기준으로 복원되었습니다." -ForegroundColor Green