팔로우 
요약
무료 배경 제거 서비스로 가장하는 악성 웹사이트가 CastleLoader로 알려진 다단계 악성코드 프레임워크를 전달합니다. 실행되면 로더는 NetSupport RAT와 브라우저 자격 증명, 암호화폐 지갑 데이터, Telegram 세션 정보를 추출하도록 설계된 맞춤형 .NET 매체를 설치합니다. 이 악성코드는 맞춤 프로토콜과 ChaCha20 암호화를 사용하는 암호화된 채널을 통해 지휘 및 통제 인프라와 통신합니다. 이 캠페인은 또한 프로세스 할로잉, APC 주입 및 남용을 포함한 여러 회피 기술을 사용합니다. ReplaceTextW, 탐지를 줄이고 실행을 유지하기 위해.
조사
연구원들은 공격을 피해자의 클립보드에 복사된 초기 페이로드로 추적했으며, 가짜 ‘나는 로봇이 아닙니다’ 프롬프트와 finger.exe 를 사용하여 원격 서버로부터 명령을 검색했습니다. 보다 깊은 분석 결과, RC4로 보호된 맞춤형 셸코드 로더와 NtAllocateVirtualMemory 를 직접 호출하는 반사형 PE 로더, 그리고 추가 악성코드 구성 요소를 다운로드하는 Python 기반의 자기 해석 체인이 발견되었습니다. 조사관들은 CastleLoader가 명령 및 제어 서버에서 암호화된 작업을 가져와 메모리에서 이를 복호화하고 이후 페이로드를 여러 가지 실행 방법으로 시작했다는 것을 발견했습니다.
완화
방어자들은 finger.exe and regsvr32.exe와 같은 불필요한 Windows 유틸리티의 실행을 차단하고, AppLocker 또는 이와 유사한 애플리케이션 제어 정책을 강화하며, 신뢰할 수 없는 도메인 및 드문 포트로의 아웃바운드 트래픽을 제한해야 합니다. 또한 조직은 가능한 경우 실행 대화 상자에 대한 접근을 제한하고, 의심스러운 사용 및 ReplaceTextW 비정상적인 COM 개체 활동을 모니터링해야 합니다. 브라우저 강화는 DPAPI 기반 자격 증명 도난 노출을 줄이는 데 도움이 되며, 암호화폐 지갑 확장을 업데이트하면 지갑 손상 위험이 감소할 수 있습니다.
대응
보안 팀은 특유의 클립보드 명령을 탐지하여 CastleLoader를 검색하고, 확인된 명령 및 제어 도메인으로의 트래픽을 모니터링하며, 악성코드의 맞춤 사용자 에이전트 문자열을 찾아야 합니다. 조사관들은 %ProgramData% 에 생성된 예약된 작업을 검토하고 관련된 뮤텍스 값을 검색해야 합니다. 감염이 확인되면, 영향을 받은 호스트를 격리하고, 모든 활성 NetSupport RAT 프로세스를 종료하며, 악성 파일을 %ProgramData% and %LocalAppData%.
에 삭제해야 합니다.
공격 흐름
탐지
가능한 지속성 지점 [ASEPs – Software/NTUSER Hive] (레지스트리 이벤트 통해)
보기
명령줄 내 가능한 ClickFix 공격 패턴 (cmdline 통해)
보기
의심스러운 Taskkill 실행 (cmdline 통해)
보기
의심스러운 명시적 COMSPEC 사용 (프로세스 생성 통해)
보기
가능한 원격 시스템 검색 또는 연결 확인 (cmdline 통해)
보기
의심스러운 디렉토리에서 실행되는 NetSupport 관리자 바이너리 시도 (프로세스 생성 통해)
보기
의심스러운 CURL 사용 (cmdline 통해)
보기
자동 시작 위치의 의심스러운 바이너리 / 스크립트 (파일 이벤트 통해)
보기
IOCs (HashSha256) 감지: ClickFix는 배경을 제거하지만 악성코드를 남깁니다
보기
IOCs (SourceIP) 감지: ClickFix는 배경을 제거하지만 악성코드를 남깁니다
보기
IOCs (DestinationIP) 감지: ClickFix는 배경을 제거하지만 악성코드를 남깁니다
보기
finger.exe의 악성 사용 탐지 RC4 또는 AES-CBC 암호화를 사용하여 [Windows 네트워크 연결]
보기
Regsvr32 및 PowerShell을 사용한 프로세스 할로잉을 통한 CastleLoader 실행 [Windows 프로세스 생성]
보기
시뮬레이션 실행
전제 조건: 원격 측정 및 기준 사전 비행 검사가 통과했어야 합니다.
근거: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적의 기술 (TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 내러티브는 식별된 TTP를 직접 반영해야 하며 탐지 논리에 예상되는 정확한 원격 측정을 생성하는 것이 목표입니다.
-
공격 내러티브 및 명령:
이미 낮은 권한의 계정을 침해한 적은 속임수를 사용하여 커스텀 암호화 페이로드의 실행을 숨기기 위해 서명된 Windows 바이너리 (finger.exe)를 사용하고자 합니다. 그들은 ‘RC4’ (또는 ‘AES‑CBC’) 문자열을 포함한 인수를 가진 바이너리를 호출합니다. 바이너리가 서명되어 있기 때문에 Windows AppLocker 또는 기타 화이트리스트 솔루션이 이를 차단할 가능성이 적으며, 명령줄 키워드는 Sigma 규칙의 암호화 조건을 충족시킵니다. -
회귀 테스트 스크립트:
# ------------------------------------------------------------ # RC4 암호화를 사용한 finger.exe의 시뮬레이션 악성 사용 # ------------------------------------------------------------ # finger.exe가 경로에 있는지 확인하거나 전체 경로를 지정하세요. $fingerPath = "$env:SystemRootSystem32finger.exe" if (-not (Test-Path $fingerPath)) { Write-Error "finger.exe 가 $fingerPath에 없습니다." exit 1 } # 키워드 RC4를 포함하는 명령줄 작성 $maliciousCmd = "$fingerPath -p RC4 -target 10.0.0.5" Write-Host "악성 명령 실행 중: $maliciousCmd" Invoke-Expression $maliciousCmd # 선택 사항: SIEM 수집을 위해 대기 Start-Sleep -Seconds 5 -
정리 명령:
# 남아 있는 finger.exe 프로세스 종료 Get-Process -Name finger -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "정리 완료."