SOC Prime Bias: 위험

02 Jun 2026 15:23 UTC
newspaper icon co.kr

Kimsuky Advanced Attack Techniques: JSONPing, Webex Spoofing, and a New HttpSpy Variant

Author Photo
SOC Prime Team linkedin icon 팔로우
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


요약

Kimsuky는 보안 소프트웨어와 Webex 미팅을 사칭한 사회공학 페이지를 사용하여 다단계 HttpSpy RAT를 전달했습니다. 캠페인은 JSONPing이라고 불리는 JSONP 기반 감염 검사를 도입하고, 페이로드를 설치자, 로더, 메인 모듈로 나누었습니다. 지표에는 공유된 RC4 키, XAMPP 인증서, 이전 캠페인과의 인프라 중복이 포함됩니다.

조사

팀은 가짜 설치 페이지를 분석하고, 드로퍼 바이너리를 캡처하고, RC4 키를 추출했으며, nos-setup.exe/astx-setup.exe에서 MemLoader.dll, engine.dat, cacheMon.dat를 거쳐 최종 HttpSpy 모듈로 이어지는 3단계 실행 체인을 재구성했습니다. 네트워크 트래픽은 로컬 포트 및 C2 URL로의 GET 요청을 보여주었습니다.

완화

조직은 의심스러운 도메인과 IP를 차단하고, 알 수 없는 소스의 스크립트 파일 실행을 비활성화하며, regsvr32 및 예약된 작업 생성 모니터링, 코드 서명 확인을 강제해야 합니다. Webex 미팅 링크를 클릭하기 전에 검증하고 JSONPing 트래픽을 탐지하기 위해 TLS 검사를 사용해야 합니다.

대응

식별된 바이너리, 레지스트리 런 키, 예약된 작업 및 네트워크 지표의 존재를 탐지하십시오. 영향을 받은 호스트를 격리하고 손상된 코드 서명 인증서를 취소하며, 페이로드 및 지속성 메커니즘에 대한 포렌식 분석을 수행하십시오.

공격 흐름

이 부분은 아직 업데이트 중입니다. 알림을 받으려면 가입하세요.

Notify Me

탐지

가능한 지속성 포인트 [ASEPs – 소프트웨어/NTUSER Hive] (registry_event를 통해)

SOC Prime 팀
2026년 5월 29일

보기

비정형 경로의 시스템 프로세스 실행 (process_creation를 통해)

SOC Prime 팀
2026년 5월 29일

보기

의심스러운 위치에서 페이로드를 실행하는 Regsvr32 (cmdline을 통해)

SOC Prime 팀
2026년 5월 29일

보기

데이터 인코딩 및 인증서 작업을 위한 Certutil 사용 (cmdline을 통해)

SOC Prime 팀
2026년 5월 29일

보기

공용 사용자 프로필에서의 의심스러운 실행 (process_creation을 통해)

SOC Prime 팀
2026년 5월 29일

보기

발견해야 할 IOCs (HashSha256): Kimsuky 고급 공격 기법: JSONPing, Webex 위장, 새로운 HttpSpy 변형

SOC Prime AI 규칙
2026년 5월 29일

보기

발견해야 할 IOCs (HashMd5): Kimsuky 고급 공격 기법: JSONPing, Webex 위장, 새로운 HttpSpy 변형 2부

SOC Prime AI 규칙
2026년 5월 29일

보기

발견해야 할 IOCs (HashMd5): Kimsuky 고급 공격 기법: JSONPing, Webex 위장, 새로운 HttpSpy 변형 1부

SOC Prime AI 규칙
2026년 5월 29일

보기

발견해야 할 IOCs (SourceIP): Kimsuky 고급 공격 기법: JSONPing, Webex 위장, 새로운 HttpSpy 변형

SOC Prime AI 규칙
2026년 5월 29일

보기

발견해야 할 IOCs (DestinationIP): Kimsuky 고급 공격 기법: JSONPing, Webex 위장, 새로운 HttpSpy 변형

SOC Prime AI 규칙
2026년 5월 29일

보기

HttpSpy 변형 C&C 통신 탐지 [윈도우 네트워크 연결]

SOC Prime AI 규칙
2026년 5월 29일

보기

악성 DLL 실행을 위한 Regsvr32 및 PowerShell의 의심스러운 실행 [윈도우 프로세스 생성]

SOC Prime AI 규칙
2026년 5월 29일

보기

경영 요약

  • 테스트 케이스 ID: TC-20260529-A7Z3Q
  • TTP들:
    • T1005 (로컬 시스템으로부터의 데이터)
    • T1010 (애플리케이션 창 탐색)
    • T1012 (레지스트리 쿼리)
    • T1027.009 (모호화된 파일 또는 정보: 임베디드 페이로드)
    • T1027.010 (모호화된 파일 또는 정보: 이진 패딩)
    • T1027.013 (도구에서 지표 제거: 모호화된 파일 또는 정보)
    • T1036.004 (위장: 작업 또는 서비스 위장)
    • T1041 (커맨드 및 제어 채널을 통한 데이터 유출)
    • T1053.005 (예약된 작업/작업: 예약된 작업)
    • T1055.001 (프로세스 인젝션: 동적 링크 라이브러리 인젝션)
    • T1057 (프로세스 탐색)
    • T1059.003 (명령 및 스크립트 인터프리터: 윈도우 명령 셸)
    • T1059.007 (명령 및 스크립트 인터프리터: 자바스크립트)
    • T1070.004 (호스트에서 지표 제거: 파일 삭제)
    • T1070.006 (호스트에서 지표 제거: 레지스트리 키 삭제)
    • T1070.009 (호스트에서 지표 제거: 윈도우 이벤트 로그 지우기)
    • T1071.001 (애플리케이션 레이어 프로토콜: 웹 프로토콜)
    • T1082 (시스템 정보 탐색)
    • T1083 (파일 및 디렉토리 탐색)
    • T1090 (프록시)
    • T1113 (스크린 캡처)
    • T1132.001 (데이터 인코딩: 표준 인코딩)
    • T1134.002 (액세스 토큰 조작: 토큰 만들기 및 가장)
    • T1140 (파일 또는 정보의 디오브스케이팅/디코딩)
    • T1204.002 (사용자 실행: 악성 파일)
    • T1497.001 (가상화/샌드박스 회피: 시스템 검사)
    • T1547.001 (부팅 또는 로그온 자동 시작 실행: 레지스트리 런 키 / 시작 폴더)
    • T1566 (피싱)
    • T1573.001 (암호화된 채널: 대칭 암호화)
    • T1620 (반사적 코드 로딩)
  • 탐지 규칙 논리 요약: PowerShell 명령을 감지합니다 regsvr32.exe 숨겨진 창으로 DLL을 불러오기 위해 C:ProgramData 디렉터리
  • 탐지 규칙 언어/형식: Sigma (YAML)
  • 타겟 보안 환경:
    • OS: Windows 10 / Windows Server 2019 (프로세스 생성 이벤트)
    • 로깅: Windows Sysmon (이벤트 ID 1) 및 Windows 보안 이벤트 로그 (이벤트 ID 4688)
    • 보안 스택: Sigma 규칙을 수집하는 SIEM (예: Azure Sentinel, Splunk, Elastic) 및 EDR 커버리지 제공 (Microsoft Defender for Endpoint)
  • 탄력성 점수 (1-5): 3
  • 정당화: 이 규칙은 특정 PowerShell 실행 패턴과 강하게 연관되어, 기술이 정확히 설명된 방법에 대해 효과적입니다. 그러나 적들은 (1) 대체 로드 메커니즘 사용 (예: regsvr32.exe PowerShell -EncodedCommand PowerShell -EncodedCommand, PowerShell -EncodedCommand), (2) 이름 바꾸기, 또는 (3) 반사적 로딩을 통해 regsvr32.exe를 호출하지 않고 DLL 실행을 수행함으로써 회피할 수 있습니다. 따라서 중간 탄력성입니다. regsvr32. 따라서 중간 정도의 탄력성입니다.
  • 주요 발견 사항: PowerShell-regsvr32 명령이 정확히 실행될 때 이 규칙이 신뢰성 있게 발동됩니다. PowerShell 래퍼 없는 regsvr32.exe 의 정상적 사용은 알림을 트리거하지 않습니다.
  • 추천: 추가 패턴 (예: 직접 호출된 regsvr32.exe 의 탐지, 비정형 경로에서의 DLL 로드 모니터링, 인코딩된 PowerShell 명령의 탐지)을 통해 규칙을 보강하여 탄력성을 4-5로 높이십시오.

시뮬레이션 환경 및 컨텍스트

  • 테스트 중인 TTP:

    • T1055.001: 프로세스 인젝션 – 동적 링크 라이브러리 인젝션 (악성 DLL이 regsvr32.exe)
    • T1059.003: 명령 및 스크립트 인터프리터 – 윈도우 명령 셸 (PowerShell 사용하여 실행 숨김)
    • T1027.009 / T1027.010 / T1027.013: 모호화된 파일 또는 정보 (DLL 이름 모호화, 숨겨진 창)

  • TTP 컨텍스트 및 관련성:

    • T1055.001: 공격자는 regsvr32.exe 를 통해 악성 DLL (mTSTCv8.mdxm)을 신뢰받는 프로세스에 로드하여 애플리케이션 화이트리스트를 우회합니다.
    • T1059.003: PowerShell은 regsvr32 명령을 -windowstyle hidden 옵션으로 시작하여 사용자의 인식 및 엔드포인트 UI 모니터링을 회피합니다.
    • 모호화 TTP: 비표준 DLL 확장( .mdxm) 및 숨겨진 창은 이 규칙이 드러내려고 시도하는 전형적인 회피 기법입니다.

  • 대상 환경:

    • OS: Windows 10 엔터프라이즈 (빌드 1909)
    • 로깅: 디폴트 규칙 세트로 구성된 Sysmon (프로세스 생성, 이미지 로드 캡처) 및 Windows 보안 이벤트 로그 4688 활성화됨.
    • 보안 스택: Azure Sentinel (Log Analytics 작업 공간)에서 Sysmon/Windows 로그 수집; Microsoft Defender for Endpoint에서 호스트 기반 경고용.

텔레메트리 및 기준선 사전 비행 점검

논리: 공격을 시뮬레이션하기 전에, 대상 호스트가 필요한 로그를 생성하게 설정되어 있는지, 이러한 로그가 SIEM에 수집되고 있는지, 탐지 규칙이 정상적 활동에 대해 발동하지 않는지를 확인해야 합니다.

  • 1. 텔레메트리 구성 지침:

    • 다음의 구성 스니펫을 사용하여 Sysmon (v13 이상)을 설치하십시오 ( sysmon-config.xml):

      <Sysmon schemaversion="4.70">
  <EventFiltering>
    <ProcessCreate onmatch="include">
      <Image condition="is">regsvr32.exe</Image>
    </ProcessCreate>
  </EventFiltering>
</Sysmon>

      실행: sysmon -i -accepteula -c sysmon-config.xml

    • “프로세스 생성 감사”에 대한 Windows 보안 감사가 활성화되었는지 확인 (정책: 컴퓨터 구성 → 윈도우 설정 → 보안 설정 → 고급 감사 정책 구성 → 시스템 감사 정책 → 자세한 추적 → 프로세스 생성 감사 – 성공으로 설정). 이벤트 수집기가 Azure Sentinel로 Log Analytics 에이전트를 통해 이벤트 ID 4688 (프로세스 생성) 및 Sysmon 이벤트 ID 1을 전달하는지 확인하십시오.

    • 2. 수집 및 기준선 검증:

  • 행동 (정상 텔레메트리):

    • 정상 호출을 실행하되 PowerShell이나 숨겨진 창을 포함하지 않음 (예: Microsoft DLL 등록) regsvr32 . not 또는 숨겨진 창을 포함하지 않음 (예: Microsoft DLL 등록).

      # Windows DLL의 정상 등록 (숨겨진 창 없음)
regsvr32.exe /s C:WindowsSystem32shdocvw.dll

    • 검증 쿼리 (수집): Azure Sentinel (KQL)에서 정상적인 이벤트가 수집되었지만 규칙에는 not 일치하지 않았음을 확인합니다.

      // 정상적인 regsvr32 실행의 수집 확인
Event
| where SourceSystem == "Security" and EventID == 4688
| where Process == "regsvr32.exe"
| where CommandLine !contains "powershell.exe"
| project TimeGenerated, Computer, Process, CommandLine, EventID

      결과 세트에는 정상적인 이벤트가 포함되어 있어야 하며, Sigma 규칙의 경고는 조용해야 합니다.

시뮬레이션 실행

전제 조건: 텔레메트리 및 기준선 사전 점검을 통과해야 합니다.

논리: 이 섹션에서는 탐지 규칙을 발동시키기 위해 설계된 적의 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령문과 내러티브는 확인된 TTP에 직접적으로 반영되고, 탐지 논리에 의해 예상되는 정확한 텔레메트리를 생성하는 것이 목표입니다.

  • 공격 서사 및 명령:
    적은 두 번째 페이로드용 반사적 로더가 포함된 커스텀 DLL (mTSTCv8.mdxm)을 확보하였습니다. 상호작용적 실행을 피하기 위해, 공격자는 regsvr32.exe 를 실행하면서 PowerShell 콘솔을 숨기는 ( /s ) PowerShell 원라이너를 작성합니다. DLL은-WindowStyle Hidden사이에서 정상적인 응용 프로그램 데이터에 뒤섞이기 위해 존재합니다. 실행 단계: C:ProgramData C:ProgramData

    1. # ============================== # 회귀 테스트: PowerShell을 통한 Regsvr32 (악성 DLL) # ============================== # 1. 악성 DLL 배포 (안전하게 알려진 정상 DLL로 시뮬레이션) $dllPath = “C:ProgramDatamTSTCv8.mdxm” Copy-Item -Path “$env:SystemRootSystem32windows.storage.dll” -Destination $dllPath -Force # 2. Sigma 규칙이 찾는 숨겨진 PowerShell 실행 $psCommand = “powershell.exe -WindowStyle Hidden regsvr32.exe /s `”$dllPath`”” Start-Process -FilePath “powershell.exe” -ArgumentList “-WindowStyle Hidden”, “regsvr32.exe”, “/s”, “`”$dllPath`”” -NoNewWindow # 선택사항: 로그에 프로세스가 나타나기를 몇 초간 기다립니다 Start-Sleep -Seconds 5 # 3. 테스트 검증을 위한 콘솔에 마커 이벤트 출력 Write-Host “[*] 숨겨진 PowerShell을 통한 Regsvr32 실행 시작.” C:ProgramDatamTSTCv8.mdxm.
    2. 파일로 복사합니다 와 함께.
    3. 숨겨진 PowerShell을 시작하여 regsvr32.exe의 명령을

  • , 자신의 프로세스 공간으로 DLL을 로드하여 신뢰받은 이진 파일로 코드 실행을 달성합니다.

    회귀 테스트 스크립트:

  • 정리 명령:

    # 시뮬레이션 한 악성 DLL 제거
Remove-Item -Path "C:ProgramDatamTSTCv8.mdxm" -Force -ErrorAction SilentlyContinue

# 남아있는 regsvr32.exe 프로세스가 있으면 닫기
Get-Process -Name regsvr32 -ErrorAction SilentlyContinue | Stop-Process -Force

Write-Host "[*] 정리 완료."

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입