아쿠아틱 판다 (어스 루스카): 캠페인, 악성코드 및 TTPs
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
Aquatic Panda는 중국과 연계된 APT 그룹으로, 정보 수집과 산업 스파이 활동에 중점을 두고 있습니다. 이 그룹은 SprySOCKS, ShadowPad, BIOPASS RAT을 비롯한 다양한 멀웨어 아스날을 사용하여 주요 산업을 표적으로 삼습니다. 이들의 작전에는 Log4Shell 과 같은 취약점을 악용하고 고급 루트킷을 사용해 잠행을 유지하는 것이 포함됩니다.
조사
이 보고서는 Operation FishMedley와 VMware Horizon 서버를 포함한 여러 공격 캠페인을 개요로 보여줍니다. SprySOCKS 백도어의 기술적 설계, 커널 모드 루트킷 기능, 지속성 기능도 검사합니다. 또한 초기 접근, 실행, 방어 회피를 위한 그룹의 특정 TTPs도 분석됩니다.
완화
조직은 시뮬레이션 및 테스트 플랫폼을 사용하여 알려진 Aquatic Panda의 무역 기술에 대한 방어력을 검증해야 합니다. 주요 완화 조치에는 Log4j 취약점 패치가 포함됩니다 CVE-2021-44228 및 허가되지 않은 예약 작업이나 의심스러운 Windows 서비스 변경 사항을 모니터링하는 것이 있습니다. DLL 사이드로딩과 프로세스 인젝션 활동을 식별하기 위한 강력한 엔드포인트 탐지도 필수입니다.
대응
Aquatic Panda 활동이 감지되면 대응팀은 즉시 영향을 받은 시스템을 격리하여 횡적 이동을 중지시켜야 합니다. 조사 초점은 특히 Print Processors 또는 IFEO 설정 내의 무단 레지스트리 변경에 맞춰야 합니다. 포렌식 분석은 의심스러운 프로세스에서 메모리를 수집하고, 예약된 작업 및 Windows 서비스를 감사하는 것을 우선시해야 합니다.
"flowchart TD step_resource_development["자원 개발: 동형자 도메인 등록 및 JNDI/Log4Shell 툴 스테이징"] step_initial_access["초기 접근: VMware Horizon에서 Log4j (CVE-2021-44228) 취약점 악용"] step_execution["실행: PowerShell 다운로드 크래들, cmd/C를 사용한 curl/wget, 예약 작업 및 Windows 서비스"] step_persistence["지속성: Windows 서비스 생성, 예약 작업, Print Processor DLL 등록"] step_privilege_escalation["권한 상승: IFEO 인젝션 및 CreateProcessAsUserW를 통한 액세스 토큰 조작"] step_defense_impairment["방어 손상: ICMPv6 사칭을 통한 Windows 호스트 방화벽 수정"] step_credential_access["자격 증명 접근: LSASS 메모리 덤핑, SAM/SYSTEM 하이브 도난, 브라우저 자격 증명 도난 및 비밀번호 필터 DLL"] step_discovery["검색: 서비스, 프로세스, 시스템 정보, 소프트웨어 보안 제품 나열"] step_collection["수집: 키로깅 및 WinRAR을 사용한 데이터 아카이빙"] step_command_and_control["명령 및 제어: TCP/UDP/WebSockets와 AES-128 및 WFP 기반 트래픽 신호"] step_stealth["은닉: 커널 모드 루트킷 (RawWNPF), 프로세스 인젝션, DLL 사이드로딩 및 샌드박스 회피"] rules_for_step_stealth("<b>규칙 이름</b>: 의심스러운 프로세스 경로 (cmdline로)<br/><b>규칙 ID</b>: f28587e8-2aa1-4e6b-bdd1-ad0ce520346a") step_exfiltration["유출: C2 또는 Dropbox (dbxcli)를 통한 데이터 전송"] step_resource_development –>|leads_to| step_initial_access step_initial_access –>|leads_to| step_execution step_execution –>|leads_to| step_persistence step_persistence –>|leads_to| step_privilege_escalation step_privilege_escalation –>|leads_to| step_defense_impairment step_defense_impairment –>|leads_to| step_credential_access step_credential_access –>|leads_to| step_discovery step_discovery –>|leads_to| step_collection step_collection –>|leads_to| step_command_and_control step_command_and_control –>|leads_to| step_stealth step_stealth –>|leads_to| step_exfiltration step_stealth -.->|detected_by| rules_for_step_stealth "
공격 흐름
탐지
침투 혹은 유출을 위한 가능한 데이터 압축 (cmdline을 통해)
보기
서비스 나열 가능성 (cmdline을 통해)
보기
SAM/SYSTEM/SECURITY 덤핑 가능성 (cmdline을 통해)
보기
comsvcs.dll을 사용한 자격 증명 덤핑 가능성 (cmdline을 통해)
보기
comsvcs.dll을 사용한 자격 증명 덤핑 가능성 (PowerShell을 통해)
보기
CLI를 통한 의심스러운 방화벽 수정 (cmdline을 통해)
보기
비정상적인 시스템 프로세스 체인 (프로세스 생성을 통해)
보기
레지스트리 남용을 통한 가능한 접근성 기능 (cmdline을 통해)
보기
지속성 지점 가능성 [ASEP – 소프트웨어/NTUSER 하이브] (레지스트리 이벤트를 통해)
보기
지속성을 위한 의심스러운 서비스 생성 (시스템을 통해)
보기
드문 프로세스에 의한 서비스 이미지 작업 (레지스트리 이벤트를 통해)
보기
[cmd.exe /C]를 통한 의심스러운 실행 파일/스크립트 실행 위치 (cmdline을 통해)
보기
프로세스 생성에서 PowerShell 명령줄을 통해 의심스러운 .NET 클래스/메서드 호출
보기
Schtasks가 의심스러운 디렉토리/바이너리/스크립트를 가리킴 (cmdline을 통해)
보기
의심스러운 프로세스 경로 (cmdline을 통해)
보기
프로세스 호로잉 메모리 할당 [Windows Sysmon]
보기
디버거 하이재킹 및 Print Processor 지속성을 위한 레지스트리 수정 [Windows 레지스트리 이벤트]
보기
예약 작업 생성 및 PowerShell 악성 다운로드 [Windows 프로세스 생성]
보기
## 시뮬레이션 실행
전제 조건: Telemetry 및 Baseline Pre-flight Check가 통과되었어야 합니다.
근거: 이 섹션은 탐지 규칙을 트리거하기 위한 적 기법(TTP)의 정확한 실행을 자세히 설명합니다. 명령어와 서술은 반드시 식별된 TTP를 직접 반영해야 하며, 탐지 로직에 의해 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련 없는 예는 오진으로 이어질 것입니다.
-
공격 서사 & 명령어: 공격자는 합법적인 프로세스 컨테이너 내에 악성 코드를 숨기기 위해 프로세스 호로잉을 수행하려고 합니다. 현재의 (비록 결함 있는) 탐지 트리거가 활성화되는지 테스트하기 위해 공격자는
powershell.exe를 특정 디렉토리에서 실행합니다. 이는 공격자가 표준 시스템 도구를 사용하여 메모리 인젝션 또는 자격 증명 수확 등의 악의적인 활동을 시작하는 행동인 Living-off-the-Land (LotL) 공격의 초기 단계를 시뮬레이션한 것입니다. 목표는프로세스 생성이벤트를 생성하는 것인데, 이는 탐지 로직에 정의된 대로이미지필드에 백슬래시를 포함합니다. -
회귀 테스트 스크립트:
# (약한) 탐지 로직을 만족하는 프로세스 실행 시뮬레이션 # 이는 표준 도구를 사용하는 적의 세션 시작을 모방합니다 $targetProcess = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" Write-Host "실행 중: $targetProcess" Start-Process -FilePath $targetProcess -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command Write-Host '시뮬레이션 활성화'" -
정리 명령:
# 지속적인 변경 사항이 없으므로 이 시뮬레이션에 대한 정리가 필요하지 않습니다. Write-Host "시뮬레이션 정리 완료."