SOC Prime Bias: 위험

13 2월 2026 15:45
newspaper icon Cato 네트웍스

Cato CTRL 위협 연구: Foxveil – Cloudflare, Discord, Netlify를 스테이징 인프라로 악용하는 새로운 멀웨어 로더

Author Photo
Ruslan Mikhalov SOC Prime에서 위협 연구 책임자 linkedin icon 팔로우
Cato CTRL 위협 연구: Foxveil – Cloudflare, Discord, Netlify를 스테이징 인프라로 악용하는 새로운 멀웨어 로더
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


요약

Foxveil은 2025년 8월 처음 발견된 신규 초기 단계 멀웨어 로더입니다. 이 로더는 ‘신뢰할 수 있는’ 호스팅 표면인 Cloudflare Pages, Netlify, Discord 첨부 파일에서 Donut이 생성한 셸코드를 가져와 프로세스 주입 기술을 통해 실행합니다. 지속성을 위해 이 로더는 Windows 서비스를 등록하거나 Microsoft Defender 설정을 조작하려고 시도합니다. 관찰된 변종들 사이에서의 주요 차이점은 스테이징 소스, 주입 방법, 지속성 방법입니다.

조사

Cato 연구원들은 두 가지 Foxveil 변종을 분석하고 셸코드 검색부터 Early Bird APC(또는 직접 셀프 주입)를 통한 주입, AarSvc라는 서비스 명을 통한 지속성까지의 전체 과정을 문서로 남겼습니다. 드롭된 아티팩트는 합법적인 구성 요소와 섞이기 위해 위장된 파일명을 사용하여 C:WindowsSysWOW64 아래에서 관찰되고 있습니다. 로더는 또한 높은 신호의 용어를 재작성하여 정적 탐지를 줄이기 위한 문자열 변조 로직도 포함하고 있습니다. 네트워크 텔레메트리에서는 여러 Cloudflare 및 Netlify 도메인과의 연결이 나타났으며, 간혹 Discord 첨부 URL에서 가져오는 경우도 발견되었습니다.

완화

Cato SASE 플랫폼은 다운로드 동작과 의심스러운 프로세스 생성 패턴을 검사하여 페이로드 실행 전에 로더를 차단했습니다. 위험을 줄이기 위해 알려진 스테이징 도메인을 차단하고 Foxveil의 수법과 관련된 주입 관련 행동에 대해 경고를 설정하십시오. 신뢰할 수 없는 스크립트 실행을 비활성화하고 Windows Defender 제외 설정에 관한 정책을 강화하여 지속성 시도를 제한하세요. 허용된 클라우드 서비스의 허용 목록 규칙을 최신으로 유지하여 오탐을 최소화하면서도 감시를 유지하십시오.

대응

Foxveil 활동이 감지되면 엔드포인트를 격리하고 악성 프로세스를 종료하며 등록된 모든 서비스를 제거하십시오(AarSvc 포함). 드롭된 실행 파일을 찾기 위해 SysWOW64의 포렌식 검토를 수행하고 범위지정을 위한 해시를 수집하십시오. 식별된 스테이징 도메인과의 연결을 위한 네트워크 로그를 기반으로 피벗하여 DNS/프록시 계층에서 차단하십시오. 함대 전역에서 Early Bird APC 주입 및 셀프 주입 패턴을 탐지하여 추가 영향을 받은 호스트를 식별하십시오.

<div class="wp-block-socprime-category-attack-flow attack-flow-class" data-title="Attack Flow" data-attack-flow="graph TB %% Class Definitions classDef technique fill:#ffcc99 classDef malware fill:#ff9999 classDef tool fill:#99ccff classDef payload fill:#ccccff classDef operator fill:#ff9900 %% Node Definitions initial_execution["<b>Technique</b> – <b>T1574.005 Hijack Execution Flow: Executable Installer File Permissions Weakness</b><br/>Victim runs malicious EXE/DLL dropping the Foxveil loader."] class initial_execution technique staging_retrieval["<b>Technique</b> – <b>T1102.001 Web Service: Dead Drop Resolver</b> and <b>T1102 Web Service</b><br/>Foxveil contacts attacker‑controlled Cloudflare Pages, Netlify domains or Discord attachment links to download Donut‑generated shellcode."] class staging_retrieval technique in_memory_loading["<b>Technique</b> – <b>T1620 Reflective Code Loading</b><br/>Downloaded shellcode is loaded directly into memory without touching disk."] class in_memory_loading technique process_injection["<b>Technique</b> – <b>T1055.002 Portable Executable Injection</b> and <b>T1055.001 DLL Injection</b><br/>Foxveil v1 injects via Early‑Bird APC into a newly spawned svchost.exe process; Foxveil v2 self‑injects."] class process_injection technique persistence_service["<b>Technique</b> – <b>T1543 Create or Modify System Process</b><br/>Foxveil v1 registers a Windows service (AarSvc) for boot persistence."] class persistence_service technique masquerading["<b>Technique</b> – <b>T1036.005 Match Legitimate Resource Name or Location</b><br/>Dropped binaries named sms.exe, sihost.exe, taskhostw.exe, audiodg.exe, real1.exe placed in C:\Windows\SysWOW64."] class masquerading technique hide_artifacts["<b>Technique</b> – <b>T1564.012 File/Path Exclusions</b><br/>Attempts WMI call to MSFT_MpPreference to remove an exclusion for C:\Windows\SysWOW64."] class hide_artifacts technique obfuscation["<b>Technique</b> – <b>T1027.014 Polymorphic Code</b><br/>Runtime string‑mutation routine replaces high‑signal strings such as "fox", "payload", "meterpreter", "beacon"."] class obfuscation technique multistage_delivery["<b>Technique</b> – <b>T1104 Multi‑Stage Channels</b><br/>After initial shellcode execution, additional executables are downloaded from the same staging infrastructure (e.g., potential Cobalt Strike beacon)."] class multistage_delivery technique foxveil["<b>Malware</b> – Foxveil Loader<br/>Initial dropper that retrieves and loads shellcode."] class foxveil malware donut_shellcode["<b>Payload</b> – Donut generated shellcode<br/>Contains further malicious capabilities."] class donut_shellcode payload cobalt_strike["<b>Tool</b> – Potential Cobalt Strike beacon

그래프 TB %% 클래스 정의 classDef technique fill:#ffcc99 classDef malware fill:#ff9999 classDef tool fill:#99ccff classDef payload fill:#ccccff classDef operator fill:#ff9900 %% 노드 정의 initial_execution[“<b>기술</b> – <b>T1574.005 실행 흐름 하이재킹: 실행 가능 설치 파일 권한 약점</b><br/>피해자가 Foxveil 로더를 드롭하는 악성 EXE/DLL을 실행합니다.”] class initial_execution technique staging_retrieval[“<b>기술</b> – <b>T1102.001 웹 서비스: Dead Drop Resolver</b> 및 <b>T1102 웹 서비스</b><br/>Foxveil은 Donut 생성 셸코드를 다운로드하기 위해 공격자 제어 Cloudflare Pages, Netlify 도메인 또는 Discord 첨부 링크를 연락합니다.”] class staging_retrieval technique in_memory_loading[“<b>기술</b> – <b>T1620 반사형 코드 로딩</b><br/>다운로드된 셸코드는 디스크를 건드리지 않고 직접 메모리에 로드됩니다.”] class in_memory_loading technique process_injection[“<b>기술</b> – <b>T1055.002 휴대형 실행 파일 주입</b> 및 <b>T1055.001 DLL 주입</b><br/>Foxveil v1은 새로 생성된 svchost.exe 프로세스에 Early-Bird APC를 통해 주입합니다; Foxveil v2는 스스로 주입합니다.”] class process_injection technique persistence_service[“<b>기술</b> – <b>T1543 시스템 프로세스 생성 또는 수정</b><br/>Foxveil v1은 부팅 지속성을 위해 Windows 서비스(AarSvc)를 등록합니다.”] class persistence_service technique masquerading[“<b>기술</b> – <b>T1036.005 합법적 리소스 이름 또는 위치 매칭</b><br/>C:\Windows\SysWOW64에 sms.exe, sihost.exe, taskhostw.exe, audiodg.exe, real1.exe로 명명된 드롭 바이너리.”] class masquerading technique hide_artifacts[“<b>기술</b> – <b>T1564.012 파일/경로 제외</b><br/>C:\Windows\SysWOW64의 제외를 제거하기 위해 MSFT_MpPreference에 WMI 호출을 시도합니다.”] class hide_artifacts technique obfuscation[“<b>기술</b> – <b>T1027.014 다형성 코드</b><br/>런타임 문자열 변조 루틴이 “fox”, “payload”, “meterpreter”, “beacon” 등 고 신호 문자열을 교체합니다.”] class obfuscation technique multistage_delivery[“<b>기술</b> – <b>T1104 다단계 채널</b><br/>초기 셸코드 실행 후, 동일한 스테이징 인프라에서 추가 실행 파일이 다운로드됩니다(예: 잠재적 Cobalt Strike 비컨).”] class multistage_delivery technique foxveil[“<b>멀웨어</b> – Foxveil 로더<br/>셸코드를 검색하고 로드하는 초기 드로퍼.”] class foxveil malware donut_shellcode[“<b>페이로드</b> – Donut 생성 셸코드<br/>추가 악성 기능을 포함합니다.”] class donut_shellcode payload cobalt_strike[“<b>도구</b> – 잠재적 Cobalt Strike 비컨<br/>명령 및 제어를 위해 나중 단계에서 다운로드됨.”] class cobalt_strike tool %% 연결 initial_execution –>|드롭스| foxveil foxveil –>|검색| staging_retrieval staging_retrieval –>|다운로드| donut_shellcode donut_shellcode –>|메모리에 로드| in_memory_loading in_memory_loading –>|실행| process_injection process_injection –>|활성화| persistence_service foxveil –>|실시| masquerading foxveil –>|실시| hide_artifacts foxveil –>|실시| obfuscation process_injection –>|이어짐| multistage_delivery multistage_delivery –>|다운로드| cobalt_strike cobalt_strike –>|제공| persistence_service

공격 흐름

시뮬레이션 실행

전제 조건: 텔레메트리 & 기준 사전 점검 통과 필요.

이유: 이 섹션은 탐지 규칙을 작동시키기 위해 설계된 적 기법(TTP)의 정확한 실행을 설명합니다. 명령어와 설명은 식별된 TTP를 직접 반영하고 탐지 논리에서 예상하는 정확한 텔레메트리를 생성하는 것을 목표해야 합니다.

  • 공격 서사 및 명령어

    1. 정찰: 공격자는 Foxveil 스테이징 도메인을 확보했습니다 syscore.pages.dev 손상된 자격 증명 덤프에서.
    2. 단계 1 – DNS 해상: 네이티브 Windows 도구를 사용하여 공격자가 스테이징 도메인을 해석하여 악성 페이로드 호스트의 IP 주소를 얻습니다. 이 단계는 실제 멀웨어 행동을 반영하고 관찰 가능한 트리거입니다.
    3. 단계 2 – 페이로드 검색(테스트에서 실행되지 않음): 실제 공격에서는 해석된 IP가 HTTP를 통해 2차 페이로드를 다운로드하는 데 사용됩니다. 탐지 유효성 검사를 위해서는 DNS 해상만 필요합니다.

  • 회귀 테스트 스크립트

    <# 
Foxveil 스테이징 도메인 해상을 시뮬레이트합니다.
이 스크립트는 알려진 Foxveil 도메인에 대한 DNS 쿼리를 실행하여
Sigma 규칙이 모니터링하는 정확한 텔레메트를 생성합니다.
#>

# 스테이징 도메인을 정의합니다 (규칙의 화이트리스트에서 선택된)
$stagingDomain = "syscore.pages.dev"

# 도메인을 해석합니다 – 이것은 DNS 쿼리 이벤트를 생성합니다
try {
    $result = Resolve-DnsName -Name $stagingDomain -Type A -ErrorAction Stop
    Write-Host "Resolved $stagingDomain to $($result.IPAddress)"
} catch {
    Write-Error "DNS resolution failed: $_"
}

# 선택사항: 로그 파이프라인이 이벤트를 처리하도록 잠시 정지합니다
Start-Sleep -Seconds 5

  • 정리 명령어

    # DNS 캐시를 플러쉬하여 해석된 항목을 제거합니다 (후속 테스트에 대한 캐싱 효과를 방지)
ipconfig /flushdns
Write-Host "DNS 캐시 플러쉬됨."

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입