팔로우 
요약
클릭픽스 기술을 사용한 피싱 캠페인은 Claude AI 설치 프로그램으로 위장한 악성 MSIX 번들을 배포했습니다. 초기 실행은 mshta 가 특수 제작된 URL과 함께 Windows 실행 유틸리티를 통해 실행되었습니다. 다운로드된 페이로드에는 AMSI를 우회하고 추가 PowerShell 콘텐츠를 검색하며 암호화된 쉘코드를 사용한 프로세스 인젝션 루틴을 수행하는 난독화된 PowerShell 단계를 생성하는 HTA 파일이 포함되어 있었습니다. 이 활동은 유럽과 미국의 고객 환경에서 관찰되었고, Rapid7 InsightIDR 커버리지를 통해 감지되었습니다.
조사
Rapid7 분석가들은 mshta RunMRU 레지스트리 키와 연관된 실행과 URL download-version.1-5-8.com/claude.msixbundle를 캡처했습니다. 분석 결과 MSIX 아카이브에는 난독화된 문자열을 해독하고 PowerShell 명령을 조립하며, AMSI 컨텍스트를 덮어쓰고 궁극적으로 네이티브 Windows API 호출을 통해 쉘코드를 주입하는 HTA 파일이 포함되어 있다는 것이 밝혀졌습니다. 연구원들은 또한 피해자의 컴퓨터 이름과 사용자 이름에서 생성한 해시를 기반으로 생성된 URL에서 여러 후속 PowerShell 단계가 다운로드되었다는 사실을 발견했습니다.
완화
수비수는 RunMRU 레지스트리 키를 의심스러운 mshta 항목에 대해 모니터링하고 mshta 실행이 신뢰할 수 없는 소스에서 비롯될 경우 차단해야 합니다. 조직은 또한 알려지지 않은 도메인에서 MSIX 패키지의 다운로드를 제한하고 PowerShell 실행에 대한 애플리케이션 허용 목록을 강제해야 합니다. AMSI 보호는 활성화 상태를 유지해야 하며 PowerShell 로깅은 인코딩되거나 난독화된 명령 활동을 캡처하도록 구성되어 조사를 지원해야 합니다.
응답
이 활동이 감지되면 보안 팀은 영향을 받은 엔드포인트를 격리하고 명령줄 아티팩트를 보존하며 다운로드된 PowerShell 단계와 주입된 모든 프로세스를 법의학적으로 분석해야 합니다. 영향 받은 시스템에서 사용된 자격 증명은 재설정되어야 하며 초기 유인을 추적하기 위해 브라우저 기록을 검토해야 합니다. 탐지 로직에는 관찰된 도메인, 해시 및 관련 실행 패턴이 포함되도록 업데이트해야 합니다.
graph TB classDef action fill:#99ccff step_phishing[“<b>행동</b> – T1566.002 피싱: 스피어피싱 링크<br/><b>설명</b>: 사용자가 mshta를 실행하는 악성 링크를 클릭함.”] class step_phishing action step_mshta[“<b>행동</b> – T1218.005 Mshta<br/><b>설명</b>: .msixbundle 페이로드 URL로 mshta 실행”] class step_mshta action step_hta_deobfuscation[“<b>행동</b> – T1027.010, T1027.013, T1140 난독화 해제/디코딩<br/><b>설명</b>: HTA가 VBS를 실행하여 악성 코드를 복호화함”] class step_hta_deobfuscation action step_ps_encoded[“<b>행동</b> – T1059.001 PowerShell<br/><b>설명</b>: 인코딩된 PowerShell 명령 생성”] class step_ps_encoded action step_stage1[“<b>행동</b> – T1059.001 PowerShell (스테이지 1)<br/><b>설명</b>: COMPUTERNAME+USERNAME MD5 계산 후 URL 생성 및 스테이지 2 다운로드”] class step_stage1 action step_stage2[“<b>행동</b> – T1562.001 방어 회피 (AMSI 우회)<br/><b>설명</b>: AMSI 컨텍스트를 덮어쓰고 스테이지 3 다운로드”] class step_stage2 action step_stage3[“<b>행동</b> – T1059.001 PowerShell (스테이지 3)<br/><b>설명</b>: 바이트 배열 디코딩 후 ScriptBlock 생성”] class step_stage3 action step_process_injection[“<b>행동</b> – T1055 프로세스 인젝션<br/><b>설명</b>: .NET 및 네이티브 API를 사용하여 코드 주입”] class step_process_injection action step_persistence[“<b>행동</b> – T1547.014 Run 키 / 시작 폴더 (RunMRU)<br/><b>설명</b>: RunMRU 레지스트리로 지속성 확보”] class step_persistence action step_phishing –>|시작| step_mshta step_mshta –>|실행| step_hta_deobfuscation step_hta_deobfuscation –>|사용| step_ps_encoded step_ps_encoded –>|생성| step_stage1 step_stage1 –>|다운로드| step_stage2 step_stage2 –>|다운로드| step_stage3 step_stage3 –>|생성| step_process_injection step_mshta –>|지속성 설정| step_persistence
공격 흐름
탐지
LOLBin 시맨틱을 가진 의심스러운 RunMRU 항목 (registry_event 통해)
보기
의심스러운 Powershell 문자열 (powershell 통해)
보기
Powershell에서 의심스러운 .NET 메서드 호출 (powershell 통해)
보기
ClickFix 피싱 캠페인을 Claude 설치 프로그램으로 위장하여 탐지하기 위한 IOCs (HashSha256)
보기
난독화된 PowerShell 스크립트 및 프로세스 주입을 .NET을 통해 탐지 [Windows Powershell]
보기
시뮬레이션 실행
전제 조건: Telemetry & Baseline 사전 점검이 통과해야 합니다.
이성: 이 섹션은 탐지 규칙을 유발하도록 설계된 상대전략기법(TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 내러티브는 발견된 TTP를 직접 반영하고 감지 논리에 의해 기대되는 정확한 원격 측정을 생성하는 것을 목표로 합니다.
-
공격 내러티브 및 명령:
- 목표: 프로세스 주입을 수행하기 위해 .NET 어셈블리 호출이 포함된 base‑64 인코딩된 악성 PowerShell 페이로드를 실행하여 가상의 “living‑off‑the‑land” 공격을 모방합니다.
- 단계:
- 호출하는 작은 .NET 어셈블리(C#)을 생성하십시오
OpenProcessandWriteProcessMemory(PowerShell의[System.Runtime.InteropServices.Marshal]). - 이용한 시뮬레이션)
PowerShell 스크립트를 인코딩하십시오,PowerShell 스크립트를 인코딩하십시오PowerShell 스크립트를 인코딩하십시오및 참조및 참조 - (AMSI 우회에 사용)
더미 마커 추가더미 마커 추가 - 자주 난독화에서 보이는 “패딩”을 엉성하게 흉내 내기 위해
스크립트를 사용해 실행하십시오스크립트를 사용해 실행하십시오
- 호출하는 작은 .NET 어셈블리(C#)을 생성하십시오
-
전체 명령줄이 보이도록 (탐지 규칙이 문자열을 볼 수 있도록)
회귀 테스트 스크립트: -
Cleanup Commands:
# 테스트에 의해 시작된 불량 PowerShell 인스턴스를 종료하십시오 Get-Process -Name powershell | Where-Object {$_.StartInfo.Arguments -match "EncodedCommand"} | Stop-Process -Force # 임시 모듈이나 변수를 제거합니다(만약 그것들이 유지되었다면) Remove-Variable -Name b64, decoded, dummy -ErrorAction SilentlyContinue
보고서 끝