팔로우 
요약
CrySome RAT는 .NET 원격 액세스 트로이목마로, 완전한 원격 제어, 자격 증명 도용, 다층 지속성을 가능하게 합니다. 이에는 보안을 비활성화하도록 설계된 AVKiller 구성 요소가 포함되어 있으며, 보안 도구를 비활성화하고 복구 파티션 악용 및 오프라인 레지스트리 수정을 사용하여 재설정 및 접근을 다시 구축할 수 있도록 합니다. 장기적인 입지를 유지하기 위해, 이 악성코드는 숨겨진 가상 데스크톱, 감시 프로세스, 예약 작업, Windows 서비스를 활용하여 대체 실행 경로를 생성하고 복원을 복잡하게 만듭니다.
조사
보고서는 C# 클라이언트의 정적 역컴파일과 동적 동작 분석을 결합합니다. 조사자들은 SelfProtect, AVKiller, Survival 및 명령 핸들러와 같은 모듈식 구성 요소를 독립적인 기능과 제어 흐름으로 매핑했습니다. 지속성은 예약 작업, RunOnce 레지스트리 항목, 서비스 설치 및 시스템 복구 조치 후 유물을 다시 심기 위해 사용되는 복구 파티션 배포에서 추적되었습니다. 네트워크 동작은 사용자 정의 패킷 형식을 사용하는 평문 TCP 명령 및 제어로 식별되었습니다.
완화
CrySomeLoader로 명명된 예약 작업 및 WindowsHealthMonitor로 명명된 서비스를 모니터링합니다. 알 수 없거나 새로 추가된 항목에 대해 정기적으로 RunOnce 및 기타 자동 실행 레지스트리 위치를 감사합니다. crysome.net 및 관련된 모든 IP 인프라를 DNS/프록시 계층에서 차단합니다. AVKiller 스타일의 방어 비활성화를 방지하기 위해 변조 방지 보안 구성을 적용하고, Defender 또는 엔드포인트 보호 설정 변경 시 경고할 수 있도록 합니다.
대응
CrySome 징후를 보이는 호스트를 격리하고 복구 전 휘발 evidence를 수집합니다. 복구 파티션과 오프라인 레지스트리 하이브에 대한 포렌식 검토를 수행하여 숨겨진 지속성을 식별합니다. 중복 바이너리를 제거하고, 악성 예약 작업, 서비스 및 레지스트리 항목을 삭제하고, Microsoft Defender 설정을 알려진 양호 상태로 복원합니다. CrySome 실행과 관련된 특정 프로세스 이름 및 명령 줄 패턴을 포괄하는 EDR 탐지를 배포합니다.
공격 흐름
이 부분은 아직 업데이트 중입니다. 알림을 받으려면 등록하세요.
알림 받기탐지
Windows Defender 설정 의심스러운 변경 (via powershell)
보기
레지스트리 악용을 통한 가능한 접근성 기능 (via cmdline)
보기
지속성을 위한 수동 서비스 또는 드라이버 설치 가능성 (via cmdline)
보기
지속성 포인트 가능성 [ASEPs – Software/NTUSER Hive] (via cmdline)
보기
조용한 프로세스 종료 메커니즘 활용 가능성 (via registry_event)
보기
지속성 포인트 가능성 [ASEPs – Software/NTUSER Hive] (via registry_event)
보기
지속성을 위한 Schtasks 또는 AT 사용 가능성 (via cmdline)
보기
Windows Defender 보호 비활성화 (via registry_event)
보기
수상한 랜섬웨어 간섭 서비스 중지 (via cmdline)
보기
탐지용 IOC (HashSha256): CrySome RAT : 복잡한 지속성 .NET 원격 액세스 트로이목마
보기
PowerShell 및 레지스트리를 통한 Microsoft Defender 비활성화 [Windows Powershell]
보기
CrySome RAT 프로세스 자체 보호 탐지 [Windows Sysmon]
보기
CrySome RAT 지속성과 방어 우회 [Windows Registry Event]
보기
CrySome RAT 방어 우회 기법 탐지 [Windows Process Creation]
보기
시뮬레이션 실행
전제조건: Telemetry & Baseline Pre‑flight Check가 통과해야 합니다.
이 논리는 탐지 규칙을 트리거하기 위해 설계된 상대 기법(TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 서사는 반드시 식별된 TTP를 직접 반영하고, 탐지 논리에 의해 예상되는 정확한 텔레메트리를 생성해야 합니다. 추상적이거나 무관한 예는 잘못된 진단을 유발할 수 있습니다.
-
공격 서사 및 명령:
CrySome RAT 운영자는 먼저 피해자 시스템에 발판을 마련합니다. 악성 페이로드를 숨기기 위해, RAT는
conhost.exe를 자신의 프로세스의 하위 프로세스로 생성하여 네이티브 콘솔 호스트를 활용해 명령줄을 감춥니다. 다음으로, 이는RuntimeBroker.exe를 실행하여 합법적인 Windows 백그라운드 작업과 동화시켜 위장 효과를 얻습니다. 마지막으로, 공격자는 Microsoft Defender 실시간 보호를 비활성화하는 PowerShell 원라이너를 실행하여Set-MpPreferencecmdlet을 사용합니다. 각 단계는 탐지 규칙에 부합하는 고유한 4688 이벤트를 생성합니다.1. RAT 프로세스 (예: CrySome.exe) → Start-Process -FilePath "C:WindowsSystem32conhost.exe" -ArgumentList "/c ..." 2. RAT 프로세스 → Start-Process -FilePath "C:WindowsSystem32RuntimeBroker.exe" -ArgumentList "/TaskHost ..." 3. RAT 프로세스 → powershell.exe -NoProfile -WindowStyle Hidden -Command "Set-MpPreference -DisableRealtimeMonitoring $true" -
회귀 테스트 스크립트:
# ------------------------------------------------------------------------- # CrySome RAT 기법 시뮬레이션 – Sigma 규칙을 트리거하기 의함 # ------------------------------------------------------------------------- # 1. conhost.exe 생성 (은폐 콘솔 호스트 역할) Start-Process -FilePath "$env:SystemRootSystem32conhost.exe" -ArgumentList "/c ping -n 5 127.0.0.1" -WindowStyle Hidden # 2. RuntimeBroker.exe 생성 (신뢰할 수 있는 Windows 구성 요소로 위장) Start-Process -FilePath "$env:SystemRootSystem32RuntimeBroker.exe" -ArgumentList "/TaskHost" -WindowStyle Hidden # 3. PowerShell을 사용하여 Defender 비활성화 (방어 우회) $psCmd = 'Set-MpPreference -DisableRealtimeMonitoring $true' Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" ` -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCmd" ` -WindowStyle Hidden Write-Host "시뮬레이션 완료 – SIEM에서 알림을 확인하세요." -
정리 명령:
# 남아있는 테스트 프로세스를 모두 종료 (관리자로 실행) Get-Process -Name conhost, RuntimeBroker, powershell | Stop-Process -Force # Defender 재활성화 (정상적인 방어 자세로 복원) Set-MpPreference -DisableRealtimeMonitoring $false Write-Host "정리 완료."