SOC Prime Bias: 중간

05 1월 2026 17:56
newspaper icon Huntress

악성 ScreenConnect: 2025년 우리가 목격한 일반적인 사회공학 전술

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
악성 ScreenConnect: 2025년 우리가 목격한 일반적인 사회공학 전술
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


요약

위협 행위자들은 사회 공학 기법을 사용하여 악성 ScreenConnect(원격 모니터링 및 관리) 클라이언트를 전달하고 있습니다. 그 방법으로는 가짜 사회보장명세서, 초대장 및 송장 문서 등이 있습니다. 이러한 유인물들은 피싱 이메일과 악성 웹 페이지를 통해 배포되며, 피해자들이 이름이 바뀐 ScreenConnect 실행 파일을 다운로드하게 만듭니다. 설치되면, 불법 RMM은 공격자에게 감염된 호스트에 대한 지속적인 원격 액세스를 제공합니다.

조사

Huntress는 2025년 1월부터 9월까지 여러 산업의 엔드포인트에서 이름이 바뀐 ScreenConnect 바이너리가 실행된 수십 건의 사건을 관찰했습니다. SOC는 관련된 도메인 이름, IP 주소 및 파일 해시를 수집하고 동적 DNS 서비스의 반복 사용과 특정 유인물 명명 패턴을 기록했습니다. 상세 로그 분석을 통해 악성 클라이언트가 명령 및 제어를 위해 공격자 제어 도메인에 연락했다는 점이 드러났습니다.

완화

조직은 가짜 명세서, 송장 및 초대 파일을 식별할 수 있도록 보안 인식 교육을 강화해야 합니다. 원격 액세스 도구의 지속적인 모니터링, 서명되지 않은 RMM 바이너리의 실행 제한 및 알려진 악성 도메인에 대한 네트워크 연결 감사가 권장됩니다. RMM 소프트웨어를 최신 상태로 유지하고 승인된 인스턴스만 허용 목록에 추가하세요.

응답

이름이 바뀐 ScreenConnect 실행 파일이 감지되면, 엔드포인트를 격리하고, 바이너리 및 관련 네트워크 트래픽을 수집하며 방화벽에서 C2 도메인을 차단하십시오. 포렌식 분석을 수행하여 지속성 메커니즘과 수평 이동을 식별한 후, 침해된 계정을 복구하고 자격 증명을 재설정합니다.

graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef operator fill:#ff9900 %% Node definitions tech_initial_access_phishing[“<b>기법</b> – <b>T1566 피싱</b><br/><b>설명</b>: 위협 행위자는 사회보장명세서, 송장, 초대장을 가장한 이메일을 제작하여 악성 링크를 포함합니다.”] class tech_initial_access_phishing technique tech_malicious_link[“<b>기법</b> – <b>T1204.001 악성 링크</b><br/><b>설명</b>: 피해자가 악성 링크를 클릭하여 다운로드 페이지로 리디렉션됩니다.”] class tech_malicious_link technique tech_malicious_file[“<b>기법</b> – <b>T1204.002 악성 파일</b><br/><b>설명</b>: 피해자가 문서나 초대장으로 위장된 실행 파일을 다운로드하여 실행합니다.”] class tech_malicious_file technique op_user_execution((“사용자 실행”)) class op_user_execution operator tech_masquerading[“<b>기법</b> – <b>T1036 위장</b><br/><b>하위 기법</b>: T1036.008 파일 유형 위장, T1036.003 합법적 유틸리티의 이름 바꾸기, T1036.007 이중 파일 확장자<br/><b>설명</b>: 페이로드가 합법적으로 보이도록 이름을 바꾸어 탐지를 피합니다.”] class tech_masquerading technique tech_rat_installation[“<b>기법</b> – <b>T1219 원격 액세스 도구 설치</b><br/><b>설명</b>: 원격 모니터링 및 관리 기능을 제공하는 ScreenConnect 클라이언트를 설치합니다.”] class tech_rat_installation technique tool_screenconnect[“<b>도구</b> – <b>이름</b>: ScreenConnect (ConnectWise Control)<br/><b>설명</b>: RAT로 사용되는 원격 액세스 소프트웨어.”] class tool_screenconnect tool tech_dynamic_dns[“<b>기법</b> – <b>T1568.002 도메인 생성 알고리즘</b><br/><b>설명</b>: 동적 DNS 서비스와 생성된 도메인을 사용하여 C2 통신을 합니다.”] class tech_dynamic_dns technique tech_app_layer_dns[“<b>기법</b> – <b>T1071.004 애플리케이션 계층 프로토콜: DNS</b><br/><b>설명</b>: DNS 쿼리를 통해 전송되는 C2 트래픽.”] class tech_app_layer_dns technique tech_app_layer_web[“<b>기법</b> – <b>T1071.001 애플리케이션 계층 프로토콜: Web</b><br/><b>설명</b>: HTTPS 웹 프로토콜을 통한 C2 트래픽 전송.”] class tech_app_layer_web technique tech_web_service_bidirectional[“<b>기법</b> – <b>T1102.002 웹 서비스: 양방향 통신</b><br/><b>설명</b>: 양방향 C2 통신을 위해 웹 서비스를 사용합니다.”] class tech_web_service_bidirectional technique tech_external_remote_services[“<b>기법</b> – <b>T1133 외부 원격 서비스</b><br/><b>설명</b>: 외부 원격 서비스를 통해 지속성을 유지하며 지속적인 액세스를 허용합니다.”] class tech_external_remote_services technique tech_hide_artifacts[“<b>기법</b> – <b>T1564.012 아티팩트 숨기기: 파일/경로 제외</b><br/><b>설명</b>: 보안 도구로부터 악성 파일을 숨기기 위해 제외 설정을 구성합니다.”] class tech_hide_artifacts technique tech_passive_dns[“<b>기법</b> – <b>T1596.001 공개 기술 데이터베이스 검색: 수동 DNS</b><br/><b>설명</b>: 수동 DNS 데이터를 사용하여 악성 도메인을 발견하거나 등록합니다.”] class tech_passive_dns technique %% 연결 tech_initial_access_phishing u002du002d>|delivers| op_user_execution op_user_execution u002du002d>|uses| tech_malicious_link op_user_execution u002du002d>|uses| tech_malicious_file op_user_execution u002du002d>|leads to| tech_masquerading tech_masquerading u002du002d>|enables| tech_rat_installation tech_rat_installation u002du002d>|installs| tool_screenconnect tool_screenconnect u002du002d>|contacts| tech_dynamic_dns tool_screenconnect u002du002d>|uses| tech_app_layer_dns tool_screenconnect u002du002d>|uses| tech_app_layer_web tool_screenconnect u002du002d>|uses| tech_web_service_bidirectional tech_dynamic_dns u002du002d>|supports| tech_external_remote_services tech_external_remote_services u002du002d>|enables| tech_passive_dns tech_dynamic_dns u002du002d>|supports| tech_hide_artifacts

공격 흐름

시뮬레이션 실행

전제 조건: 원격 측정 및 기준 사전 비행 점검이 통과되었어야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적의 기술(기법, 전술 및 절차, TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 내러티브는 발견된 TTP를 직접 반영해야 하며 탐지 논리에서 기대되는 정확한 원격 측정을 생성하는 것을 목표로 해야 합니다.

  • 공격 내러티브 및 명령:
    공격자는 첨부 파일 이름을 가진 피싱 이메일을 제작합니다 Social_Security_Statement_redacted.exe 실제로는 합법적인 ScreenConnect 설치 프로그램(또는 다른 페이로드)을 포함합니다. 피해자는 이를 개인 재무 문서로 생각하고 파일을 두 번 클릭합니다. 운영체제는 실행 파일을 실행하여 프로세스 생성 이벤트를 발생시키며 Image 필드가 악성 파일명으로 끝납니다. 이 정확한 패턴은 Sigma 규칙과 일치해야 하며 경고를 발생시켜야 합니다.

  • 회귀 테스트 스크립트:

    # --------------------------------------------------------------
# 시뮬레이션 스크립트 – "불법 ScreenConnect" 규칙을 트리거합니다
# --------------------------------------------------------------

# 1. 무해한 페이로드 준비 (예: calc.exe) 및 이름 변경
$src = "$env:SystemRootSystem32calc.exe"
$dst = "$env:TempSocial_Security_Statement_redacted.exe"

Copy-Item -Path $src -Destination $dst -Force

# 2. 옵션으로 회피를 흉내 내기 위해 숨김 속성 설정 (T1564.004)
attrib +h $dst

# 3. 이름이 변경된 페이로드 실행 (사용자 클릭 시뮬레이션)
Start-Process -FilePath $dst

# 4. 로그가 기록될 수 있도록 잠시 대기
Start-Sleep -Seconds 5

# 5. 확인 메시지 출력
Write-Host "Executed $dst – should generate detection telemetry."

  • 정리 명령:

    # 악성으로 보이는 실행 파일 제거 및 속성 지우기
$file = "$env:TempSocial_Security_Statement_redacted.exe"
if (Test-Path $file) {
    attrib -h $file
    Remove-Item -Path $file -Force
    Write-Host "Cleanup complete: $file removed."
} else {
    Write-Host "File not found; nothing to clean."
}

보고서 끝

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입