악성 ScreenConnect: 2025년 우리가 목격한 일반적인 사회공학 전술
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
위협 행위자들은 사회 공학 기법을 사용하여 악성 ScreenConnect(원격 모니터링 및 관리) 클라이언트를 전달하고 있습니다. 그 방법으로는 가짜 사회보장명세서, 초대장 및 송장 문서 등이 있습니다. 이러한 유인물들은 피싱 이메일과 악성 웹 페이지를 통해 배포되며, 피해자들이 이름이 바뀐 ScreenConnect 실행 파일을 다운로드하게 만듭니다. 설치되면, 불법 RMM은 공격자에게 감염된 호스트에 대한 지속적인 원격 액세스를 제공합니다.
조사
Huntress는 2025년 1월부터 9월까지 여러 산업의 엔드포인트에서 이름이 바뀐 ScreenConnect 바이너리가 실행된 수십 건의 사건을 관찰했습니다. SOC는 관련된 도메인 이름, IP 주소 및 파일 해시를 수집하고 동적 DNS 서비스의 반복 사용과 특정 유인물 명명 패턴을 기록했습니다. 상세 로그 분석을 통해 악성 클라이언트가 명령 및 제어를 위해 공격자 제어 도메인에 연락했다는 점이 드러났습니다.
완화
조직은 가짜 명세서, 송장 및 초대 파일을 식별할 수 있도록 보안 인식 교육을 강화해야 합니다. 원격 액세스 도구의 지속적인 모니터링, 서명되지 않은 RMM 바이너리의 실행 제한 및 알려진 악성 도메인에 대한 네트워크 연결 감사가 권장됩니다. RMM 소프트웨어를 최신 상태로 유지하고 승인된 인스턴스만 허용 목록에 추가하세요.
응답
이름이 바뀐 ScreenConnect 실행 파일이 감지되면, 엔드포인트를 격리하고, 바이너리 및 관련 네트워크 트래픽을 수집하며 방화벽에서 C2 도메인을 차단하십시오. 포렌식 분석을 수행하여 지속성 메커니즘과 수평 이동을 식별한 후, 침해된 계정을 복구하고 자격 증명을 재설정합니다.
공격 흐름
탐지
대체 원격 액세스 / 관리 소프트웨어 (시스템 경유)
보기
대체 원격 액세스 / 관리 소프트웨어 (감사를 통한)
보기
의심스러운 명령 및 제어 비정상 최상위 도메인 (TLD) DNS 요청 (dns 경유)
보기
대체 원격 액세스 / 관리 소프트웨어 (프로세스 생성 경유)
보기
탐지할 IOCs (HashSha256): 2025년에 본 공통 사회공학 기법을 사용한 불법 ScreenConnect
보기
사회 공학 유인을 통한 불법 ScreenConnect 설치 [Windows 프로세스 생성]
보기
시뮬레이션 실행
전제 조건: 원격 측정 및 기준 사전 비행 점검이 통과되었어야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적의 기술(기법, 전술 및 절차, TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 내러티브는 발견된 TTP를 직접 반영해야 하며 탐지 논리에서 기대되는 정확한 원격 측정을 생성하는 것을 목표로 해야 합니다.
-
공격 내러티브 및 명령:
공격자는 첨부 파일 이름을 가진 피싱 이메일을 제작합니다 Social_Security_Statement_redacted.exe 실제로는 합법적인 ScreenConnect 설치 프로그램(또는 다른 페이로드)을 포함합니다. 피해자는 이를 개인 재무 문서로 생각하고 파일을 두 번 클릭합니다. 운영체제는 실행 파일을 실행하여 프로세스 생성 이벤트를 발생시키며Image필드가 악성 파일명으로 끝납니다. 이 정확한 패턴은 Sigma 규칙과 일치해야 하며 경고를 발생시켜야 합니다. -
회귀 테스트 스크립트:
# -------------------------------------------------------------- # 시뮬레이션 스크립트 – "불법 ScreenConnect" 규칙을 트리거합니다 # -------------------------------------------------------------- # 1. 무해한 페이로드 준비 (예: calc.exe) 및 이름 변경 $src = "$env:SystemRootSystem32calc.exe" $dst = "$env:TempSocial_Security_Statement_redacted.exe" Copy-Item -Path $src -Destination $dst -Force # 2. 옵션으로 회피를 흉내 내기 위해 숨김 속성 설정 (T1564.004) attrib +h $dst # 3. 이름이 변경된 페이로드 실행 (사용자 클릭 시뮬레이션) Start-Process -FilePath $dst # 4. 로그가 기록될 수 있도록 잠시 대기 Start-Sleep -Seconds 5 # 5. 확인 메시지 출력 Write-Host "Executed $dst – should generate detection telemetry." -
정리 명령:
# 악성으로 보이는 실행 파일 제거 및 속성 지우기 $file = "$env:TempSocial_Security_Statement_redacted.exe" if (Test-Path $file) { attrib -h $file Remove-Item -Path $file -Force Write-Host "Cleanup complete: $file removed." } else { Write-Host "File not found; nothing to clean." }
보고서 끝