팔로우 
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
SHADOW-EARTH-053로 추적되는 중국 연계 위협 그룹이 ProxyLogon 취약점의 체인을 통해 패치되지 않은 Microsoft Exchange와 IIS 서버를 공격하여 웹셸을 배포하고 ShadowPad 악성코드 패밀리를 설치해 왔습니다. 이 그룹은 정식 서명된 바이너리를 통한 DLL 사이드로딩, 레지스트리를 기반으로 한 페이로드 실행, 여러 터널링 도구를 사용하여 은밀한 명령 및 제어 액세스를 유지합니다. 보고된 피해자는 아시아 여러 국가의 정부 부처, 방위 관련 계약자 및 교통 부문과 하나의 NATO 회원국을 포함하고 있습니다. 이러한 활동은 성숙한 탈취 후 기법과 결합된 오래된 Exchange 결함의 지속적인 위험성을 강조합니다.
조사
연구원들은 웹 셸 배포를 다음과 같은 파일명을 사용하여 설명했습니다 error.aspx and tunnel.ashx 일반 IIS 디렉터리에 설치하고 신뢰할 수 있는 실행 파일을 통한 DLL 사이드로딩으로 ShadowPad를 전달했습니다. runtimebroker.exe. 그들은 또한 mdync.exe를 포함한 추가 백도어를 확인하였으며, 외부 인프라와 통신했습니다. GOST, Wstunnel 및 code.exe 와 같은 터널링 도구들은 C:UsersPublic에 설치되었습니다. 자격 증명 탈취 활동에는 Mimikatz 및 맞춤 유틸리티 Evil-CreateDump and newdcsync이 포함되었으며, IIS 워커 프로세스를 통해 실행되었습니다. 지속성은 다음과 같은 레지스트리 변경을 통해 지원되었습니다 LocalAccountTokenFilterPolicy 및 M1onltor.
와 같은 예약 작업이 포함됩니다.
조직은 Microsoft Exchange Server 및 IIS에 대한 모든 보안 업데이트를 적용해야 하며, ProxyLogon 관련 CVE에 우선 순위를 두어야 합니다. 웹 애플리케이션 방화벽 또는 침입 방지 제어는 실행 전 공격을 차단하도록 설정되어야 합니다. 방어자는 또한 웹 인터페이스 디렉터리에 대한 파일 무결성 모니터링을 시행하고 허가되지 않은 .aspx, .ashx, 또는 .jsp 파일 생성 방지를 실시해야 합니다. 추가적인 강화 조치로는 IIS 프로세스 권한 제한, 쓰기 접근 감소, w3wp.exe에 의해 시작된 자식 프로세스 모니터링, 사용하지 않는 서비스 비활성화, 중요 서버에 응용 프로그램 허용 목록 설정이 포함됩니다.
대응
보안 팀은 IIS 경로 내의 알 수 없는 .aspx or .ashx 파일의 출현을 경고하고 M1onltor이름의 예약 작업을 감시해야 합니다. 탐지 범위에는 Mimikatz 및 PowerView 같은 도구의 실행, 서명된 바이너리를 포함한 DLL 사이드로딩 활동도 포함해야 합니다. 정확히 식별된 멀웨어 IP 주소 및 도메인을 향한 아웃바운드 통신은 즉시 차단되어야 합니다. 보안 대응 팀은 이후 check[.]office365-update[.]com 도메인 아래의 의심스러운 값을 포렌식 검토하고 허가되지 않은 예약 작업이나 지속성 아티팩트를 제거해야 합니다. HKEY_CURRENT_USERSoftware and remove any unauthorized scheduled tasks or persistence artifacts.
"graph TB %% Class definitions section classDef technique fill:#99ccff classDef operator fill:#ff9900 %% Node definitions tech_exploit_pf["<b>기술</b> – <b>T1190 공개된 애플리케이션 취약점 악용</b><br/>악의적 행위자가 인터넷에 노출된 애플리케이션의 취약점을 악용하여 초기 접근을 얻습니다."] class tech_exploit_pf technique tech_webshell["<b>기술</b> – <b>T1505.003 서버 소프트웨어 컴포넌트 웹 셸</b><br/>악의적 행위자가 침해된 서버에 웹 셸을 설치하여 지속적인 접근을 유지합니다."] class tech_webshell technique tech_code_sign["<b>기술</b> – <b>T1553.002 신뢰 제어 전복 코드 서명</b><br/>악의적 행위자가 서명된 DLL을 사이드로딩하여 신뢰할 수 있는 것처럼 보일 수 있도록 악성 코드를 실행합니다."] class tech_code_sign technique tech_masquerade["<b>기술</b> – <b>T1036 위장</b><br/>악의적 행위자가 도구의 이름을 변경하고 RingQ와 같은 도구로 포장하여 정당한 것처럼 보이게 합니다."] class tech_masquerade technique tech_cred_dump["<b>기술</b> – <b>T1003 OS 자격 증명 덤핑</b><br/>악의적 행위자가 Mimikatz, Evil CreateDump 또는 DCSync 같은 도구를 사용하여 운영 체제에서 자격 증명을 얻습니다."] class tech_cred_dump technique tech_account_manip["<b>기술</b> – <b>T1098.002 계정 변조 이메일 대리인 권한</b><br/>악의적 행위자가 피해자의 메일박스에 대리인으로 자신들을 추가하여 이메일을 읽고 보냅니다."] class tech_account_manip technique tech_exploit_remote["<b>기술</b> – <b>T1210 원격 서비스 악용</b><br/>악의적 행위자가 원격 호스트에서 WMIC나 SMBExec를 사용하여 명령을 실행하여 측면 이동을 합니다."] class tech_exploit_remote technique tech_proxy["<b>기술</b> – <b>T1090 프록시</b><br/>악의적 행위자가 GOST, Wstunnel 또는 터널 코어 같은 프록시 도구를 사용하여 다중 홉을 통해 트래픽을 중계합니다."] class tech_proxy technique tech_tunnel["<b>기술</b> – <b>T1572 프로토콜 터널링</b><br/>악의적 행위자가 SOCKS5 또는 HTTPS 프로토콜을 통해 통신하며 명령 및 제어로 트래픽을 터널링합니다."] class tech_tunnel technique tech_email_collect["<b>기술</b> – <b>T1114 이메일 수집</b><br/>악의적 행위자가 Exchange Web Services API를 사용하여 Exchange 서버에서 이메일 데이터를 수집합니다."] class tech_email_collect technique tech_archive["<b>기술</b> – <b>T1567.001 수집된 데이터 보관</b><br/>악의적 행위자가 도난당한 데이터를 암호로 보호된 RAR 아카이브로 압축하여 외부로 유출합니다."] class tech_archive technique %% Connections showing flow tech_exploit_pf –>|leads to| tech_webshell tech_webshell –>|uses| tech_code_sign tech_webshell –>|uses| tech_masquerade tech_webshell –>|enables| tech_cred_dump tech_cred_dump –>|enables| tech_account_manip tech_webshell –>|enables| tech_exploit_remote tech_exploit_remote –>|facilitates| tech_proxy tech_proxy –>|enables| tech_tunnel tech_webshell –>|enables| tech_email_collect tech_email_collect –>|leads to| tech_archive "
공격 흐름
탐지
가능한 웹 서버 또는 웹앱 익스플로잇 [Windows] (cmdline)
보기
가능한 계정 또는 그룹 나열 / 조작 (cmdline)
보기
공용 사용자 프로필에서의 의심스러운 실행 (process_creation)
보기
가능한 Mimikatz 인자 탐지됨 (cmdline)
보기
가능한 ShadowPad 악성코드 DLL 로드 패턴 (image_load)
보기
Microsoft Exchange / Sharepoint 디렉터리 내의 가능한 웹쉘 생성 (file_event)
보기
탐지 가능한 IOCs (HashSha256): 아시아 내 정부 및 방위 부문 대상 중국 연계 사이버 스파이 캠페인 SHADOW-EARTH-053
보기
탐지 가능한 IOCs (SourceIP): 아시아 내 정부 및 방위 부문 대상 중국 연계 사이버 스파이 캠페인 SHADOW-EARTH-053
보기
탐지 가능한 IOCs (DestinationIP): 아시아 내 정부 및 방위 부문 대상 중국 연계 사이버 스파이 캠페인 SHADOW-EARTH-053
보기
일반적인 디렉터리에서 가능한 터널링 도구 스테이징 탐지 [Windows 파일 이벤트]
보기
SHADOW-EARTH-053 캠페인 내의 비콘 및 C&C 연결 탐지 [Windows 네트워크 연결]
보기
Microsoft Exchange 취약점을 이용한 SHADOW-EARTH-053의 탐지 [웹 서버]
보기
시뮬레이션 실행
필수조건: Telemetry 및 Baseline 사전 체크가 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적대적 기술(TTP)의 정확한 실행을 세부적으로 설명합니다. 명령과 서술은 식별된 TTP를 직접 반영하여 탐지 논리에서 예상되는 정확한 원격측정을 생성하는 것을 목표로 해야 합니다.
-
공격 서술 및 명령:
공격자가 손상된 호스트에 사용자 정의 터널링 바이너리(예:tunnel.exe)를 얻었습니다. 초기 다운로드 시 탐지를 피하기 위해 실행 파일은C:ProgramData에 스테이징됩니다. 이 디렉터리는 표준 사용자가 자주 사용할 수 있고 합법적인 설치에 자주 사용되는 위치입니다. 스테이징 후 공격자는 이후 도구를 실행하여 은밀한 채널을 구축할 것입니다. 스테이징 단계는 PowerShell의Copy-Item을(를) 사용하여 수행되어, 탐지 규칙의 경로 기준에 맞는 파일 생성 이벤트를 생성합니다. -
회귀 테스트 스크립트:
# 감시 디렉토리에서의 도구 스테이징 시뮬레이션 $stagingPath = "C:ProgramDatatunnel.exe" $payload = [IO.Path]::GetTempFileName() # 실제 도구를 모방하기 위해 더미 바이너리(임의 바이트) 생성 $rand = New-Object byte[] 1024 (New-Object System.Random).NextBytes($rand) Set-Content -Path $payload -Value $rand -Encoding Byte -Force # 더미 바이너리를 스테이징 위치로 복사 Copy-Item -Path $payload -Destination $stagingPath -Force # 수동 검증을 위한 출력 Write-Host "스테이징된 터널링 도구 $stagingPath에 위치" -
정리 명령:
# 스테이징 파일 및 임시 페이로드 제거 Remove-Item -Path "C:ProgramDatatunnel.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path $payload -Force -ErrorAction SilentlyContinue Write-Host "정리 완료."