팔로우 
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
클릭픽스 사회 공학 캠페인을 사용하여 Potemkin 로더를 배포하였으며, 이는 나중에 RMMProject RAT와 EtherRAT를 전달했습니다. 침입에는 키보드 실제 활동, WMIExec와 SMBExec을 통한 측면 이동, Microsoft Defender를 약화시키거나 비활성화하려는 시도가 포함되었습니다. 총 공격자는 피해자 환경 내 11개 이상의 시스템에 걸쳐 확산되었습니다.
조사
조사를 통해 사용자가 악성 명령을 실행한 관리되지 않는 엔드포인트로 침해가 추적되었습니다. 분석가들은 Chrome 앱 바운드 암호화를 우회할 수 있는 Lua 사용 RAT인 RMMProject와 결정론적 도메인 생성 알고리즘을 사용한 사용자 정의 로더 Potemkin을 식별했습니다. 연구원들은 또한 EtherRAT가 이더리움 블록체인을 통해 명령-제어 기반 구조를 검색하며 침입 중 Chisel 터널을 사용하는 것을 문서화했습니다.
완화
가장 효과적인 방어 중 하나는 그룹 정책을 통해 Windows 실행 대화 상자를 비활성화하여 클릭픽스 실행 확률을 줄이는 것입니다. 조직은 또한 Microsoft Defender 탬퍼 보호를 활성화하고 보안 설정에 영향을 주거나 서비스를 비활성화하려는 무단 레지스트리 변경 감시를 해야 합니다. WinDefend 서비스를 비활성화하지 않도록 해야 합니다. 엔드포인트의 폭넓고 일정한 커버리지가 공격자가 초기 발판을 얻지 못하도록 예방하는 데 필수적입니다.
대응
이런 활동이 감지되면 대응자는 추가적인 측면 이동을 즉시 중단하기 위해 영향을 받은 시스템을 격리해야 합니다. 수정은 악성 Node.js 프로세스 종료, Run 키와 예약 작업 같은 확인된 지속성 메커니즘 제거 및 무단 Microsoft Defender 제외 경로 클린업을 포함해야 합니다. 지속성 방법이 호스트마다 다를 수 있기 때문에 전체 환경의 정밀 검사도 필요합니다.
"graph TB %% Class Definitions classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef defense_evasion fill:#9b59b6,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef c2 fill:#e74c3c,stroke:#333,stroke-width:2px classDef credential_access fill:#f1c40f,stroke:#333,stroke-width:2px classDef lateral_movement fill:#1abc9c,stroke:#333,stroke-width:2px classDef defense_impairment fill:#34495e,stroke:#333,stroke-width:2px %% Initial Access and Execution Phase action_clickfix["<b>Action</b> – <b>T1204.004 User Execution: Malicious Copy and Paste</b><br/>Description: User is tricked via ClickFix social engineering to paste and run a command in the Windows Run Dialog.<br/><b/>Artifacts: cmd /min /c pcalua.exe -a mshta.exe…"] class action_clickfix initial_access exec_mshta["<b/>Action</b> – <b>T1218.005 System Binary Proxy Execution: Mshta</b><br/>Description: Abuses pcalua.exe to proxy mshta.exe execution to fetch remote HTA payload.<br/><b/>Artifacts: hte.hta payload, pcalua.exe"] class exec_mshta execution exec_msiexec["<b/>Action</b> – <b>T1218.007 System Binary Proxy Execution: Msiexec</b><br/>Description: Malicious MSI package is silently installed using msiexec.<br/><b/>Artifacts: inst24.msi, msiexec /qn"] class exec_msiexec execution %% Persistence and Loader Phase persist_netsh["<b/>Action</b> – <b>T1546.007 Event Triggered Execution: Netsh Helper DLL</b><br/>Description: Persistence established via an MSI AutostartRegistry component.<br/><b/>Artifacts: Potemkin loader, RunSearch.exe in %LOCALAPPDATA%MicrosoftRunSearch"] class persist_netsh persistence %% Command and Control Phase c2_dga["<b/>Action</b> – <b>T1568 Dynamic Resolution</b><br/>Description: Potemkin loader uses a Domain Generation Algorithm to find C2 servers.<br/><b/>Artifacts: Potemkin DGA"] class c2_dga c2 c2_ether["<b/>Action</b> – <b>T1568 Dynamic Resolution</b><br/>Description: EtherRAT resolves its C2 address from the Ethereum blockchain via EtherHiding.<br/><b/>Artifacts: EtherRAT"] class c2_ether c2 %% Credential Access Phase cred_steal["<b/>Action</b> – <b>T1539 Steal Web Session Cookie</b><br/>Description: RMMProject RAT targets browsers to steal cookies and credentials via DLL injection to bypass Chrome App-Bound Encryption.<br/><b/>Artifacts: RMMProject, browser SQLite databases"] class cred_steal credential_access %% Lateral Movement Phase lat_move["<b/>Action</b> – <b>T1210 Exploitation of Remote Services</b><br/>Description: Attacker moves laterally using WMIExec and SMBExec to spread the MSI installer.<br/><b/>Artifacts: WMIExec, SMBExec, msiexec /i <IP>ADMIN$Temp…"] class lat_move lateral_movement %% Defense Impairment Phase def_impair["<b/>Action</b> – <b>T1687 Exploitation for Defense Impairment</b><br/>Description: Fighting Windows Defender by patching AMSI, writing registry policies, and killing the service.<br/><b/>Artifacts: DisableAntiSpyware registry keys, Stop-Service WinDefend, AMSI patching"] class def_impair defense_impairment %% C2 Tunneling Phase c2_tunnel["<b/>Action</b> – <b>T1572 Protocol Tunneling</b><br/>Description: Using Chisel to establish reverse SOCKS tunnels and Cloudflare tunnels to expose internal services.<br/><b/>Artifacts: Chisel, cloudflared renamed to svchost.exe"] class c2_tunnel c2 %% Connections %% Flow from initial access to execution action_clickfix –>|leads_to| exec_mshta action_clickfix –>|leads_to| exec_msiexec %% Execution leads to persistence exec_msiexec –>|installs| persist_netsh %% Persistence leads to C2 and Loader deployment persist_netsh –>|deploys| c2_dga persist_netsh –>|deploys| c2_ether %% C2 activities lead to credential access c2_dga –>|executes| cred_steal c2_ether –>|executes| cred_steal %% Lateral movement spreads the attack cred_steal –>|enables| lat_move lat_move –>|deploys_to_new_hosts| exec_msiexec %% Defense impairment protects the attacker exec_mshta –>|used_to_patch| def_impair def_impair –>|facilitates| c2_tunnel "
공격 흐름
탐지
일상적이지 않은 경로에서 시스템 프로세스 실행 (via process_creation)
보기
Windows Defender 환경설정 의심스러운 변경 (via powershell)
보기
가능한 지속성 지점 [ASEPs – Software/NTUSER Hive] (via registry_event)
보기
Windows Defender 보호 비활성화 (via registry_event)
보기
가능한 Impacket 커맨드 라인 패턴 (via cmdline)
보기
의심스러운 랜섬웨어 서비스 중단 (via cmdline)
보기
숨겨진 PowerShell 명령줄을 통한 실행 가능성 (via cmdline)
보기
특이한 위치에서 실행되는 NodeJS 바이너리 (via cmdline)
보기
LOLBAS Pcalua (via cmdline)
보기
명령어에 연결된 명령어 감지로 의심스러운 LOLBAS MSHTA 방어 회피 행동 (via process_creation)
보기
LOLBAS Conhost (via cmdline)
보기
Certutil을 사용한 데이터 인코딩 및 인증서 작업 (via cmdline)
보기
가능한 터널링 도구 사용 [Windows] (via cmdline)
보기
의심스러운 CURL 사용 (via cmdline)
보기
Powershell에서 의심스러운 .NET 메소드 호출 (via powershell)
보기
정상적인 시스템 프로세스로 명명된 의심스러운 실행 파일 생성 (via file_event)
보기
가능한 Publicnode 이더리움 남용 시도 C2 채널로서 (via dns_query)
보기
의심스러운 파일 다운로드 직접 IP (via proxy)
보기
PowerShell 스크립트 실행 및 Windows Defender 변조 [Windows Powershell]
보기
EtherRAT에 의한 이더리움 기반 C2 통신 감지 [Windows 네트워크 연결]
보기
클릭픽스 HTA 페이로드 전달 감지, Mshta.exe 통해 [Windows 프로세스 생성]
보기
시뮬레이션 실행
전제조건: 텔레메트리 및 기준 비행 전 검사가 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하기 위한 적대자의 TTP(전술, 기술 및 절차) 정확한 실행을 상세히 다룹니다. 명령과 서사는 식별된 TTP를 직접 반영해야 하며 탐지 논리가 기대하는 정확한 텔레메트리를 생성해야 합니다. 추상적이거나 관련 없는 예시는 오진으로 이어질 수 있습니다.
-
공격 서사 및 명령: 적대자는 EtherRAT의 고유한 방법을 사용하여 C2 채널을 확립하려고 합니다. 이들은 악성 소프트웨어 설정의 정적 분석을 피하기 위해
curl를 사용하여 공개 이더리움 RPC 엔드포인트(https://eth.drpc.org)로 HTTP POST 요청을 수행합니다. 이 요청은 실제 C2 IP/도메인을 블록체인에서 가져오기 위해 설계되었습니다. 현재 탐지 규칙의 특정 논리를 충족시키기 위해, 명령은 명령줄 인자 내에 악성 도메인anus-staylard.xyz를 포함하도록 구조화되어 있으며, 페이로드 전달 또는 설정 단계를 시뮬레이션합니다. -
회귀 테스트 스크립트:
# Ethereum RPC를 통한 EtherRAT C2 해결의 시뮬레이션 # 이 스크립트는 Sigma 규칙을 트리거하기 위한 특정 커맨드 라인 패턴을 모방합니다. $maliciousDomain = "anus-staylard.xyz" $rpcEndpoint = "https://eth.drpc.org" $maliciousIpString = "77.110.122.58:23205/lQhEQui9a4lZ.exe" # (selection1 OR selection2) AND selection3 논리에 맞는 명령 구성 # 패턴: curl -s -X POST https://eth.drpc.org ... anus-staylard.xyz $cmd = "curl.exe -s -X POST $rpcEndpoint -d 'data=query' --user-agent '$maliciousDomain' --referer '$maliciousIpString'" Write-Host "[+] 모의 EtherRAT 명령 실행 중: $cmd" Start-Process "cmd.exe" -ArgumentList "/c $cmd" -NoNewWindow -
정리 명령:
더 이상 정리할 필요가 없습니다.