SOC Prime Bias: 높음

02 Jul 2026 06:46 UTC

StrikeShark 캠페인, SharkLoader를 통해 Cobalt Strike 전파

Author Photo
SOC Prime Team linkedin icon 팔로우
StrikeShark 캠페인, SharkLoader를 통해 Cobalt Strike 전파
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

StrikeShark는 Cobalt Strike Beacons를 전달하는 SharkLoader라는 맞춤형 멀웨어 로더를 사용하는 새로 식별된 위협 캠페인입니다. 이 운영은 인터넷에 노출된 애플리케이션의 취약점 활용과 드로퍼 기반 전달을 포함하여 여러 초기 접근 방법에 의존합니다. 멀웨어는 또한 보안 방어체계를 우회하기 위해 DLL 사이드로딩 및 API 훅킹과 같은 고급 회피 기법을 사용합니다.

조사

조사 결과, SharkLoader 감염이 여러 국가와 산업 부문, 외교 단체 및 소프트웨어 개발 조직에서 식별되었습니다. 연구원들은 ProxyLogon과 같은 결함의 악용에서 최종 Cobalt Strike 페이로드의 실행까지의 침입 체인을 추적했습니다. 이 연구는 또한 ‘완벽한 DLL 하이재킹’과 감지를 줄이기 위해 설계된 정교한 API 훅킹의 기술적 사용을 설명했습니다.

완화

조직은 인터넷에 노출된 시스템, 특히 Microsoft Exchange, SharePoint 및 노출된 네트워크 장치의 패치를 우선시해야 합니다. 강력한 엔드포인트 감지 및 대응 기능을 배치하면 의심스러운 DLL 사이드로딩 및 허가되지 않은 예약 작업 생성을 발견하는 데 도움이 될 수 있습니다. 보안 팀은 비정상적인 부모-자식 프로세스 관계도 지속적으로 모니터링해야 합니다, 예를 들어 svchost.exe 가 예기치 않은 프로세스를 실행하는 경우.

대응

이 활동이 감지되면 추가적인 횡적 이동 및 명령 제어 트래픽을 차단하기 위해 영향을 받은 시스템을 즉시 격리하십시오. 초기 접근 지점과 전반적인 손상 범위를 결정하기 위해 철저한 포렌식 조사를 수행하십시오. 특히 권한 있는 사용자에 대해 영향을 받을 가능성이 있는 모든 계정의 자격 증명을 재설정하고, Active Directory의 허가되지 않은 변경사항이나 새로 할당된 그룹 멤버십을 검토하십시오.

공격 흐름

시뮬레이션 실행

전제 조건: Telemetry & Baseline Pre-flight Check에 통과해야 합니다.

합리적 이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적 기법 (TTP)의 정확한 실행을 자세히 설명합니다. 명령과 내러티브는 식별된 TTP에 직접 반영되어야 하며 탐지 논리에서 기대되는 정확한 텔레메트리를 생성해야 합니다. 추상적이거나 관련 없는 예제는 오진으로 이어질 수 있습니다.

  • 공격 내러티브 & 명령: 적은 SharkLoader 캠페인의 시그니처 방법을 사용해 발판을 마련하려고 합니다. 첫째, 공격자는 합법적인 프로그램의 이름을 변경한 버전을 실행하여 DLL 사이드로딩의 부산물을 시뮬레이션합니다. SystemSettings.exe. 프로세스가 실행되자마자, 공격자는 도메인 환경을 열거함으로써 상황 인식을 얻으려 시도합니다. 관찰된 TTP를 모방하기 위해 공격자는 PowerShell을 사용하여 도메인 컴프로마이즈의 정찰 단계 중 일반적인 단계인 사용자 및 컴퓨터 객체를 쿼리합니다.

  • 회귀 테스트 스크립트:

    # SharkLoader & AD Enumeration 탐지를 위한 시뮬레이션 스크립트
    
    Write-Host "[*] 시뮬레이션 시작 중..." -ForegroundColor Cyan
    
    # 1. SystemSettings.exe를 통한 SharkLoader 프로세스 실행 시뮬레이션
    # 사이드로딩된 바이너리의 동작을 시뮬레이션하기 위해 프로시를 사용하여 notepad.exe를 사용합니다.
    Start-Process "notepad.exe" -ArgumentList "/c "This is a simulated SystemSettings.exe"" -WindowStyle Hidden
    # 주의: 실제 환경에서는 파일 자체가 SystemSettings.exe로 명명됩니다.
    # 이 테스트를 위해 프로세스 항목의 생성을 시뮬레이션합니다.
    
    # 2. 악성 Active Directory 열거 시뮬레이션
    Write-Host "[*] AD 열거 시뮬레이션 중..." -ForegroundColor Yellow
    # 규칙에서 구체적으로 찾는 표준 cmdlets 사용
    Get-ADUser -Filter * | Select-Object -First 5
    Get-ADComputer -Filter * | Select-Object -First 5
    Get-ADGroup -Filter * | Select-Object -First 5
    
    Write-Host "[+] 시뮬레이션 명령 실행 완료." -ForegroundColor Green
  • 정리 명령:

    # 잔여 프로세스가 남지 않도록 하는 정리 스크립트
    Stop-Process -Name "notepad" -ErrorAction SilentlyContinue
    Write-Host "[*] 정리 완료." -ForegroundColor Cyan