Swarmer Tool Evading EDR With a Stealthy Modification on Windows Registry for Persistence

요약

Swarmer는 필수 사용자 프로필 하이브(NTUSER.MAN)를 생성하고 Offline 레지스트리 API를 통해 편집하는 저권한 Windows 영속성 유틸리티입니다. 일반적인 Reg* Windows API에 의존하지 않기 때문에 표준 레지스트리 쓰기 동작에 맞춘 EDR 텔레메트리에 대한 가시성을 줄이면서 Run 키 영속성을 심을 수 있습니다. 이 방법은 관리 권한 없이도 로그인 간 시작 항목을 유지하기 위해 필수 프로필 처리를 악용합니다. Swarmer는 독립 실행형 실행 파일 또는 PowerShell 모듈로 사용할 수 있으며 디스크 아티팩트를 최소화하는 방식으로 사용할 수 있습니다.

조사

보고서는 Swarmer의 종단 간 흐름을 설명합니다: 현재의 HKCU 하이브를 내보내고 내보낸 데이터를 변경하여 시작 영속성을 포함시키며, Offreg.dll 루틴인 ORCreateHive 및 ORSetValue와 같은 루틴을 사용하여 하이브를 재구성합니다. 재구성된 하이브는 사용자 프로필 경로 내 NTUSER.MAN으로 배치되어 로그인 시 적용됩니다. 실행은 목표 시작 값과 실행할 페이로드 위치를 정의하는 명령 줄 옵션을 통해 제어됩니다. 저자들은 이 기술을 Windows 10 및 Windows 11에서 검증했습니다.

완화

생성 모니터링 NTUSER.MAN 필수 프로필이 예상되지 않는 사용자 컨텍스트에서, 그리고 비정상적인 프로세스에 의해 Offreg.dll이 로드되는 경우 경고를 발생시킵니다. 필수 프로필에 사용되는 디렉토리를 보호 및 무결성 검사하고, 합법적인 오프라인 레지스트리 작업을 기준으로 하여 편차가 두드러지게 합니다. 로그온 시점에 적용되는 수상한 하이브 변경 사항을 탐지하도록 감지기를 추가합니다. 가능한 경우, 사용자가 필수 프로필 아티팩트를 생성하거나 조작할 수 있는 능력을 제한합니다.

대응

식별된 경우, 엔드포인트를 격리하고, 분석을 위해 NTUSER.MAN 하이브를 획득하며, 주입된 Run 키 항목을 열거합니다. 승인되지 않은 시작 값을 제거하고 알려진 좋은 사용자 하이브를 복구하여 영속성을 제거합니다. 보조 페이로드나 대체 영속성 경로가 설정되지 않았음을 확인하기 위해 광범위한 포렌식 검토를 수행하며, 동일한 하이브 작성 패턴을 찾기 위해 플릿 전반에 대한 사냥을 수행합니다. 저권한 사용자가 필수 프로필을 생성하지 못하도록 최소 권한 제어를 강화합니다.

시뮬레이션 실행

전제 조건: 텔레메트리 및 기본 체크가 통과되었어야 합니다.

이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적의 기술(TTP)의 정확한 실행을 상세히 설명합니다. 명령어와 서술은 식별된 TTP를 직접적으로 반영하고 탐지 로직에서 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련이 없는 예시는 오진으로 이어질 수 있습니다.

• 공격 내러티브 및 명령어:
  공격자는 감염된 호스트에서 발판을 잡았으며 사용자 로그온을 견디는 영속성을 수립하고자 합니다. 이는 표준 레지스트리 하이브(EDR 후크를 피하기 위해)를 건드리지 않고 수행합니다. Swarmer 도구를 사용하여 공격자는:

  1. 대상 사용자의 프로필 디렉토리 결정 (C:Usersvictim).
  2. 로그온 시 백도어 페이로드를 실행하는 Run 키가 포함된 악성 하이브 파일 제작 (NTUSER.MAN).
  3. 저수준 파일 I/O를 사용해 피해자의 프로필에 파일을 직접 작성합니다(WinAPI 고급 호출을 우회).
  4. 호출 오프라인 레지스트리 API ORCreateHive 로 새로 생성된 하이브를 메모리에 로드하고 Run 키를 등록하며, 마침내 ORSaveHive 를 호출하여 변경 사항을 영구화합니다.

  두 작업 모두 생성:

  • Sysmon EventID 11 – 파일 생성 끝 NTUSER.MAN.
  • 보안 이벤트 ID 4688 – 프로세스 (swarmer.exe)는 명령줄에 ORCreateHive (다른 OR* 플래그 또는 포함).

• 회귀 테스트 스크립트:

  #--------------------------------------------------------------
  # Swarmer 스타일의 레지스트리 영속성 시뮬레이션 (PowerShell)
  #--------------------------------------------------------------
  # 1. 피해자 프로필 경로 정의
  $victimProfile = "$env:SystemDriveUsersvictim"
  $ntUserManPath = Join-Path $victimProfile "NTUSER.MAN"
  
  # 2. 최소 하이브 파일 생성 (바이너리 자리표시자)
  #    실제 공격에서는 정교하게 작성된 레지스트리 하이브일 것입니다.
  $hiveBytes = [byte[]] (0..255)               # 더미 데이터
  [IO.File]::WriteAllBytes($ntUserManPath, $hiveBytes)
  
  # 3. 도움 실행 파일을 통해 오프라인 레지스트리 API 호출.
  #    swarmer_helper.exe가 네이티브 오프라인 레지스트리 기능을 래핑하는 컴파일된 바이너리라고 가정합니다.
  $helper = "C:Toolsswarmer_helper.exe"
  $args = @(
      "ORCreateHive", "`"$ntUserManPath`""
      "ORSetValue", "HKLMSoftwareMicrosoftWindowsCurrentVersionRunmyBackdoor", "`"C:Malwarebackdoor.exe`""
      "ORSaveHive", "`"$ntUserManPath`""
  )
  & $helper $args
  #--------------------------------------------------------------

• 정리 명령어:

  # 악성 하이브 제거 및 필요하면 이를 언로드합니다
  Remove-Item -Path "$env:SystemDriveUsersvictimNTUSER.MAN" -Force
  # 도움이 메모리에 남긴 하이브가 있으면, 예시로 강제 언로드합니다
  & "$env:ProgramFilesWindows Kits10binx64reg.exe" unload "HKUTempHive"