UAC-0226의 도구 발전: WinRAR ADS에서 반사적 GIFTEDCROOK 로딩으로
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
UAC-0226 위협 행위자는 WinRAR 경로 탐색 취약점을 악용하고 NTFS 대체 데이터 스트림과 결합하여 조용한 지속성을 구축함으로써 전달 체인을 정교화했습니다. 이 캠페인은 GIFTEDCROOK으로 알려진 무수정 반사 PE 페이로드를 배포하기 위해 다단계 PowerShell 로더에 의존합니다. 멀웨어는 손상된 시스템에서 브라우저 자격 증명, VPN 구성 데이터 및 민감한 문서를 수집하도록 설계되었습니다.
조사
분석은 무기화된 WinRAR 아카이브, 속임수 PDF 및 Windows 시작 폴더에 숨겨진 LNK 파일을 기반으로 하는 복잡한 실행 흐름을 분해합니다. 연구원들은 사용자 지정 추가 디코딩 루틴 및 DLL을 메모리에 직접 매핑하는 고급 반사 로더를 발견했습니다. 또한 원격 측정은 로더가 사용자 지정 16바이트 구조를 통해 명령 및 제어 서버에 실행 상태를 보고하는 것을 보여주었습니다.
완화
조직은 WinRAR를 업데이트하여 경로 탐색 약점을 해결하는 것을 우선시해야 합니다. 엄격한 PowerShell 실행 정책을 적용하고 비정상적인 NTFS 대체 데이터 스트림 활동을 모니터링하면 침해 초기 단계를 방해하는 데 도움이 될 수 있습니다. 보안 팀은 또한 시작 폴더에 드롭된 무단 파일 및 NtAllocateVirtualMemory.
응답
이 활동이 감지되면 추가 데이터 유출을 방지하기 위해 즉시 영향을 받고 있는 호스트를 분리하십시오. C:ProgramData 디렉토리에서 의심스러운 확장자 없는 파일을 검사하고 사용자의 시작 폴더에서 승인되지 않은 LNK 바로 가기를 검토하십시오. 반사 DLL을 식별하기 위해 메모리 포렌식을 수행해야 하며, 식별된 명령 및 제어 인프라와의 통신을 위해 네트워크 로그를 확인해야 합니다.
공격 흐름
시뮬레이션 실행
전제 조건: 원격 측정 및 기준선 사전 점검 테스트를 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하는 적 대 기법(TTP)의 정확한 실행을 상세히 설명합니다. 명령 및 서술은 식별된 TTP를 직접 반영하여 탐지 논리에 의해 기대되는 정확한 원격 측정을 생성해야 합니다. 추상적이거나 관련 없는 예시는 오진을 초래할 수 있습니다.
-
공격 서사 및 명령: 적은 스틸러 페이로드를 배포하는 것을 목표로 하고 있습니다. 흔적을 최소화하고 사용자 상호작용을 피하기 위해, 그들은 페이로드를
C:ProgramDataWC3에 배치합니다. 그런 다음 “living-off-the-land” 플래그 세트를 사용하여 PowerShell을 호출하여 실행 정책을 우회하고 사용자에게 창을 숨깁니다. 명령은 UAC-0226 캠페인의 반사 로딩 동작을 시뮬레이션하는, 배치된 파일을 참조하는 명령을 실행하기 위해iex(Invoke-Expression)을 사용합니다. -
회귀 테스트 스크립트:
# 1. 설정: 탐지 규칙에 사용된 특정 디렉토리 생성 $targetDir = "C:ProgramDataWC3" if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force } # 2. 경로 요구 사항을 충족시키는 더미 페이로드 파일 생성 $dummyFile = "$targetDirpayload.ps1" "Write-Output 'Simulated Malicious Payload'" | Out-File -FilePath $dummyFile -Encoding ascii # 3. 악성 명령 체인 실행(규칙을 트리거해야 함) # Start-Process를 사용하여 명령줄이 새 프로세스로 캡처되도록 합니다. Start-Process powershell.exe -ArgumentList "-NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command ""iex (Get-Content $dummyFile)""" -WindowStyle Hidden Write-Host "[+] 시뮬레이션 명령이 실행되었습니다. SIEM에서 경고를 확인하세요." -
정리 명령:
# 시뮬레이션 중 생성된 디렉토리 및 더미 파일 제거 Remove-Item -Path "C:ProgramDataWC3" -Recurse -Force -ErrorAction SilentlyContinue Write-Host "[+] 정리 완료."