AsyncRAT 캠페인, 페이로드를 난독화하는 3LOSH 크립터 특징
목차:
공개 저장소를 통해 AsyncRAT 및 3LOSH 크립터를 포함한 지속적인 악성코드 배포 캠페인이 확산되고 있습니다. 최근 사이버보안 연구 는 기업 환경의 장치에서 탐지를 회피하기 위해 공격자들이 사용하고 있는 최신 버전의 3LOSH를 분석합니다. AsyncRAT 외에도 여러 가지 다른 일반 악성코드 종류가 동일한 운영자에 의해 배포될 수 있습니다. 크립터 사용의 급증 목적은 RAT의 운영 효율성을 높여 민감한 데이터를 탈출시키는 것입니다.
보안 분석가들은 다양한 위협 행위자들이 사이버 공격을 활용할 수 있다고 조직에 경고하며, 3LOSH 크립터와 같은 도구의 복잡성이 계속 업데이트되고 개선되고 있다고 전합니다. 최신 3LOSH 크립터 활동을 감지하는 데 도움이 되는 최신 감지 내용을 아래에서 확인하세요.
3LOSH Builder/Crypter 탐지
우리의 생산적인 위협 보상 개발자 Kyaw Pyiyt Htet 이 특정 악성 파일의 존재 여부를 기반으로 가능한 3LOSH 실행을 인식합니다:
악성 파일 탐지를 통한 의심스러운 3LOSH (AsyncRAT) RAT 실행 (file_event)
이 규칙은 Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, AWS OpenSearch 등과 같은 보안 솔루션들로 자동 변환될 수 있습니다.
Sigma 규칙은 최신 MITRE ATT&CK® 버전에 매핑되어 있으며, 실행 전술과 명령 및 스크립팅 인터프리터 기법(T1059)을 다룹니다.
이전 버전의 AsyncRAT 및 3LOSH가 위협 인텔리전스 전문가에 의해 포착된 바 있습니다. 우리의 이전 탐지를 활용해 추가할 것이 있는지 확인하십시오. 독자적인 사이버 위협 탐지 접근 방식을 가지고 있으며 지식 공유를 추구하는 분이라면, 우리의 크라우드소싱 이니셔티브에 적극 참여해 주십시오.
AsyncRAT 페이로드 및 3LOSH 분석
AsyncRAT이 활용하는 다단계 감염 과정은 ISO 파일에서 실행되는 VBScript 코드로 시작됩니다. VBS는 문자열 교체의 도움으로 실행되는 코드를 난독화하기 위해 그 내용에 쓸모 없는 데이터를 사용합니다. 코드의 난독화가 해제된 후, 이 VBS는 C&C 서버에 접속하여 RAT 실행의 다음 단계를 활성화하기 위한 PowerShell 스크립트를 검색합니다.
이 단계 동안, 악성코드는 다양한 디렉토리 위치를 선택하고 기능적으로 동일한 다양한 파일 이름을 사용할 수 있습니다. 궁극적으로 스크립트는 피해자의 시스템을 스캔한 후, 특정 위치에 있는 흔히 사용되는 이름과 유사한 위치에 악성코드의 작업 디렉토리를 만듭니다 C:ProgramDataFacebookSystem32MicrosoftSystemData.
그 후, 추가적인 스크립트가 생성되어 “Office.vbs” 파일의 실행을 트리거하고 다음 감염 단계로 이동합니다. 대부분의 RAT 목표는 이 세 번째 단계에서 수행됩니다. 예를 들어 지속성을 확립하기 위해 또 다른 PowerShell 스크립트가 “Office”라는 이름으로 새로운 예약 작업을 만들고 즉시 실행하며 이 과정을 2분마다 반복합니다. 최종 페이로드는 다양할 수 있지만, 분석된 대부분의 샘플은 AsyncRAT 및 LimeRAT이었습니다.
연구원들은 결론을 내렸습니다 3LOSH 크립터는 악성코드 크립터 로, 현재 적극적으로 개발 중이며 다양한 일반 RAT에 내장되어 확산되고 있습니다. 효과적인 탐지 전략은 최종 페이로드에 구애받지 않고 크립터를 포착할 수 있는 능력을 포함해야 합니다. 참여하세요SOC Prime의 Detection as Code 플랫폼에 참여하여 새로운 탐지 내용을 지속적으로 업데이트하고 현재의 위협에 뒤처지지 마십시오.
