BatLoader 악성코드 탐지: 증가하는 교묘한 다운로드 도구

보안 전문가들은 BatLoader라고 불리는 악명 높은 은밀한 악성코드가 최근 몇 달 동안 전 세계적으로 인스턴스를 감염시키고 있다고 경고합니다. 이 악명 높은 위협은 피해자의 시스템에 다양한 악성 페이로드를 떨어뜨리는 악성코드 다운로더로 작동합니다. 최근 캠페인에서는 BatLoader가 은행 트로이목마, 랜섬웨어 샘플을 전달하는 것으로 관찰되었습니다. 정보 탈취기, 및 Cobalt Strike 포스트 익스플로잇 툴킷.

특히, BatLoader는 위협의 탐지를 피할 수 있는 일련의 기능을 획득하여 레이더를 피합니다. 이는 악성 캠페인을 탐지하고 차단하는 것을 사이버 보안 실무자가 방해하는 배치 및 PowerShell 스크립트를 주로 사용합니다. 정교한 공격 루틴은 다음과 몇 가지 유사점이 있습니다. Conti 랜섬웨어 and Zloader 뱅킹 트로이목마.

BatLoader 악성코드 실행 탐지

BatLoader 악성코드 운영자는 지속적으로 새로운 회피 트릭을 추가하여 공격 능력을 강화하고 있으므로 사이버 수비자들은 조직의 인프라에서 감염을 적시에 식별할 수 있는 새로운 방법을 찾고 있습니다. SOC Prime의 세계에서 가장 크고 고급화된 집합적 사이버 방어 플랫폼은 BatLoader를 탐지하기 위한 새로운 Sigma 규칙을 큐레이팅합니다. 이 두 가지 탐지는 우리의 예리한 Threat Bounty 개발자인 Osman Demir and Sittikorn Sangrattanapitak에 의해 제작되었으며 MITRE ATT&CK® 프레임워크 에 매핑되고, 업계 선도적인 SIEM, EDR, BDP, XDR 솔루션과 호환됩니다. 관련 Sigma 규칙에 즉시 접근하고 사이버 위협 컨텍스트를 심층적으로 탐색하려면 아래 링크를 따르십시오:

Powershell(명령줄을 통해)을 이용한 의심스러운 BatLoader 악성코드 실행

Osman Demir가 개발한 이 Sigma 규칙은 악성 Powershell 명령을 통해 BatLoader 악성코드 실행을 탐지합니다. 탐지는 실행 전술을 해당 명령 및 스크립팅 인터프리터(T1059) 기술과 함께 다룹니다.

Gpg4Win 도구(프로세스 생성 통해)를 통한 가능한 Batloader 악성코드 실행

Sittikorn Sangrattanapitak가 제작한 위의 콘텐츠는 BatLoader 악성코드를 통해 악성 페이로드를 해독하기 위한 Gpg4win 배치를 탐지합니다. 이 Sigma 규칙은 사용자 실행(T1204) 및 명령 및 스크립팅 인터프리터(T1059)를 주요 기술로 사용하여 실행 전술을 다룹니다.

야심 찬 시그마 및 ATT&CK 기술을 향상시키고 다른 사람들을 돕기 위해 노력하는 장애물로 가득한 위협 헌터 및 탐지 엔지니어는 SOC Prime에 접근할 수 있습니다. 위협 현상금 프로그램에 참여함으로써 사이버 보안 전문가들은 ATT&CK에 매핑된 자신만의 Sigma 규칙을 작성하고, 이를 글로벌 사이버 수비자 커뮤니티와 공유하며 기여에 대해 반복적인 지불을 받을 수 있습니다. 

BatLoader 탐지를 위한 Sigma 규칙에 즉시 도달하려면 탐지 탐색 버튼을 누르세요. MITRE ATT&CK 참조, 위협 인텔리전스, 실행 가능한 바이너리 및 위협 연구를 절차화하기 위한 완화책을 포함한 포괄적인 사이버 위협 컨텍스트를 심화 분석하십시오.

탐지 탐색

BatLoader 분석

처음 공개되고 Mandiant에 의해 2022년 2월에 분석된 BatLoader는 계속해서 발전하고 있으며, 이는 사이버 보안 실무자들에게 중대한 위협을 제기합니다. 

최신 조사로 VMware Carbon Black에 의해 BatLoader 악성코드가 예상치 못한 피해자를 은밀하게 감염시키고 두 번째 단계의 페이로드를 기계에 떨어뜨릴 수 있는 수많은 정교한 기능을 활용하는 것으로 나타났습니다. 최신 BatLoader 피해자에는 비즈니스 서비스, 금융, 제조, 교육, 소매, IT 및 의료 분야의 조직이 포함됩니다. 

주로 BatLoader 운영자는 검색 엔진 최적화(SEO) 오염을 이용하여 피해자를 가짜 웹사이트로 리디렉션하여 악성 소프트웨어를 다운로드하도록 유도합니다. 예를 들어, 최신 BatLoader 캠페인 중 피해자는 LogMeIn, Zoom, TeamViewer, AnyDesk 등의 인기 소프트웨어의 가짜 다운로드 페이지로 유도되었습니다. 악성코드 운영자는 검색 엔진 결과에서 활발히 표시된 가짜 광고를 통해 이들 악성 웹 페이지로의 링크를 밀어냈습니다. 로우레벨 바이너리를 사용함으로써 캠페인을 탐지하고 차단하는 작업은 특히 공격 개발의 초기에 있어서 어려운 작업이 됩니다. 

감염 후, BatLoader는 피해자 네트워크에서 초기 발판을 얻기 위해 배치 및 PowerShell 스크립트에 의존합니다. 특히, BatLoader는 악성코드가 대상 기계가 기업용인지 개인용인지 식별하고 각 경우에 맞는 두 번째 단계의 페이로드를 제공할 수 있는 내장 로직이 있습니다. 기업 환경에서는 BatLoader가 주로 Cobalt Strike와 Syncro 원격 모니터링 및 관리 유틸리티와 같은 침입 도구를 적용하며, 악성코드가 개인용 컴퓨터에 도달하면 정보 탈취 및 은행 트로이목마 페이로드를 진행합니다.

특히, BatLoader 캠페인은 Conti 랜섬웨어, Zloader 뱅킹 트로이목마와 같은 다른 악명 높은 악성 샘플들과 몇 가지 유사성을 공유하는 것으로 관찰됩니다. Conti와의 겹침에는 Conti가 적용한 것과 같은 IP 주소를 사용하는 것과 Log4j 캠페인 및 Atera 원격 관리 툴을 사용하는 것이 포함됩니다. Zloader와는 동일한 감염 트릭을 공유하며, 주로 SEO 오염 기술, PowerShell 및 배치 스크립트, 기타 네이티브 OS 바이너리를 사용합니다.

SOC Prime 플랫폼에서 큐레이팅된 Sigma 규칙으로 악명 높은 위협들을 앞서가고 능동적으로 탐지하십시오. 현재 및 새로 등장하는 위협에 대한 탐지는 바로 사용할 수 있습니다! 더 많은 내용을 탐색하세요 https://socprime.com/.