콜리브리 로더 악성코드 탐지: PowerShell을 이용한 이례적인 지속성

2021년 8월에 등장한 지 얼마 되지 않은 멀웨어 로더 Colibri가 최근 배포되고 있다는 사실이 발견되었습니다. Vidar 폐로드를 새로운 진행 중인 Colibri 로더 캠페인에서 전달하고 있습니다. 연구원들은 Colibri가 이 시점까지 추적되지 않은 특이한 지속성 기법을 사용한다고 주장합니다. 업데이트된 기능은 상대방이 그들의 새로운 멀웨어 제작물을 다른 사이버 범죄자들에게 계속 판매하도록 자극합니다. 이들은 지속성과 유지에 있어 비전통적이고 탐지하기 어려운 방법을 찾습니다. that Colibri uses an unusual persistence technique that hasn’t been tracked until this time. Updated functionality motivates adversaries to keep selling their new malware creation to other cybercriminals who seek unconventional and hard-to-detect ways of establishing and maintaining persistence.

Colibri 로더의 경로 및 이 최신 멀웨어 버전을 위해 특별히 제작된 우리의 새로운 탐지 콘텐츠를 알아보려면 계속 읽어보세요.

Colibri 로더 캠페인: 탐지 방법

최신 Sigma 기반 규칙을 사용하여 Colibri 로더 멀웨어를 탐지해보세요. 이 규칙은 Kaan Yeniyol 개발자가 만든 위협 현상금 에서 제공됩니다. 이 규칙은 위협 행위자들이 사용하는 최신 지속성 방법을 탐지하고 MITRE ATT&CK의 Scheduled Task/Job (T1053) 기술을 다루는 것을 목표로 합니다.® 프레임워크.

보안 경유 Scheduled Task를 생성하는 PowerShell에 의한 의심스러운 Colibri 로더 지속성

Colibri 로더 및 유사한 공격과 관련된 멀웨어에 대한 최신 탐지를 추적하기 위해 고급 검색 기능을 사용할 수 있습니다. “탐지 보기” 버튼을 클릭하고 계정에 로그인하여 원하는 방식으로 검색 기준을 맞춤화하세요. 위협 탐지 및 위협 사냥의 전문 전문가라면 글로벌 크라우드소싱 이니셔티브에 참여하고 귀하의 탐지 규칙을 만들어 수익화할 수 있습니다.

탐지 보기 위협 현상금 참여

Colibri 로더 멀웨어 분석

지난 여름에 만들어진 Colibri 로더의 초기 버전은 트로이화된 파일을 통해 자기 수정 코드를 포함한 EXE 파일을 배포했습니다. 진행 중인 캠페인에서는 공격 체인은 감염된 Word 문서로 시작되어 Colibri 봇의 작동을 시작하고 특이한 지속성 전술을 설정합니다. 한편, Vidar Stealer는 피해자 컴퓨터에서 나머지 악성 임무를 수행합니다.

이전 캠페인은 /gate.php 파일을 다운로드하여 C2 서버와 연결을 구축한 후 HttpSendRequestW 함수를 호출하여 HTTP GET 요청을 전송했습니다. 새 변종의 Colibri 로더 폐로드에서는 원격 템플릿 주입을 시작함으로써 공격이 시작됩니다. 감염된 문서는 악성 매크로에 접속하기 위해 DOT 템플릿을 다운로드하려고 원격 서버와 통신합니다. 후자는 차례로 PowerShell을 사용하여 최종 Colibri 폐로드를 포함한 EXE 파일을 다운로드합니다.

이 캠페인에서 PowerShell 악용에 관한 문제는 감염된 기기의 지속성을 유지하기 위해 상당히 독특한 방식으로 사용된다는 점입니다. Colibri 로더는 다른 Windows 버전에 대한 지속성을 허용하는 다양한 버전의 실행 파일을 가지고 있음을 언급할 가치가 있습니다: 하나는 10 및 11용이며, 다른 하나는 오래된 버전(Windows 7 및 8)용입니다. 이러한 파일을 드랍하기 위한 위치도 다양합니다. 그러나 대체로 이러한 악성 파일들은 정규 PowerShell의 cmdlet으로 위장하여 실행됩니다. 예를 들어, WindowsApps 디렉토리(공식적인 PowerShell 실행 경로)에 드랍된 Get-Variable.exe라는 악성 파일은 일반적으로 PowerShell에서 사용되는 유사한 Get-Variable cmdlet과 동일합니다. 그 결과, 정규 명령 대신 악성 이진 파일이 실행됩니다.

연구원들은 또한 Colibri에 의해 활용된 이 최신 공격 벡터의 특정 새로운 기능으로 추측되는 숨겨진 창에서의 PowerShell 실행을 주목했습니다. 이것이 새로운 것이고 보안 분석가들이 아직 충분히 연구하지 않았다는 사실이 다크 사이버 시장의 Colibri 로더 인기를 촉진합니다. 상대방을 이기기 위해 지속적으로 사이버 보안 방어를 조정하는 것은 어려워 보일 수 있지만, 협력적 방어의 이점을 활용한다면 더 효율적일 수 있습니다. SOC Prime의 탐지 코드 플랫폼에 참여하여 최신 위협을 견디기 위해 지속적으로 업데이트되는 탐지 콘텐츠의 글로벌 풀에 즉시 액세스하세요. SOC Prime의 탐지 코드 플랫폼 에 참여하여 최신 위협을 견디도록 지속적으로 업데이트되는 탐지 콘텐츠의 글로벌 풀에 즉시 액세스하세요.