Gh0stCringe RAT 탐지하기

[post-views]
3월 17, 2022 · 2 분 읽기
Gh0stCringe RAT 탐지하기

Gh0stCringe 악성코드: 악명 높은 Gh0st RAT의 변종

Gh0st RAT의 코드를 기반으로 한 Gh0stCringe 또는 CirenegRAT 악성코드가 다시 등장하여 보안이 취약한 Microsoft SQL 및 MySQL 데이터베이스 서버를 위협하고 있습니다. 이 원격 액세스 트로이 목마(RAT)는 2018년 12월에 처음 발견되었으며, 2020년에는 미국의 정부 및 기업 네트워크를 대상으로 한 중국 연계 사이버 스파이 활동에서 다시 나타났습니다. 새로운 악성코드는 약한 관리자 비밀번호를 사용한 데이터베이스 서버를 상대로 사용됩니다.

Gh0stCringe 악성코드 탐지

효율적인 Gh0stCringe RAT 탐지를 위해, SOC Prime Threat Bounty Program의 재능 있는 구성원이 개발한 아래 Sigma 규칙을 사용하세요. Sittikorn Sangrattanapitak, 시스템에서 의심스러운 정찰 활동을 신속히 추적하세요:

취약한 데이터베이스 서버에서 의심스러운 프로세스를 생성하는 Gh0stCringe RAT

이 탐지는 다음과 같은 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 가지고 있습니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, 그리고 AWS OpenSearch.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 주된 기법으로 Exploit Public-Facing Application (T1190)를 사용하여 초기 접근 전술을 다룹니다.

다른 가능한 시스템 손상을 탐지하려면 규칙의 전체 목록 은 SOC Prime 플랫폼의 Threat Detection Marketplace 저장소에서 확인할 수 있습니다. 사이버 보안 전문가들은 Threat Bounty 프로그램에 참여하여 큐레이팅된 Sigma 규칙을 커뮤니티와 공유하고 꾸준한 보상을 받을 수 있습니다.

탐지 보기 Threat Bounty 참여

Gh0stCringe RAT의 분석

AhnLab의 ASEC 연구원들은 쉽게 침해할 수 있는 계정 자격 증명이나 패치되지 않은 취약성을 가진 MS-SQL, MySQL 서버를 대상으로 하는 RAT 악성코드를 밝혀냈습니다. Gh0stCringe라 불리는 이 악성코드는 cineregRAT으로도 알려져 있으며, Gh0st RAT의 변종으로 그 소스 코드는 공개되었습니다.

위협 행위자들이 사용자 지정 명령을 수락하거나 도난당한 데이터를 유출하기 위해 부드럽게 C2 서버에 연결하는 Gh0stCringe RAT를 배포하는 것으로 보고되었습니다. 가장 최근의 캠페인에서 적들은 mysqld.exe, mysqld-nt.exe 및 sqlserver.exe 프로세스를 사용하여 침해된 시스템의 디스크에 악성 ‘mcsql.exe’ 실행 파일을 작성하며 데이터베이스 서버를 침해합니다.

배포 후 Gh0stCringe는 Internet Explorer 웹 브라우저를 통해 필요한 웹사이트에 액세스하고, C2 서버에서 암호화폐 채굴기 같은 페이로드를 다운로드하며, Windows 시스템 및 보안 제품 데이터를 탈취하고, 시스템의 주 부트 레코드(MBR)를 제거합니다.

Gh0stCringe RAT 배포는 감염된 시스템에서 사용자 입력을 탈취하는 키로거를 제공합니다.

조직을 이 위협이나 예측되는 사이버 위협으로부터 보호하려면, SOC Prime의 Detection as Code 플랫폼에 등록하세요. 보안 환경 내에서 최신 위협을 탐지하고 로그 소스와 MITRE ATT&CK 커버리지를 개선하여, 공격에 더욱 효율적이고 신속하게 방어할 수 있습니다.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물