QualysGuard 정책 컴플라이언스를 사용한 APT BlackEnergy 트로잔 탐지

[post-views]
11월 24, 2015 · 4 분 읽기
QualysGuard 정책 컴플라이언스를 사용한 APT BlackEnergy 트로잔 탐지

안녕하세요, 오늘 우리는 새로운 버전의 탐지 방법에 대해 이야기할 것입니다 BlackEnergy (4.0?) QualysGuard Policy Compliance 모듈을 사용하여.

우리의 연구 및 나중에 발표될 몇몇 다른 보고서에 따르면, 우리는 침해 지표로 알려진 공격의 일반적인 징후를 발견했고 앞서 언급한 모듈을 사용하여 이를 테스트할 수 있었습니다.IOC는 감염된 시스템의 행동 분석과 각 공격이 개별적으로 구성되었다는 사실에 기반하여 나뉘었습니다. IOC는 다음 기준에 따라 5개의 그룹으로 나뉩니다:

  • 그룹 1 – 의심스러운 행동 – 추가 수동 테스트가 필요합니다 (오탐을 유발한 올바른 샘플 파일에 감사드립니다 – 우리는 제어를 확장하고 오탐의 수를 줄일 수 있을 것입니다. 이메일로 보내주세요.)
  • 그룹 2 – 감염이 확인됨;
  • 그룹 3 – 침해 가능성이 매우 높음
  • 그룹 4 – 침해 가능성이 매우 높음
  • 그룹 5 – 침해 가능성이 높음

그룹 3, 4, 5에서 두 개 이상의 제어가 존재하는 것은 시스템 침해의 증거라고 할 수 있습니다. 우리는 어떤 파일과 시스템 설정이 변경되었는지를 확인했으며, 이 분석을 기반으로 Qualys Policy Compliance용 사용자 정의 제어 (UDC)를 만들었습니다.

제어는 5개의 그룹으로 나눌 수 있습니다:

  • 첫 번째 그룹에는 참조 값과의 일치 여부를 확인하는 특정 파일 해시를 검사하는 제어가 포함됩니다;
  • 두 번째 그룹의 제어는 알려진 악성코드 해시에 대한 파일을 검사합니다;
  • 세 번째 그룹은 일반적인 위치가 아닌 곳에서 svchost.exe 파일을 찾습니다;
  • 네 번째 그룹의 제어는 알려진 비참조 레지스트리 설정의 존재를 확인합니다;
  • 다섯 번째 그룹은 감염을 나타낼 수 있는 알려진 서비스의 시작 매개변수를 확인합니다.
  • 각 그룹의 제어 검사의 결과를 자세히 살펴보겠습니다.
  • 에서 불일치를 발견하면 그룹 1, 파일 서명을 다시 확인하거나 존재 여부를 확인해야 합니다.

악성코드의 acpipme.sys 서명은 다음과 같습니다:QualysGuard_1참조 파일에는 보통 서명이 없습니다 acpipmi.sys:

QualysGuard_2다른 참조 파일에는 다음과 같은 서명이 있습니다:QualysGuard_3그리고 이것은 자가 서명된 인증서를 가진 BE 백도어가 있는 일반적인 드라이버입니다:

QualysGuard_4또한 불일치 또는 불일치에 대해 파일 세부 정보 설명에 주의를 기울이세요. 예를 들어, 왼쪽의 감염된 파일과 오른쪽의 참조를 스크린샷으로 확인할 수 있습니다:QualysGuard_5여기 또 다른 비교가 있습니다. 감염된 파일은 왼쪽에 있고 참조는 오른쪽에 있습니다QualysGuard_6

  • 에서 불일치를 발견하면 그룹 2, BlackEnergy 드로퍼의 알려진 샘플 중 하나가 있습니다.
  • 파일 위치에서 불일치를 발견하면 그룹 3, 시스템이 공격을 받고 있을 가능성이 높으며 우리의 권장 사항을 따라야 합니다.
  • 문제의 레지스트리 키를 찾으면 (그룹 4), 시스템이 감염되었을 가능성이 높으며, 긴급한 대응 조치가 필요합니다.
  • 정책의 비준수 여부를 발견하면 그룹 5, 시스템 관리자와의 상의를 통해 서비스의 비정상적인 동작 원인을 확인해야 합니다.

의심되는 시스템 (모든 Windows 기계가 될 수 있습니다)을 분석하기 위해 기사 말미에 나열된 제어를 다운로드하고, 정책을 생성한 후 QualysGuard Policy Compliance. 지침을 단계별로 따르세요:

  1. 문서에 사용자 정의 제어 (UDC)로 명명된 CID를 가져옵니다.QualysGuard_7
    새로운 제어가 제어 목록에 추가되며, 번호가 순차적으로 진행됩니다. 이를 보려면 CID 목록을 열 별로 정렬할 수 있습니다. 생성됨.
  2. 이전에 가져온 CID를 포함하는 정책을 만듭니다.
  3. 스크린샷에 표시된 대로 스캔 프로필 설정을 구성하세요.QualysGuard_8
  4. 전체 인프라를 빠르게 스캔하려면 정책에 의한 스캔 을 선택하여 관련 테스트만 수행할 수 있으며, 이는 스캔 속도를 크게 향상시킵니다. 그러나 스캔 결과에서 다른 보고서를 만드는 것은 불가능하다는 점을 항상 기억하세요. 이러한 경우 전체 스캔을 수행하는 것이 좋으며, 정상적인 네트워크 부하에서 각 호스트당 약 5분이 소요되고 스캐너 멀티 스레딩은 고려하지 않으며. QualysGuard_9
  5. 보고서 템플릿을 작성할 때는 보고서에서 파일 크기를 확인하려면 이 상자를 확인해야 합니다.QualysGuard_10
  6. 보고서를 볼 때 해시 일치뿐만 아니라 파일 크기와 위에서 언급한 모든 제어 사항도 주의하세요.QualysGuard_11파일 크기가 25 KB를 초과하거나 일부 파일의 경우 150 KB를 초과하면 우려할 만한 이유가 됩니다.

의견을 보내주시면 감사하겠습니다 피드백, 행운을 빕니다!

자신을 돌보세요.P.S. 아래 zip 아카이브에서 언급된 모든 UDC를 다운로드 할 수 있습니다. Trial QualysGuard Policy Compliance 계정을 요청할 수 있습니다 여기에서.

그룹 1그룹 2그룹 3그룹 4그룹 5
SPID_0004_QUALYS_ adpu320_Correct.xml 제어가 표준 해시 값을 검사합니다.SPID_0003_QUALYS_acpipmi_Correct.xml 제어가 표준 해시 값을 검사합니다.SPID_0007_QUALYS_aliide_Correct.xml 제어가 표준 해시 값을 검사합니다.SPID_0010_QUALYS_amdide_Correct.xml 제어가 표준 해시 값을 검사합니다.

SPID_0006_QUALYS_aliide_Compromised.xml 제어가 파일의 해시를 검사하며, 사용 가능한 악성코드의 두 가지 해시를 사용하고 파일 크기도 확인할 수 있습니다.SPID_0009_QUALYS_amdide_Compromised.xml 제어가 파일의 해시를 검사하며, 사용 가능한 악성코드의 두 가지 해시를 사용하고 파일 크기도 확인할 수 있습니다.SPID_0004_QUALYS_adpu320_Compromised.xml 제어가 파일의 해시를 검사하며, 사용 가능한 악성코드의 두 가지 해시를 사용하고 파일 크기도 확인할 수 있습니다.SPID_0002_QUALYS_acpipmi_Compromised.xml 제어가 파일의 해시를 검사하며, 사용 가능한 악성코드의 두 가지 해시를 사용하고 파일 크기도 확인할 수 있습니다.

SPID_0012_QUALYS_svchost_Location.xml 제어가 svchost.exe 파일을 잘못된 위치에서 찾습니다.

SPID_0001_QUALYS_ Registry_IOC_MicrosoftSecurity.xml 제어가 의심스러운 레지스트리 키를 검사합니다.

SPID_0008_QUALYS_aliideStart.xml 서비스의 상태와 기본적으로 실행되는지 여부를 확인합니다.SPID_0011_QUALYS_amdideStart.xml 서비스의 상태와 기본적으로 실행되는지 여부를 확인합니다.

zip-iconQualys_Controls_BlackEnergy

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기