탐지 콘텐츠: APT38 멀웨어

[post-views]
6월 02, 2020 · 2 분 읽기
탐지 콘텐츠: APT38 멀웨어

최근에 우리는 탐지 규칙을 발표하여 최신 도구 중 하나를 발견했습니다. 악명 높은 APT38 그룹에 대한 것으로, Lazarus 또는 Hidden Cobra로 더 잘 알려져 있습니다. 이제 이 정교한 사이버 범죄 그룹을 발견하기 위한 콘텐츠를 계속 발표할 때입니다. 오늘의 기사에서는 SOC Prime Threat Bounty Program의 첫 번째 참가자 중 한 명이 작성한 새로운 탐지 콘텐츠 링크를 제공할 것입니다 – Lee Archinal. Lee는 Bitsran and Bistromath APT38이 최근 공격에서 사용한 악성코드를 탐지하는 두 가지 규칙을 발표했습니다.

Bistromath는 표준 시스템 관리, 제어 및 정찰를 위한 임플랜트를 사용하는 전체 기능의 RAT입니다. 초기 감염은 악성 실행 파일을 통해 수행됩니다. 네트워크 통신은 XOR을 통해 암호화되어 있습니다. 발견된 Bistromath 샘플은 여러 아티팩트 체크를 통해 일반적인 샌드박스를 우회하려고 시도합니다 (특정 장치, 레지스트리 항목, 프로세스, 파일의 존재 여부). 이 악성코드는 파일 및 프로세스 조작, 데이터 탈취, CMD 셸 사용, 스파잉, 키로깅, 브라우저 하이재킹 등을 할 수 있습니다.

Bitsran은 Hermes 2.1 랜섬웨어 급진판의 드로퍼 및 확산 컴포넌트입니다. 피해자의 네트워크에 악성 페이로드를 실행하고 확산하도록 설계되었습니다. 실행 시, 악성코드는 TEMP 위치에 자신의 복사본을 배치합니다. 그 후, 모든 프로세스를 열거하며 특정 안티바이러스 프로세스를 찾고 이들을 taskkill 명령어 도구를 사용해 종료하려고 시도합니다. 이후 Bitsran은 최종 페이로드를 추출하고 실행합니다. 추가 페이로드가 실행되는 동안, 초기 악성코드는 네트워크의 다른 기기에 자신을 복사하려고 시도합니다. 두 개의 사용자 계정이 하드코딩되어 있으며 Windows 기기의 C$ SMB 공유에 연결하는 데 사용됩니다.

APT38 Bistromath Malware (Sysmon Behavior) by Lee Archinal: https://tdm.socprime.com/tdm/info/Ao1O2R1cWwVm/8SEPW3IBjwDfaYjK3Kya/

APT38 Bitsran Malware (Sysmon Behavior) by Lee Archinal: https://tdm.socprime.com/tdm/info/BlNBeqFYdOnr/O4wNW3IB1-hfOQirkGBq/

규칙에는 다음 플랫폼에 대한 번역이 포함되어 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

전략: 실행, 지속성, 권한 상승

기법: 레지스트리 실행 키 / 시작 폴더 (T1060), 예약된 작업 (T1053)

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물