탐지 콘텐츠: 가짜 PDF를 통해 드롭된 Formbook (Sysmon 동작)

Covid19 발병은 사이버 보안의 여러 사각지대를 드러냈습니다. 최신 동향에 대한 정보를 Weekly Talks, 웨비나, 관련 콘텐츠 다이제스트로 제공하여 최선을 다하고 있습니다. 그러나 정보의 홍수 속에서 인간의 호기심은 약점이 될 수 있습니다. 2016년부터 알려진 정보 유출 악성 코드인 FormBook은 Covid19 관련 정보가 포함된 PDF 파일을 전달하는 이메일 캠페인을 통해 적극적으로 배포되었습니다. FormBook 데이터 스틸러는 본격적인 은행 악성 코드의 일부 기능이 부족하지만 여전히 스크린샷을 찍고, 클립보드를 모니터링하며, 이메일 클라이언트와 브라우저에서 비밀번호를 획득하고 피해자의 네트워크 요청을 명확히 볼 수 있습니다. Command 및 Control 서버에서 명령을 수신하여 ShellExecute를 통한 명령 실행, 브라우저 기록 제거, 기계 재부팅, 호스트 시스템에서의 원격 봇 제어 등 피해자 기계의 제어권을 획득합니다.

최근 캠페인에서는 브라우저를 통해 가장 자주 확인되는 이메일이 Covid19 발병에 대한 최신 정보를 포함한 것처럼 가장하지만 실제로는 GuLoader를 전달하여 FormBook 트로이목마를 설치합니다.

Formbook Dropped Through Fake PDF (Sysmon Behavior) 규칙은 Lee Archinal, Threat Bounty Developer 프로그램,의 적극적인 참가자인 https://tdm.socprime.com/tdm/info/co0YEMTw3AYS/NufncHMBPeJ4_8xcY7Tr/

FormBook 활동을 발견하는 데 도움을 줍니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술: 실행, 방어 회피

기술: 명령줄 인터페이스 (T1059), 호스트에서의 지표 제거 (T1070), 레지스트리 수정 (T1112)

SOC Prime TDM을 시도해 보시겠습니까? 무료로 가입하세요. 또는 Threat Bounty Program에 참여하세요 자신의 콘텐츠를 제작하고 TDM 커뮤니티와 공유할 수 있습니다.