DogWalk 취약점 탐지: Microsoft Windows의 새로운 경로 이동 결함

Microsoft 진단 도구(MSDT)의 또 다른 제로데이 보안 결함, DogWalk으로 불리는 이번 취약점은, 원격 코드 실행 취약점인 그 전의 결점이 활발히 악용된 이후 빠르게 나타났습니다. Follina, 다음과 같이 추적되었습니다. CVE-2022-30190. Follina의 경우와 마찬가지로, MSDT에 영향을 미치는 중요한 보안 문제에서 Microsoft 해결사는 처음 문제를 접했을 때 버그를 무시했습니다. 작성 시점에서 이 결함에 할당된 CVE는 아직 없습니다.

비공식 패치가 막 출시되었으며, 이제 0patch 플랫폼을 통해 사용할 수 있습니다.

DogWalk 취약점 탐지

SOC Prime의 전담 위협 사냥 엔지니어 팀은 Sigma 규칙 을(를) 발표하여 DogWalk 보안 허점을 통해 시스템이 손상되었는지 식별하는데 도움을 줍니다. 이 규칙은 공격자가 .diagcab 파일을 이용해 피해자의 시스템 디스크에 추가 파일을 떨어뜨렸는지 탐지하는 데 도움을 줍니다. 사용자 실행:

diagcab 파일을 사용한 ‘DogWalk’ 이용 가능 실행 (file_event 경유)

이 규칙들은 최신 MITRE ATT&CK® 프레임워크 v.10. 실행 전술 및 사용자 실행(T1204; T1204.002) 기술을 다룹니다.

이 탐지는 다음과 같은 업계 선두의 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 제공합니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro 및 AWS OpenSearch.

다른 시스템 손상 가능성을 탐지하려면, SOC Prime 플랫폼의 위협 탐지 마켓플레이스 저장소에서 사용할 수 있는 전체 규칙 목록을 확인하세요. 탐지 및 탐색 버튼을 누르세요. 그러나 이러한 규칙은 등록된 사용자만 사용할 수 있다는 점에 유의하세요.

플랫폼 계정이 없는 SOC 전문가는 Cyber Threat Search Engine을 통해 제공되는 Sigma 규칙 모음을 탐색할 수 있습니다. 무료 SOC 콘텐츠를 위한 원스톱 샵에 액세스하려면 위협 맥락 탐색 버튼을 누르세요, 아무 조건 없이.

탐지 및 탐색 위협 맥락 탐색

DogWalk 분석

MSDT에서 DogWalk으로 불리며 처음으로 문서화된 Microsoft Windows의 제로데이 취약점은 독립 보안 연구원인 Imre Rad 에 의해 2020년에 처음 문서화되었으나, 당시 Microsoft는 이를 무시했습니다. Rad는 Microsoft의 응답을 공유했는데, 그들은 이 문제를 취약점으로 간주하지 않기로 하여 이를 수정하는 것을 거부했습니다.

이 패스 탐색 결함은 닉네임으로 알려진 보안 연구원이 2022년 5월 말~6월 초 다시 주목했습니다. j00sean.

이 킬 체인에는 악성 .diagcab 아카이브 파일을 이메일로 수신하거나 사용자가 자발적으로 다운로드하여, 목표물에 감염시키는 과정이 포함됩니다. 무기화된 파일은 적절한 보안 응답을 유발하지 않으며(주요 브라우저가 이를 의심스럽고 잠재적으로 위험한 것으로 표시하지 않음) 열리면 Windows 시작 폴더에 페이로드를 드롭하며, 다음 로그인 시 OS에 의해 실행됩니다.

Windows 7 OS 이상을 실행하는 장치는 이 익스플로잇에 취약한 상태로 남아 있습니다.

위협 사냥 역량을 향상시키려면, 위협 보상 프로그램 에 가입하여, 연구자가 자신의 콘텐츠를 수익화하는 유일한 위협 탐지 마켓플레이스에 대한 전체 액세스를 받으세요. 25개 이상의 선도적인 시장 SIEM, EDR 및 XDR 기술에 맞춘 크로스 벤더 및 크로스 툴 탐지 콘텐츠 항목으로 보안 아스널을 향상하세요.