IceRAT 멀웨어 탐지: 나를 잡아봐

[post-views]
12월 24, 2020 · 2 분 읽기
IceRAT 멀웨어 탐지: 나를 잡아봐

IceRAT은 악성 도구 분야에서 상대적으로 새로운 도구로, 그 기능과 전례 없는 회피 전술에서 독특한 종류입니다. 주목할 만하게도, 이 위협은 탐지 비율이 매우 낮아 표적이 된 기계에서 민감한 데이터와 금융 자산을 도용할 수 있는 은밀한 멀웨어로 작용합니다.

IceRAT 멀웨어란 무엇인가요?

그 이름과 달리 IceRAT은 원격 접근 트로이 목마보다는 백도어에 가깝습니다. 주된 기능은 연결된 감염과 추가 멀웨어 다운로드에 중점을 두고 있으며, 전통적인 RAT 기능(예: 명령 실행)은 없습니다. 2020년 1월에 발견된 이후, IceRAT은 다양한 정보 탈취기, 암호화 마이너, 키로거, 클리퍼 등으로 성공적으로 피해자를 감염시켰습니다. 특히, 이 멀웨어는 주로 스팸 캠페인과 트로이 목마화된 ‘크래커’를 통해 배포됩니다. 예를 들어, 최초로 탐지된 IceRAT 버전은 CryptoTab 브라우저용 트로이 목마화된 소프트웨어 다운로드를 포함한 악성 문서를 통해 피해자를 감염시켰습니다. IceRAT의 호스트와 C2 서버 hxxp://malina1306.zzz(.)com.ua는 키릴문자로 된 웹사이트에 위치해 있어 IceRAT 개발자가 동유럽이나 러시아 출신일 가능성을 시사합니다. IceRAT은 표적 장치에 대한 완전한 원격 제어 기능을 제공할 수 없지만 심각한 장치 손상, 금융 및 데이터 손실, 프라이버시 문제와 신원 도용을 초래할 수 있는 매우 위험한 소프트웨어로 간주되어야 합니다.

IceRAT 백도어 회피 전술

IceRAT 심층 분석 에 따르면 JPHP로 작성된 최초의 멀웨어로, Java VM에서 실행되는 PHP 구현 언어입니다. 결과적으로 IceRAT은 .phb 파일에 의존하며 전통적인 Java .class 파일 대신 이를 사용합니다. 이런 특징 덕분에 .php 파일이 일반적으로 AV 엔진에서 지원되지 않기 때문에 VirusTotal에서 탐지율이 매우 낮습니다. 성공적인 회피에 기여하는 또 다른 비범한 기능은 IceRAT의 아키텍처입니다. 구현이 매우 분산되어 모든 기능이 하나의 파일에 들어가지 않도록 설계되었습니다. 특히, IceRAT 멀웨어는 각 신호 기능을 별도로 실행하도록 지정된 여러 파일을 사용합니다. 그러므로 다운로더 구성요소가 발견되더라도, 악성 내용이 없기 때문에 무해한 것으로 간주될 수 있습니다.

IceRAT 공격 탐지

IceRAT 멀웨어에 적용된 독특한 회피 기법은 악성 활동을 제때 탐지하는 것을 까다롭게 만듭니다. 우리의 위협 보상 프로그램 개발자 Osman Demir 가 사전 방어를 위한 위협 사냥 규칙을 제공했습니다:

https://tdm.socprime.com/tdm/info/SkTSU9lyAHTA/jkLNiXYBmo5uvpkj4Mhr/

이 규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, ELK Stack, QRadar, Splunk, Sumo Logic, Humio, Graylog, LogPoint, RSA NetWitness

MITRE ATT&CK:

전술: 탐색, 지속성, 실행

기술: 프로세스 탐색 (T1057), 레지스트리 실행 키 / 시작 폴더 (T1060), Windows 관리 도구 (T1047)

가입하여 위협 탐지 마켓플레이스 에서 보다 발전된 방어 콘텐츠에 접근하세요. 위협 사냥 이니셔티브에 기여할 준비가 되었나요? 참여하세요 위협 보상 프로그램 을 통해 SOC 콘텐츠 라이브러리를 풍부하게 하고 위협 탐지 마켓플레이스 커뮤니티와 공유하세요.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물