이노 스틸러 탐지: OS 업데이트로 위장한 새로운 정보탈취 프로그램

해커들이 Google 검색 결과에 침투하여 Windows OS 업데이트가 포함된 합법적인 Microsoft 페이지를 모방한 가짜 웹사이트로 트래픽을 유도하고 있습니다. 구체적으로는 adversaries가 “windows11-upgrade11[.]com” 도메인을 사용하여 Windows 11 업데이트 패키지로 위장된 정보 탈취 악성 소프트웨어를 호스팅하고 확산시키고 있습니다.

속임수에 넘어간 사용자들은 가짜 업데이트를 다운로드하고, 실제로는 Inno Stealer라는 정보 탈취 악성코드의 실행 파일이 포함된 ISO 파일을 얻습니다.

이 악성 소프트웨어의 “자랑스러운 소유자”가 되기 위한 주요 요구 조건은 피해자의 머신이 TPM(신뢰할 수 있는 플랫폼 모듈)의 버전 2.0을 실행할 수 있는 능력입니다.

Inno Stealer 악성코드 탐지

아래의 Sigma 기반 규칙은 귀하의 환경 내에서 Inno Stealer 악성코드를 신속하고 쉽게 탐지할 수 있게 해줍니다. 이 규칙은 총명한 보안 엔지니어 Osman Demir:

Windows 11 업그레이드 설치 프로그램으로 위장한 정보 탈취 악성코드의 의심스러운 방어 회피(via process_creation)

탐지는 다음과 같은 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 포함합니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, Carbon Black, ArcSight, QRadar, Devo, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Open Distro, Securonix.

이 규칙은 MITRE ATT&CK® 프레임워크 v.10에 맞춰, 파일 및 디렉터리 권한 수정(T1222)을 주요 기법으로 하여 방어 회피 전술을 다루고 있습니다.

신흥 위협에 대한 정보를 잘 알기 위해 SOC Prime Platform의 Threat Detection Marketplace 리포지토리에서 탐지 콘텐츠 업데이트를 팔로우 하십시오 – Detections 보기 버튼은 25개 이상의 SIEM, EDR, XDR 솔루션으로 번역된 방대한 규칙 라이브러리로 안내할 것입니다. 경력자와 초보자 모두 SOC Prime의 Threat Bounty Program에 참여하여 Sigma 기반 콘텐츠를 공유하고 전문적인 지도를 받고 안정적인 수입을 얻을 수 있습니다.

탐지 보기 Threat Bounty 참여

Inno Stealer 분석

Inno Stealer는 델파이로 작성된 다단계 공격 도구로, 정교한 감염 체인을 통해 피해자의 기기를 감염시킵니다. 이 악성코드는 Windows 11 설치 라는 드롭퍼에 의해 전달되며, 사용자들이 이 캠페인을 위해 설정된 스캠 웹사이트에서 속여서 다운로드하게 됩니다. 피해자가 해당 파일을 열면 감염된 디스크에 임시 파일(.tmp)이 배치됩니다. 지속성을 유지하기 위해, 정보 탈취 악성코드는 시스템 재부팅 후 시작할 수 있도록 프로그래밍되어 있으며, 최대한 숨겨진 상태로 접근 권한을 구성합니다. 소프트웨어는 CreateProcess Windows API를 사용하여 네 개의 파일을 생성합니다. 네 개 중 두 개의 파일은 Windows Defender를 종료합니다. 다른 파일은 최대 수준의 로컬 권한을 가진 명령 도구입니다. 네 번째 파일은 명령 도구의 기능을 활성화하는 스크립트를 포함하고 있습니다. .scr 확장자로 패킹된 파일은 Inno Setup의 마지막에 C: 디렉터리에 덤프됩니다. 연구자들에 따르면 Windows는 .scr 파일을 실행 파일로 간주하여 페이로드를 풀게 됩니다.

언패킹이 성공적으로 완료되면 PowerShell이 사용자의 Temp 디렉터리로 데이터를 전송한 다음 공격자의 C2로 전송합니다.

Inno Stealer 악성코드 운영자는 합법적인 Inno Setup Windows 설치 프로그램을 사용했습니다 – 그래서 이 악성코드의 이름이 그렇습니다.

According to the 연구자들에 따르면, 이 새로운 정보 탈취 악성코드는 다른 현재 유통 중인 유형의 악성코드와 전혀 닮지 않았습니다. of this type currently in circulation.

새로운 탐지 콘텐츠를 발견하고 위협 사냥 실무를 새롭게 발전시키시겠습니까? 탐지 콘텐츠의 광대한 라이브러리를 둘러보고 즉시 최신 위협을 찾아냅니다 – 무료로 등록하세요. 또는 Threat Bounty Program에 참여하세요 자신만의 콘텐츠를 제작하여 사이버 보안 커뮤니티와 공유하십시오.