NIGHT SPIDER Zloader 탐지: SOC Prime로 악성 트로이 목마 활동 방어하기
목차:
NIGHT SPIDER의 Zloader 트로이 목마는 지난 몇 달간 다양한 산업의 수많은 기업에 대한 침입 캠페인을 전세계적으로 조용히 운영해 왔습니다.
악성 소프트웨어를 설치하는 주요 방법은 정품 소프트웨어 내에 숨겨져 있었습니다. 초기 접근을 활용하기 위해 공격자들은 번들 .msi 설치 프로그램을 사용했습니다. 페이로드는 정찰을 목표로 했습니다. 알려진 기법을 사용했음에도 불구하고, 악성 스크립트의 보다 정밀한 기술 사양이 새롭게 갱신되었습니다. SOC Prime의 콘텐츠 개발자들은 새로운 악성코드 변종을 즉시 연구했습니다 NIGHT SPIDER에 의해 개발된 탐지 규칙을 만들어 adversaries의 활동을 가능한 한 빨리 식별했습니다.
NIGHT SPIDER Zloader 캠페인
우리의 Threat Bounty 개발자 Sittikorn Sangrattanapitak 가 제공한 새로운 Sigma 기반 규칙은 2022년 3월 Zloader 캠페인 동안 공격자의 행동 패턴이었던 레지스트리 값을 조작하려는 adminpriv.exe 유틸리티 사용을 위한 의심스러운 NIGHT SPIDER 활동을 탐지합니다.
NIGHT SPIDER Zloader 캠페인 use adminpriv 레지스트리 값 조작 (프로세스 생성 통해)
이 탐지는 다음과 같은 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 포함하고 있습니다: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
NIGHT SPIDER Zloader 캠페인 use adminpriv 레지스트리 값 조작 (프로세스 생성 통해)
이 탐지는 다음과 같은 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 포함하고 있습니다: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
규칙은 Command and Scripting Interpreter 기법을 다루는 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰져 있습니다.
또한, 당신은 현재 SOC Prime 플랫폼에서 제공되는 Zloader Trojan 탐지를 목표로 하는 전체 규칙 목록 을 확인할 수 있습니다. 이 문제에 대한 충분한 전문 지식을 가지고 있다고 느끼십니까? 그렇다면 Threat Bounty Program의 글로벌 사이버 전문가 커뮤니티에 귀하의 탐지 콘텐츠를 공유하고 반복적인 보상을 받을 수 있습니다.
NIGHT SPIDER Zloader 분석
의하면 CrowdStrike 조사에 따르면 NIGHT SPIDER의 Zloader 트로이 목마를 실행하기 위해,초기 악성코드 설치 프로그램은 Zoom, TeamViewer, JavaPlugin 또는 Brave 브라우저와 같은 널리 사용되는 소프트웨어의 합법적인 해시를 사용하는 것처럼 위장했습니다. 이 설치 프로그램들이 실행되면, Zloader 트로이 목마를 통해 자동화된 정찰 페이로드를 다운로드하며, 여러 경우에 Cobalt Strike도 사용됩니다.
PowerShell 명령은 wscript 유틸리티에 의해 NIGHT SPIDER의 페이로드를 원격으로 다운로드하는 데 사용되었습니다. 이러한 스크립트는 또한 PowerShell을 사용하여 Microsoft의 AntiMalware Scan Interface와 Windows Defender를 회피했습니다. 그 후, adminpriv 유틸리티가 공격자가 레지스트리 값을 변경하는 데 도움을 줬습니다. 페이로드는 정품 소프트웨어의 해시 값을 활용하여 해독되었습니다.
조직들은 NIGHT SPIDER의 Zloader 트로이 목마 및 이와 유사한 위협을 가능한 한 빨리 탐지하여 시스템 및 네트워크에 대한 심각한 손상을 피하려고 노력하고 있습니다. 협력적인 사이버 방어는 연구 및 개발에 과도한 시간과 자원을 들이지 않으면서 최신 탐지 콘텐츠를 파악하고자 하는 SOC 팀에게 가장 신속하고 효율적인 옵션입니다. 탐색하십시오. SOC Prime의 Detection as Code 플랫폼은 20개 이상의 벤더-별 SIEM, EDR 및 XDR 형식으로 번역된 고품질 SIGMA 규칙과 함께 액세스할 수 있습니다. 정확하고 시기적절한 탐지는 효율적인 SOC 24/7/365를 조직하는 데 중요하며 엔지니어가 더 고급 작업을 수행할 수 있도록 합니다.