규칙 요약: CobaltStrike, APT10, 및 APT41

정기 구독을 여러분에게 소개하게 되어 기쁘게 생각합니다 규칙 다이제스트는 SOC 프라임 팀에서만 개발한 규칙으로 구성되어 있습니다. 이는 모두 APT 그룹들의 악성 활동을 찾아내는 데 도움을 주는 규칙들이므로 일종의 주제별 선택이라고 할 수 있으며, 이들 그룹은 중국 정부와 연계되어 있으며 사이버 스파이 캠페인에서 자주 사용되는 CobaltStrike 도구를 사용합니다.

하지만 규칙 다이제스트로 바로 이동하기 전에 Windows DNS 서버의 치명적인 취약점인 CVE-2020-1350 (별칭 SIGRed) 및 이의 악용을 탐지하기 위한 위협 헌팅 콘텐츠에 주의를 기울이고 싶습니다. 이에 대한 특별 규칙 다이제스트를 여기에서 읽을 수 있습니다: https://socprime.com/blog/threat-hunting-rules-to-detect-exploitation-of-cve-2020-1350-sigred/

Possible CobaltStrike PsExec 파일 이름(감사)을 통한 규칙은 CobaltStrike의 예측 가능한 의사 랜덤 서비스 명명 체계에 기반하여 CobaltStrike psexec 동작을 빠르게 식별할 수 있도록 보안 솔루션을 활성화합니다. CobaltStrike는 기본적으로 7개의 임의의 알파벳과 숫자가 결합된 실행 파일을 사용합니다(예: 28a3fe2.exe). CobaltStrike는 APT41 그룹이 자주 사용하지만, 다른 여러 위협 행위자들도 이 도구를 사용하므로 커뮤니티 규칙은 거의 모든 조직에서 유용합니다: https://tdm.socprime.com/tdm/info/1aX2L06wVHuN/W6usTnMBQAH5UgbBwjB2/?p=1

다음 다이제스트를 일주일 내에 기다려 주세요.

안전하세요!

다음 두 규칙은 APT41 그룹의 활동을 감지하기 위한 것입니다. 이 그룹은 다수의 멀웨어 군을 활용해 이 환경에 접근을 유지하며, 관찰된 캠페인에서 Mimikatz가 실패했을 때 ACEHASH 도구를 사용했습니다. ACEHASH는 Mimikatz, hashdump, Windows Credential Editor와 같은 다수의 기능들을 결합한 자격 증명 탈취 및 비밀번호 덤핑 유틸리티입니다. Possible APT41 ACEHASH 사용(명령줄) 규칙은 이전 ACEHASH 사용 사례를 암호화된 모듈로 매칭합니다: https://tdm.socprime.com/tdm/info/TZrew9P8Lrpe/XNKzTXMBPeJ4_8xc3wK_/?p=1

APT41은 환경 내에서 수평 이동하기 위해 공개적으로 사용이 가능한 유틸리티인 WMIEXEC를 자주 사용합니다. WMIEXEC는 원격 기계에서 WMI 명령을 실행할 수 있게 해 주는 도구입니다. Possible APT41 WMIEXEC 사용(명령줄)을 통해 이 행위자가 사용한 impacket의 WMIEXEC 수정 버전을 탐지합니다: https://tdm.socprime.com/tdm/info/V9r85CwVjAA8/f6eyTXMBSh4W_EKGPmgA/?p=1

그리고 마지막 두 규칙은 다른 중국 그룹 APT10 (별칭 menuPass)의 조직 네트워크 내 활동을 감지하는 데 도움을 줍니다. APT10은 2009년부터 활동해 온 중국 사이버 스파이 그룹입니다. 그들은 건설 및 엔지니어링, 항공우주 및 통신 업체, 미주, 유럽 및 일본 정부를 목표로 삼아왔습니다.

이전 캠페인에서는 공격자들이 악성 매크로를 사용해 TXT 파일을 드롭한 후, 동일한 매크로가 Windows certutil.exe를 사용하여 드롭된 파일을 디코딩하고 해당 파일의 확장자를 가진 사본을 만들기 위해 확장 가능한 스토리지 엔진 유틸리티(esentutil.exe)를 사용했습니다. Possible menuPass TTP .TXT의 비정상적인 디렉토리 기반(명령줄) 규칙은 그러한 활동을 발견하여 공격을 중지할 수 있습니다: https://tdm.socprime.com/tdm/info/8hpD13wdmRiS/zqqwTXMBQAH5UgbBJ5TR/?p=1

그리고 오늘의 마지막 규칙은 메뉴패스 행위자가 RDP를 프록시하기 위해 proxyconnect 도구를 사용할 때 이를 탐지하는 데 도움이 됩니다. 가능한 menuPass 해킹도구 proxyconnect(명령줄) 규칙은 여기에서 확인할 수 있습니다: https://tdm.socprime.com/tdm/info/lIbFaxM8Lwsc/paqxTXMBQAH5UgbBL5Vi/?p=1

규칙의 번역은 다음 플랫폼을 지원합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK 스택, RSA NetWitness, LogPoint, Humio 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행, 자격증명 액세스, 수집 

기술: 서비스 실행 (T1569), 자격증명 덤핑 (T1003), PowerShell (T1086), 데이터 배치 (T1074)