Serpent 백도어 탐지: 프랑스 기관에 침투한 새로운 교묘한 악성코드

프랑스의 정부 및 건설 기관을 공격하는 새로운 표적형 악성코드가 관찰되었습니다. Proofpoint는 광범위한 조사를 수행했습니다. 에 대한 Serpent이라 명명된 악성코드. 

Serpent 백도어 분석 결과, 적들이 전에 감지된 적 없는 몇 가지 비정상적인 행동을 사용하고 있다는 것이 밝혀졌습니다. 이는 이러한 새로운 방어 회피 기술을 구체적으로 포착하는 새로운 탐지 콘텐츠를 제작해야 한다는 것을 의미합니다. Serpent 백도어 악성코드를 탐지하는 새로운 접근 방법을 확인하고 새로운 위협에 앞서 나가십시오.

Serpent 백도어 탐지: 의심스러운 활동 식별 방법

이 규칙은 Threat Bounty 개발자인 Emir Erdogan 이 작성하였으며, 페이로드가 PE를 호출하기 위해 일회성 작업을 생성하고, 이벤트를 생성하여 트리거하고, 작업을 삭제할 때 의심스러운 행동을 감지합니다.

SOC Prime 계정에 로그인하면 (또는 계정이 없으면 새로 만들어서), Sigma 및 공급업체별 형식 코드와 관련된 정보 데이터를 액세스할 수 있습니다. Serpent으로 추적된 백도어.

예약된 작업을 이용한 Bypass 방식으로 의심스러운 Serpent 백도어 방어 회피

이 규칙은 다음 SIEM, EDR 및 XDR 형식으로 번역됩니다: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, CrowdStrike, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰 조정되었으며, 주요 기술로 서명된 바이너리 프록시 실행을 다룹니다.

아래 버튼을 눌러 Detection as Code 플랫폼에서 수천 개의 가치 있는 탐지 규칙에 액세스하세요. 또한, 경험 있는 사이버 연구자나 탐지 엔지니어라면, Threat Bounty Program에 콘텐츠를 제출하여 귀중한 통찰력을 공유하고 금전적 격려를 받을 수 있습니다.

탐지 보기 Threat Bounty에 참여

Serpent 은밀한 공격 체인

공격의 첫 번째 단계에서는 매크로가 포함된 Microsoft Word 문서를 spear-phishing 이메일을 통해 전달하고, 이 문서에는 Chocolatey Windows 패키지 관리자가 포함되어 있으며 그 안에 악성 페이로드가 숨겨져 있습니다. 일부 VBA 매크로는 ASCII 코딩을 사용하여 뱀을 묘사하고 있어서 연구자들은 이 백도어를 Serpent라고 부릅니다.

해당 Microsoft Word 파일은 GDPR 문서로 가장하여, 피해자들은 거의 의심하지 않습니다. 매크로 실행은 스테가노그래피를 사용하여 위장한 base64 PowerShell 스크립트를 포함하는 이미지 URL로 이어집니다.

Chocolatey 패키지 설치 프로그램은 이전에 공격 체인 실행에서 관찰되지 않은 새로운 방법입니다. 이는 개별 ZIP 아카이브, 스크립트, 설치 프로그램 및 EXE 파일로부터 패키지를 컴파일하는 Windows의 합법적인 자동화 도구입니다. 공격자들은 Chocolatey를 사용하여 Serpent 악성코드를 다운로드하고 사용자의 장치에 설치합니다. 이 악성코드는 원격 관리, C&C 서버 접근, 데이터 절도, 기타 페이로드 설치를 가능하게 합니다.

다음 단계에서는, Chocolatey가 Serpent 백도어가 시스템을 원격으로 제어할 수 있도록 여러 Python 종속성을 설치합니다. 예를 들어, pip Python 패키지 설치 프로그램은 PySocks 프록시 클라이언트를 설치하고, 이미지 URL을 통해 또 다른 스테가노그래피 숨겨진 스크립트를 수신하여, 이 스크립트를 실행하면 BAT 파일을 생성하고, 이는 또한 Python 스크립트를 실행합니다.. For example, a pip Python package installer installs PySocks proxy client, receives another steganography-hidden script via an image URL, which upon execution creates a BAT file, which also executes a Python script.

Proofpoint 연구원들은 이 공격의 목표를 구체적으로 언급하지 않았지만, 여러 독특한 행동의 증거가 고급 표적 공격을 나타낸다고 언급했습니다.

이러한 사이버 공격이 점점 더 정교해짐에 따라 개별 조직이 단독으로 이 싸움을 지속하기 어려워지고 있습니다. 실행 가능한 솔루션은 협력적 방어 접근법의 이점을 활용하여 SOC Prime의 Detection as Code 플랫폼에 참여하는 것입니다.