SmokeLoader 탐지: 소프트웨어 크랙을 통해 Amadey 봇 멀웨어 배포

Amadey Bot은 2018년 처음 사이버 위협 분야에 등장한 악명 높은 악성코드로, 데이터를 훔치고 감염된 시스템에 다른 악성 페이로드를 배포할 수 있습니다. 이 악성코드는 해커 포럼에서 공격 작전에 참여하기 위해 활발히 배포되고 있습니다. 최근 사이버 보안 연구자들은 Amadey Bot 악성코드의 새로운 버전이 SmokeLoader를 통해 소프트웨어 크랙 및 키 생성 유틸리티를 유인으로 사용하는 악의적인 캠페인을 통해 배포되는 것을 관찰했습니다.

SmokeLoader를 통해 최근 캠페인에서 AmadeyBot 배포 감지

점점 더 많은 공격 볼륨과 빠르게 진화하는 위협 벡터에 직면하여, 사이버 보안 전문가들은 조직의 방어력을 적극적으로 강화할 수 있는 새로운 방법을 모색하고 있습니다. SOC Prime의 Detection as Code 플랫폼은 Sigma 규칙 세트를 큐레이션하여, 최신 적대적 캠페인에서 Smoke Loader를 통해 설치된 Amadey Bot의 새로운 버전에 효과적으로 대응하도록 전 세계 조직을 돕습니다. 

모든 전용 Sigma 규칙은 업계를 선도하는 SIEM, EDR, XDR 솔루션으로 변환 가능하며, MITRE ATT&CK® 프레임워크 와 함께 관련 위협에 대한 포괄적인 가시성을 보장합니다. 아래 링크를 따라가서 위협 현상금 프로그램의 활발한 콘텐츠 기여자와 참가자가 제작한 이러한 큐레이션된 탐지를 얻으십시오, Aykut Gurses, Nattatorn Chuensangarun, 및 Aytek Aytemur:

SmokeLoader Malware 의심스러운 지속성 활동 (cmdline을 통해)

Aykut Gurses가 개발한 이 위협 헌팅 쿼리는 소프트웨어 크랙이나 키젠 웹사이트를 통해 전파된 SmokoLoader와 Amadey Bot 악성코드 실행으로 인한 지속적인 공격을 탐지합니다. 이 탐지 규칙은 방어 회피 및 실행 ATT&CK 전술과 이들의 대응 기술(Make Registry(T1112), Scheduled Task/Job(T1053), User Execution(T1204))을 다룹니다.

Amadey Bot 배포를 통한 레지스트리 수정에 의한 SmokeLoader 지속성 예상 (process_creation을 통해)

Nattatorn Chuensangarun이 만든 위의 위협 헌팅 쿼리는 레지스트리 키 수정을 통해 Temp 경로에 자신을 복사하여 SmokeLoader의 지속성 악성 활동을 탐지합니다. 이 Sigma 규칙은 Modify Registry(T1112)를 주요 기술로 사용하는 방어 회피 적대 전술을 다룹니다. 

SmokeLoader를 통해 배포된 Amadey Bot의 새로운 버전 (process_creation을 통해)

Aytek Aytemur의 이 Sigma 규칙은 Amadey Bot 악성코드가 설치된 후 SmokeLoader에 의해 실행된 의심스러운 schtasks.exe 활동을 탐지합니다. 탐지는 Execution 전술 레퍼토리의 Scheduled Task/Job(T1053) ATT&CK 기술을 다룹니다.  

산업 전문가와 탐지를 위해 기여하고자 하는 검출 콘텐츠 기여자는 Threat Bounty Program 에 가입하여 Detection Engineering 및 Threat Hunting 기술을 연마할 수 있습니다. 탐지 콘텐츠를 작성하여 업계 동료들과 공유하고, 당신의 기여에 대한 금전적 보상을 받으면서 자기 발전의 훌륭한 기회를 얻으십시오. 

SmokeLoader 악성코드 탐지를 위한 전체 Sigma 규칙 목록에 액세스하려면 Detect & Hunt 버튼을 클릭하십시오. 등록되지 않은 SOC Prime 사용자는 SOC Prime의 사이버 위협 검색 엔진을 사용하여 Amadey Bot을 다운로드하는 최신 SmokeLoader 캠페인과 관련된 포괄적인 위협 컨텍스트를 즉시 탐색할 수 있습니다. Explore Threat Context 버튼을 클릭하고 MITRE ATT&CK 및 CTI 참조, 미디어 링크 및 최신 Sigma 규칙이 동반된 더 많은 신라이트를 포함한 상세한 컨텍스트 메타데이터에 도달하십시오.

Detect & Hunt Explore Threat Context

2018년 처음 등장한 이후 Amadey Bot은 정찰 활동을 계속하고 감염된 호스트에서 민감한 데이터를 훔치고 추가 악성 페이로드를 배포하는 데 자주 사용되었습니다. 악성코드 배포는 2020-2021년 동안 감소했지만, Amadey Bot은 기능이 향상되어 2022년에 다시 등장하여 주요 전달 수단으로 SmokeLoader로 전환했습니다. 

에 따르면 AhnLab의 조사 에 따르면 SmokeLoader는 일반적으로 소프트웨어 크랙이나 키젠의 일부로 피해자가 의심을 품지 않고 실행됩니다. 따라서 사용자들이 소프트웨어 크랙 설치 중 보호 기능을 비활성화하는 경향 때문에 악성코드는 성공적으로 안티바이러스 알림을 우회합니다. 이후 SmokeLoader는 악성 페이로드를 explorer.exe 프로세스에 주입하고 감염된 시스템에 Amadey를 떨어뜨립니다. 

주목할 점은, Amadey Bot의 최신 3.21 버전은 약 14개의 안티바이러스 제품을 식별할 수 있으며, 감염된 호스트에서 탐지를 피하며 지속성을 유지할 수 있다는 것입니다. 시스템 정보를 수집한 후, Amadey는 RedLine과 같은 다양한 정보 탈취기를 포함한 추가 악성코드를 드롭합니다. 악성 페이로드는 UAC 우회 및 권한 상승과 함께 fetch 및 실행됩니다. 게다가, PowerShell은 Windows Defender를 제외하여 은밀한 설치를 보장하는 데 사용됩니다.

Amadey Bot 및 SmokeLoader 감염을 방지하려면 소프트웨어 크랙 및 불법 키 생성기를 사용하는 것을 피할 것을 사용자에게 권장합니다. 또한, 보안 실무자는 SOC Prime의 Detection as Code 플랫폼에 등록하여 위협 탐지 능력과 위협 헌팅 속도를 높일 수 있습니다. 이 플랫폼은 200,000개 이상의 탐지 알고리즘을 집계하여 기존 및 신종 위협에 대해 24시간 이내에 제공하며, 공격자보다 한 발 앞서 나갈 수 있도록 도와줍니다. 숙련된 위협 헌터와 보안 분석가는 Threat Bounty Program 에 가입하여 Sigma 규칙을 제출하고 공동 사이버 방어에 기여하면서 지속적인 수익을 받을 수 있습니다.