스퀴블리두 공격 분석, 탐지 및 완화
목차:
역동적이고 끊임없이 변화하는 사이버 보안 분야에서 공격자는 보안 조치를 우회하고 쉽게 취약하지 않은 시스템에 침투하기 위한 혁신적인 기술을 지속적으로 개발하면서 흔들림 없는 결단력을 보여줍니다. 그렇게 주목받은 기술 중 하나가 Squiblydoo 공격입니다. 이 공격은 운영 시스템에 내장된 합법적 애플리케이션이나 파일의 취약점을 악용하는 것입니다. 이러한 신뢰할 수 있는 애플리케이션을 활용함으로써 공격자는 탐지를 효과적으로 피하면서 대상 기계에서 악성 스크립트를 실행할 수 있으며, 이는 조직의 사이버 보안 자세에 중대한 위험을 초래합니다.
기본적으로 Squiblydoo 기술은 승인된 스크립트만 허용하도록 구성된 기계에서 승인되지 않은 스크립트가 실행될 수 있도록 합니다. 엄격한 보안 조치가 마련된 시스템조차 이 공격의 피해자가 될 수 있습니다. 일반 사용자 권한을 가진 공격자는 원격 서버에 저장된 스크립트를 다운로드하여 실행하여 설정된 보안 프로토콜을 우회할 수 있습니다. 이번 공격에서 사용된 알려진 애플리케이션은 합법성을 띠게 하여 이러한 악성 활동의 탐지와 대응을 더욱 어렵게 만듭니다.
Squiblydoo는 특정상 regsvr32.dll, 일반적으로 LOLBin (Living Off the Land Binary)이라고 불립니다. LOLBins는 숙련된 위협 행위자들이 종종 악성 작업을 수행하기 위해 남용하는 합법적인 바이너리입니다. 또 다른 인기 LOLBin 예시로는 CertReq.exe, 공격자는 이를 이용해 작은 악성 파일을 업로드 및 다운로드할 수 있습니다.
The regsvr32.dll 바이너리는 합법적 목적을 위해 설계된 운영 체제의 일부입니다. 그러나 공격자는 이를 악용하여 인터넷에서 직접 COM 스크립틀릿을 로드하고 보안 메커니즘을 트리거하지 않고 실행합니다. 이러한 접근 방식을 사용하여 Squiblydoo는 전통적인 보안 조치를 효과적으로 피하며, 잠재적으로 비인가 접근, 데이터 유출 또는 추가 악성 페이로드 설치와 같은 심각한 결과를 초래할 수 있습니다.
이 기사에서는 Squiblydoo 공격, 그 탐지, 기술 설명 및 공격 흐름을 분석하고 관련 위험을 완화하기 위한 권장 사항을 제공합니다.
Squiblydoo 공격 탐지
조직이 LOLBin regsvr32.exe 바이너리를 공격적 운영에서 악용하는 Squiblydoo 공격을 사전에 탐지하고 추적할 수 있도록, SOC Prime 플랫폼은 MITRE ATT&CK® 프레임워크 에 정렬된 관련 Sigma 규칙 세트를 제공하며, 이를 자동으로 SIEM, EDR, XDR 솔루션으로 변환할 수 있습니다.
아래 탐지 탐색 버튼을 클릭하여 Squiblydoo 기술과 관련된 Sigma의 전체 컬렉션에 즉시 액세스하세요. 모든 탐지는 CTI, ATT&CK 링크 및 더 실질적인 사이버 위협 문맥으로 강화되어 있습니다.
Squiblydoo 위협 타임라인
The Squiblydoo 공격 는 LOLBin 바이너리를 활용하여 regsvr32.exe, Windows 레지스트리에서 DLL과 ActiveX 컨트롤을 등록하고 등록 취소하는 합법적인 명령줄 유틸리티입니다. 공격자는 LOLBins의 예기치 않은 부작용을 이용하여 손상된 기계에서 악성 스크립트와 페이로드를 실행합니다. 이 공격에서, regsvr32.exe 유틸리티는 명령과 제어 서버에서 악성 XML 또는 JavaScript (JS) 파일을 다운로드하는 데 사용됩니다. scrobj.dll DLL은 다운로드된 스크립트나 페이로드의 실행을 촉진하여, 스파이웨어, 트로이목마 또는 코인 마이너의 배포를 포함한 다양한 악성 활동을 수행할 수 있도록 합니다.
Squiblydoo 기술과 관련된 수상한 활동이 식별될 때 “악성 프로세스 명령” 알림이 포함되어 있으며, 이는 regsvr32.exe 가 HTTP 요청이나 scrobj.dll과 함께 사용될 때 트리거됩니다.
Squiblydoo의 공격 흐름은 명령 실행과 다양한 프로세스와의 상호작용을 포함합니다. 기술을 분석함으로써 보안 연구원들은 관련된 악성 활동과 페이로드에 대한 통찰을 얻을 수 있습니다. 또한 regsvr32.exe 명령을 통해 임의의 코드를 실행하는 Squiblydoo의 역량을 보여주면서 LOLBin과 관련된 잠재적 위험과 강력한 보안 조치의 필요성을 강조합니다. 공격 흐름은 또한 명령 및 제어 서버에서 다수의 .txt 파일을 다운로드하기 위해 CMD.exe에서 실행되는 PowerShell 명령의 사용을 보여주며 공격자의 시스템 취약점을 악용하려는 의도를 더 증명합니다.
Squiblydoo란 무엇인가?
Squiblydoo는 기본적으로 운영 체제에 내장된 합법적이고 알려진 애플리케이션이나 파일을 활용하여 보안 제품을 우회하기 위해 사용되는 기술입니다. 이 기술은 승인된 스크립트만 실행될 수 있도록 설정된 기계에서 승인되지 않은 스크립트가 실행될 수 있도록 하는 방법을 제공합니다. Squiblydoo는 regsvr32.dll (LOLBin)을 직접 인터넷에서 COM 스크립틀릿을 로드하고 보안 보호를 우회하여 실행하기 위한 특정 용법을 설명합니다.
시스템 바이너리 프록시 실행 기술의 탐지, 특히 Regsvr32 하위 기술은 ATT&CK 프레임워크에서 방어 회피 전술에 대해 중등 정도의 커버리지를 제공합니다.
Casey Smith는 Red Canary에서 Squiblydoo 기술을 원래 문서화했으나, 정보를 담고 있는 블로그 포스트는 현재 이용이 불가능합니다.
합법적인 애플리케이션과 파일을 악용하고 전통적인 보안 조치를 회피할 수 있는 Squiblydoo의 능력은 사이버 방어자에게 도전될 수 있는 강력한 기술을 만듭니다. 공격의 복잡성을 이해하고 적절한 탐지 및 예방 조치를 배치하며 보안 의식 있는 문화를 조성함으로써 조직은 이 기술에 대한 방어력을 강화하고 시스템 및 데이터를 더 잘 보호할 수 있습니다.
권장 사항 및 완화 조치
Squiblydoo 공격은 합법적 애플리케이션과 파일을 활용하여 보안 조치를 우회함으로써 조직에 중대한 위협을 제기합니다. 효과적인 탐지 및 예방을 위해 Squiblydoo 공격을 이해하는 것이 중요합니다. 조직은 이 공격 기술에 관련된 지표와 패턴을 인식할 수 있는 강력한 보안 솔루션이 필요합니다. 탐지 메커니즘에는 비정상적인 명령줄 인수나 예상치 못한 네트워크 연결과 관련된 수상한 활동을 모니터링하는 것이 포함되어야 합니다. 이러한 징후를 신속하게 식별하고 대응함으로써 보안 팀은 공격의 잠재적 영향을 최소화하고 관련된 위험을 완화할 수 있습니다. regsvr32.dll, such as abnormal command-line arguments or unexpected network connections. By promptly identifying and responding to these signs, security teams can minimize the potential impact of the attack and mitigate associated risks.
공격과 관련된 악성 도메인 또는 IP 주소로의 트래픽 차단은 Squiblydoo의 영향을 완화하는 또 다른 중요한 단계입니다. 조직은 네트워크 레벨의 통제를 구현하고 공격자의 작전을 방해함으로써 C2 서버와의 통신을 제한할 수 있습니다. 네트워크에서 손상된 호스트를 분리하는 것은 공격을 저지하고 추가 피해를 방지하는 데 도움이 될 수 있습니다. 또한 강력한 접근 제어를 구현하고 사용자 권한을 제한하며 정기적으로 시스템을 패치하는 것은 공격 표면을 줄이는 데 필수적인 단계입니다. 또한 의심스러운 스크립트 실행 시도를 식별하고 플래그할 수 있는 고급 위협 탐지 시스템을 활용하는 것이 중요합니다. 사용자에 대한 보안 인식 교육도 그들이 악성 스크립트 실행으로 이어질 수 있는 소셜 엔지니어링 시도에 대비하여 경각심을 유지하도록 하는 데 필수적입니다.
또 다른 중요한 단계는 확립된 정책에 따라 사건을 조사하는 것입니다. 공격 벡터, 손상된 시스템 및 잠재적 데이터 탈취에 대한 철저한 분석을 수행하면 공격자의 동기와 기술에 대한 귀중한 통찰력을 제공할 수 있습니다. 이 정보는 방어를 강화하고 취약점을 패치하며 전반적인 보안 태세를 개선하는 데 사용될 수 있습니다.
Squiblydoo 기술은 사이버 위협의 지속적 혁신과 적응력을 상기시키며, 사이버 방어자에게 세심한 주의를 요구합니다. 공격자가 사용하는 기술을 이해함으로써 조직은 이러한 공격을 효과적으로 탐지하고 예방하며 대응할 준비를 더 잘 갖출 수 있습니다. 프로액티브한 보안 조치를 구현하고 고급 위협 탐지 시스템을 활용하며 모범 사례를 따르는 것은 Squiblydoo와 같은 진화하는 사이버 위협으로부터 시스템과 데이터를 보호하는 데 필수적입니다.
SOC Prime 플랫폼 은 야심 찬 신생 사이버 방어자와 노련한 전문가에게 강력한 솔루션, 위협 탐지 시장, Uncoder AI, Attack Detective로 지원되는 고급 탐지 엔지니어링 및 위협 사냥을 위한 최신 툴킷을 제공합니다. 세계에서 가장 빠른 보안 뉴스 피드와 최신 및 신흥 위협에 대한 Sigma 규칙의 가장 큰 저장소를 탐색하고 Sigma와 ATT&CK 자동 완성을 통해 탐지 엔지니어링 절차를 간소화하며 300초 미만으로 탐지 스택의 맹점을 식별하여 제 시간에 수정하고 사이버 보안 태세를 위험 최적화할 준비를 하십시오.
