SystemBC 악성코드, 랜섬웨어 백도어로 점점 더 많이 사용됨
목차:
SystemBC의 새로운 버전이 점점 더 많이 랜섬웨어 유지 관리자에 의해 표적 환경에 진입하는 데 활용되고 있습니다. 보안 전문가들은 DarkSide, Ryuk, Cuba를 포함한 주요 랜섬웨어-서비스(RaaS) 집단이 SystemBC를 지속적인 백도어로 활용하여 공격된 인스턴스에 접근을 유지하고 다양한 악명높은 활동을 수행한다고 지적합니다.
SystemBC란 무엇입니까?
SystemBC는 프록시와 원격 접근 트로이 목마(RAT) 기능을 결합한 다기능 위협입니다. 처음 2019년에 발견된 이 악성코드는 주로 네트워크 프록시로 사용되어 SOCKS5 프로토콜을 활용한 숨겨진 통신을 수행했습니다. 그러나 시간이 지나면서 이 위협은 발전했고 이제는 RAT로도 작동할 수 있게 되었습니다. 특히, SystemBC는 Windows 명령을 실행할 수 있고, 악성 스크립트를 전달하며, DLL 및 2차 실행 파일을 실행할 수 있습니다.
특히, 최신 SystemBC 샘플은 SOCKS5 프록시를 버리고 Tor 익명화 네트워크를 사용하여 암호화하고 명령 및 제어(C&C) 트래픽을 위장합니다. 또한, 2021년 5월에 보안 연구원들은 발견했습니다 프로세스 허로잉 기법을 사용하여 SystemBC를 대상 장치에 배포하는 새로운 “래퍼”를
감염되면 이 악성코드는 횡적 이동에 사용되며, Cobalt Strike와 연결되어 비밀번호 탈취 및 발견 작업을 수행합니다. 또한, 해커들은 자주 SystemBC를 사용하여 지속성을 달성하고 향후 착취와 랜섬웨어 배포를 위해 Powershell, .BAT, .CMD 스크립트를 떨어뜨립니다.
랜섬웨어 백도어
SystemBC는 다수의 랜섬웨어 공격에서 배포되었습니다. Ryuk 갱은 Buer 로더와 Bazar 백도어와 함께 피싱 공격에서 이 위협을 활용했습니다. 또한, Egregor 캠페인들은 저명한 DarkSide 갱은 Colonial Pipeline의 정전 2021년 5월에 SystemBC를 감염에 활용했습니다. 마지막으로, Cuba 랜섬웨어 유지 관리자들은 그들의 악성 활동에서 이 악성 서플을 적용했습니다.
보안 전문가들은 SystemBC가 Tor 네트워크를 통해 C&C 서버에 은밀하게 연결할 수 있는 능력과 명령 및 스크립트를 실행할 수 있는 추가 도구를 제공함으로써 랜섬웨어 운영자들 사이에서 극도로 인기를 얻고 있다고 요약합니다. 이 악성 샘플은 해커들이 침입의 일부분을 자동화하고 성공적인 침입의 수를 최대화하는 데 도움을 줍니다.
SystemBC 탐지
SystemBC 감염을 탐지하고 잠재적인 랜섬웨어 공격으로부터 인프라를 보호하려면 Threat Detection Marketplace에서 제공하는 커뮤니티 Sigma 규칙을 다운로드할 수 있습니다. Emir Erdogan, 우리의 열정적인 Threat Bounty 개발자:
https://tdm.socprime.com/tdm/info/FOQl3HcaDX90/#sigma
이 규칙은 다음 언어로 번역됩니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne, Microsoft Defender ATP, CrowdStrike, Carbon Black
MITRE ATT&CK:
전략: 자격증명 접근, 방어 회피
기법: 자격증명 접근을 위한 착취 (T1212), 레지스트리 수정 (T1112)
Threat Detection Marketplace, 위협 탐지를 위한 완전한 CI/CD 워크플로우를 지원하는 산업 최고 수준의 Content-as-a-Service (CaaS) 플랫폼에 대한 무료 구독을 받으세요. SOC Prime의 라이브러리는 23개의 시장 선도 SIEM, EDR 및 NTDR 기술에 맞춘 100K 이상의 쿼리, 파서, SOC 준비 대시보드, YARA 및 Snort 규칙, 머신러닝 모델 및 사건 대응 플레이북을 집계합니다. 직접 탐지 콘텐츠를 제작하고 싶으신가요? Threat Bounty 프로그램에 참여하고 귀하의 기여에 대한 보상을 받으세요!
