위협 헌팅 콘텐츠: CertReq.exe Lolbin

Living off the Land 바이너리(Lolbins)은 초기 목적을 넘어서는 작업을 수행하기 위해 고급 공격자들이 자주 오용하는 적법한 바이너리입니다. 사이버 범죄자들은 악성코드를 다운로드하고, 지속성을 보장하고, 데이터 탈취를 하고, 횡적 이동 등을 위해 적극적으로 사용합니다. 어제, Evil Corp 그룹의 공격을 탐지하는 규칙에 대해 글을 썼는데, 이 그룹도 최대한 많은 조직의 시스템에 WastedLocker 랜섬웨어를 배포하기 위해 Lolbins를 사용합니다.

CertReq.exe는 Windows에 존재하며, 인증서의 생성 및 설치를 지원하기 위한 용도로 사용됩니다. 사이버 범죄자들에 의해 크게 악용되는 Lolbins 중 하나는 아니지만, 보안 솔루션의 주의를 끌지 않고 악의적인 작업을 수행하는 데 사용될 수 있습니다. 사이버 범죄자들은 CertReq.exe를 사용하여 작은 파일을 업로드 및 다운로드 할 수 있습니다. HTTP POST를 통해 파일을 업로드하고, HTTP POST를 통해 파일을 다운로드하여 디스크에 저장하거나 내용을 표시하는 데 사용할 수 있습니다. CertReq.exe 착취에 대해 더 읽어보세요 여기.

Den Iuzvik 는 CertReq.exe를 사용한 파일 업로드/다운로드 가능성을 탐지하는 새로운 위협 사냥 Sigma 규칙을 개발하고 출시했습니다: https://tdm.socprime.com/tdm/info/BBbpPolVZpLp/SJcgLnMBQAH5UgbBoihF/?p=1

이 규칙은 다음 플랫폼에 대한 번역이 제공됩니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 명령 및 제어

기술: 원격 파일 복사 (T1105)

SOC Prime TDM을 사용해보실 준비가 되셨습니까? 무료로 가입하세요. 아니면 위협 보상 프로그램에 가입 하여 직접 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.