위협 헌팅 콘텐츠: 데빌 쉐도우 봇넷

[post-views]
6월 01, 2020 · 2 분 읽기
위협 헌팅 콘텐츠: 데빌 쉐도우 봇넷

요즘, 봉쇄 기간 동안 많은 조직이 기업 차원에서 회의 회의를 개최하기 위해 이 애플리케이션에서 발견된 보안 문제에도 불구하고 Zoom을 계속 사용하고 있습니다. 공격자들은 수개월 동안 이 애플리케이션의 인기가 증가하는 것을 악용하고 있으며, 조직을 공격으로부터 부분적으로 보호할 수 있습니다 Zoom 서비스를 강화하여 보호할 수 있습니다. 하지만 이것만으로는 문제를 완전히 해결할 수 없습니다. 사이버 범죄자들이 사용자에게 Zoom 설치 프로그램 대신 맬웨어 링크를 보낼 수 있으며, 이제 그들은 맬웨어를 가짜 설치 프로그램에 숨기고 이를 통해 합법적인 Zoom 설치 프로그램을 실행하여 의심을 피하려고 합니다. 이러한 설치 프로그램은 더 크고 합법적인 파일보다 느리게 실행되지만 일반 사용자는 아마도 이를 주목하지 않을 것입니다. 이러한 방식으로 공격자들은 이제 Devil Shadow Botnet을 배포하고 있습니다.

이 봇넷을 사용하여 사이버 범죄자들은 웹캠을 통해 피해자를 감시하고 스크린샷을 찍으며 키로거 모듈을 사용하여 다음 공격 단계에 필요한 자격 증명 및 기타 민감한 정보를 수집할 수 있습니다.

SOC Prime의 Threat Bounty Program 참가자들은 이 위협에 빠르게 대응하여 Devil Shadow Botnet의 흔적을 발견하는 커뮤니티 Sigma 규칙 두 가지를 게시했습니다. 이 규칙들은 매우 다르며, 다양한 MITRE ATT&CK 기술들을 포함합니다.

Fake ZOOM Installer.exe (Devil Shadow Botnet) by Emir Erdogan: https://tdm.socprime.com/tdm/info/UPInonyraJtb/kubvWnIBv8lhbg_iDO5q/

Devil Shadow Botnet Hidden in Fake Zoom Installers by Osman Demir: https://tdm.socprime.com/tdm/info/q4ibRAYze5tg/aubhWnIBv8lhbg_icO7O/?p=1

규칙에는 다음 플랫폼에 대한 번역이 포함되어 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

전술: 실행, 권한 상승, 자격 증명 접근, 지속성, 방어 회피, 명령 및 제어

기술: 사용자 실행 (T1204), 훅킹 (T1179), 커널 모듈 및 확장 (T1215), 프로세스 인젝션 (T1055), 소프트웨어 패킹 (T1045), 흔치 않은 포트 사용 (T1065)

Zoom 관련 공격을 탐지하기 위한 추가 규칙: https://tdm.socprime.com/?searchValue=zoom

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.