위협 헌팅 콘텐츠: 가짜 Windows 오류 로그의 악성 페이로드

지난주 보안 연구원들이 발견한 호기심을 끄는 방법으로, 악성 페이로드를 평문으로 숨기는 초목과 같은 방법이 사용되고 있습니다. 공격자들은 ASCII 문자를 16진수 값으로 가장해 저장하고, 이것을 스크립트 기반 공격을 위한 준비로 설계된 악성 페이로드로 디코딩하여 모의 로그를 사용합니다.

발견된 시나리오에서, 사이버 범죄자들은 시스템을 손상시키고 지속성을 확보한 후 새로운 방법을 적용했습니다. 그런 다음 그들은 .chk 확장자의 파일을 사용하여 Windows 애플리케이션의 오류 로그를 모방했습니다. 처음 보기에는 타임스탬프와 Windows의 내부 버전 번호에 대한 참조를 포함하고 있어 의심스럽지 않지만 각 행의 끝에는 ASCII 문자의 10진 표현이 포함되어 있습니다. 이러한 파일은 보안 솔루션이 의심하지 않고 사용자가 합법적이라고 생각하게 만들며, 사실상 이 가짜 오류 로그는 명령 및 제어 서버에 접촉하는 데 사용되는 인코딩된 스크립트를 숨기고 있습니다. 스크립트는 예약된 작업 및 두 개의 이름이 변경된 합법적인 Windows 바이너리인 mshta.exe와 powershell.exe를 사용하여 실행됩니다. 공격자는 스크립트를 사용하여 설치된 브라우저, 보안 제품, 판매 시점 소프트웨어에 대한 세부 정보를 수집합니다. 독점적인 위협 헌팅 규칙은 Osman Demir 가 개발한 것으로, 보안 솔루션이 악성 페이로드가 포함된 가짜 Windows 오류 로그를 찾는 데 도움을 줍니다: https://tdm.socprime.com/tdm/info/KSymsSAJQuht/4Yxe23IBPeJ4_8xclBtg/?p=1

이 규칙에는 다음 플랫폼에 대한 번역이 제공됩니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 방어 회피

기술: 가장하기 (T1036)