위협 검색 콘텐츠: PipeMon 악성코드 탐지

[post-views]
5월 27, 2020 · 2 분 읽기
위협 검색 콘텐츠: PipeMon 악성코드 탐지

PipeMon은 2018년에 Winnti 그룹에 의해 해킹당한 비디오 게임 회사의 인증서로 서명된 모듈식 백도어입니다. ESET의 연구원들은 발견했습니다 이 백도어가 한국과 대만에서 인기 있는 대규모 멀티플레이어 온라인 게임을 개발하는 회사들에 대한 공격에 사용되었다는 것을. 그들은 백도어를 PipeMon이라고 명명했고, 이는 Visual Studio 프로젝트의 이름으로 악성코드 저자가 ‘Monitor’라는 이름을 사용했기 때문이며, 여러 개의 명명된 파이프가 모듈 간 통신에 사용되었습니다. 관찰된 모든 모듈은 서로 다른 기능을 나타내며, IntelLoader라는 함수를 내보내는 하나의 DLL이며 반사적 로딩 기술을 사용해 로드됩니다. 설치 중에 로더는 악성코드를 Windows 프린트 프로세서 폴더에 떨어뜨리고 setup.dll은 악의적인 DLL 로더를 대체 프린트 프로세서로 등록합니다.

Winnti 그룹은 최소한 2011년부터 활동을 시작하여 주로 비디오 게임 및 소프트웨어 산업을 표적으로 삼고 있으며, 드물게 의료 및 교육 부문에 공격을 가했습니다. 그들은 고도의 프로필 공급망 공격과 인기 소프트웨어를 트로잰화하는 것으로 악명이 높습니다. 그들의 작전 ShadowHammer 은 전 세계적으로 수만 대의 시스템에 영향을 미쳤으며, 작년 가을 Winnti 그룹은 PortReuse 악성코드 를 아시아의 주요 모바일 하드웨어 및 소프트웨어 제조업체에 대한 공격에 사용했습니다. 최신 캠페인 조사의 일환으로 연구자들은 최소 한 번의 사례에서 그룹이 조직의 빌드 시스템을 해킹하고 비디오 게임 실행 파일에 악성코드를 심을 수 있었던 사례를 발견했습니다.

Threat Hunting 규칙은 Ariel Millahuel 에 의해 PipeMon 모듈식 백도어가 대체 프린트 프로세서로 등록되는 것을 보안 솔루션이 감지할 수 있도록 해줍니다: https://tdm.socprime.com/tdm/info/3iqBPbAHTzrB/huahUHIBv8lhbg_icOaz/?p=1

이 규칙은 다음 플랫폼에 대한 번역이 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

전술: 방어회피

기술: 레지스트리 수정 (T1112), 파일 또는 정보 난독화 (T1027)

행위자: Winnti 그룹

 

더 많은 Threat Hunting 콘텐츠는 우리의 블로그에서: https://socprime.com/tag/threat-hunting-content/

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.