Windows Finger 명령어를 악용하여 MineBridge 백도어 전달

위협 행위자는 Windows 보안 제한을 회피하고 대상 네트워크에 멀웨어를 배포할 새로운 방법을 끊임없이 찾고 있습니다. LoLbins로 알려진 기본 Windows 실행 파일은 이 목적을 위해 자주 악용되고 있습니다. 최근에 해커들이 MineBridge 백도어를 배포하기 위해 악용했기 때문에 Windows Finger 기능이 이 목록에 추가되었습니다.

Windows Finger 남용된 for 멀웨어

Finger 기능은 원격 시스템 사용자의 정보를 조회하는 데 사용되는 기본 Windows 명령입니다. 그러나 보안 연구자들은 발견했습니다 Finger를 파일 로더 및 C&C 서버로 변환하여 데이터를 탈취하는 교묘한 방법을 발견했습니다. 특히, 악성 명령은 안티바이러스 메커니즘에 경고를 주지 않고 파일을 검색하고 데이터를 덤핑하는 Finger 쿼리로 위장될 수 있습니다. 대규모 악용의 주요 장애물은 보통 차단되는 포트 79에 의존하는 Finger 프로토콜입니다. 그럼에도 불구하고, 권한이 있는 해커는 TCP 프로토콜에 대한 Windows NetSh Portproxy 포트 리디렉션을 통해 제한을 극복할 수 있습니다. PoC(개념 증명) 익스플로잇은 2020년 9월에 개발 및 게시되었으며, 해커들은 2021년 1월에야 실전에서 Finger 기능을 악용했습니다.

Minebridge 백도어 Windows Finger를 통해 전달됨

첫 번째 사이버 범죄 작전은 발견했습니다 Windows Finger 명령을 악용하여 MineBridge 백도어를 전달하는 것이 목표였습니다. 이 멀웨어 변종은 2020년 초에 등장하여 미국과 한국의 금융 기관을 대상으로 활발히 사용되었습니다. 감염은 대개 악성 Word 파일이 첨부된 피싱 이메일에서 시작됩니다. 문서는 구직 지원서로 위장하고 있으며, 열면 악성 매크로를 통해 백도어를 설치합니다.

최신 MineBridge 캠페인에서도 공격 체인은 동일하게 유지됩니다. 그러나 이 경우 매크로는 Base64로 인코딩된 멀웨어 로더를 실행하기 위해 Finger에 의존하는 특정 명령을 실행합니다. 이 로더는 감염된 장치에 TeamViewer를 드롭하고 DLL 하이재킹을 적용하여 MineBridge 백도어를 설치합니다. 설치 후, 백도어는 피해자의 시스템에 대한 완전한 원격 액세스를 제공하여 해커가 추가 멀웨어를 설치하고 임의 파일을 실행하며 시스템 정보를 수집하는 등의 작업을 수행할 수 있게 합니다.

Windows Finger 공격 탐지

Windows Finger 남용과 관련된 악성 활동을 탐지하기 위해 SOC Prime 팀에서 새로운 Sigma 규칙을 다운로드할 수 있습니다:

https://tdm.socprime.com/tdm/info/Xcv0Zufcww1J/3aG-FXcBmo5uvpkjnEb8/ 

이 규칙은 다음 플랫폼에 대한 번역을 포함하고 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness

EDR: Microsoft Defender ATP, Carbon Black

MITRE ATT&CK:

전술: 실행, 방어 회피

기술: 서명된 바이너리 프록시 실행 (T1218)

위협 탐지 마켓플레이스에 대한 유료 접근 권한이 없는 경우, Windows Finger 남용 방지와 관련된 Sigma 규칙을 잠금 해제하기 위해 커뮤니티 구독을 통해 무료 평가판을 활성화할 수 있습니다.

무료로 위협 탐지 마켓플레이스에 가입하여 매일 새로 출시되는 SOC 콘텐츠 항목에 도달함으로써 위협 탐지 능력을 확장하십시오. 자신의 Sigma 규칙을 만들고 싶으십니까? to the Threat Detection Marketplace for free and expand your threat detection capabilities by reaching new SOC content items released every day. Have a desire to create your own Sigma rules? 우리의 Threat Bounty 커뮤니티에 가입하고 위협 탐지 이니셔티브에 기여하십시오! our Threat Bounty community and contribute to threat hunting initiatives!