EDR 제품을 통한 RokRAT 유포 링크 파일(*.lnk) 추적 및 대응

AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(also known as APT37, ScarCruft)에 대한 내용을 공유했다.

LNK 파일은 내부에 파워쉘 명령어를 포함하고 있으며 temp 경로에 정상 파일과 함께 스크립트 파일을 생성 및 실행하여 정상 pdf파일 사용자가 감염되고 있는 것을 모르게 악성 행위를 수행한다.

안랩 EDR에서는 악성 LNK파일이 사용자의 시스템에 유입되어 실행할 경우 아래와 같이 의심스러운 파워셀 실행을 탐지하고 있다.

[그림] 의심스러운 Powershell.exe 프로세스 실행 탐지(정상 pdf 실행 정황)

위 그림에서 아래 cmd.exe를 클릭해보면 아래 그림과 같이 .bat파일 실행 이력과 bat파일의 명령어를 확인할 수 있다.

[그림] .bat 실행 내역과 bat파일의 명령어
[그림] bat파일에 의해 실행된 Powershell 탐지 화면

배치(.bat)파일에 의해 의심스럽게 실해된 Porshell.exe 명령어를 탐지하면 사용자는 오른쪽 상단의 호스트 정보로 어떤 시스템에서 누가 로그인해서 해당 명령어가 실행되었는지 확인 가능하다.

해당 PC에 대한 조사를 이어가면 아래와 같이 추가적으로 악성코드 다운로드 URL 주소에 대한 확인이 가능하다.

[그림] 악성코드 다운로드 URL

담당자는 의심스러운 로그를 확인할 경우 EDR의 프로세스 종료, 해당 시스템의 네트워크 격리 기능으로 대응이 가능하다.

[그림] EDR 프로세스 종료 기능
[그림] 의심 시스템에 대한 대응(네트워크 차단 및 악성코드 검사 기능 등)

RokRAT 악성코드는 과거부터 꾸준히 유포되고 있으며 위 사례와 같이 정상적인 파일을 같이 실행해 사용자가 감염을 인지하기 어렵게 한다. 고도화되는 악성코드에 대응하기 위해서는 의심스러운 행위를 탐지 대응까지 가능한 EDR 제품이 필요하다.

 [파일 진단]
Dropper/LNK.Agent (2023.04.08.00)
Downloader/BAT.Agent (2023.04.08.00)

[IOC]
0f5eeb23d701a2b342fc15aa90d97ae0 (LNK)
aa8ba9a029fa98b868be66b7d46e927b (LNK)
657fd7317ccde5a0e0c182a626951a9f (LNK)
be32725e676d49eaa11ff51c61f18907 (LNK)
8fef5eb77e0a9ef2f97591d4d150a363 (bat)
461ce7d6c6062d1ae33895d1f44d98fb (bat)
hxxps://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content hxxps://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBdTJteTF4aDZ0OFhnUjJNem1zOG5oUndvLTZCP2U9akhIQzZ5/root/content hxxps://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content

행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.

Categories:안랩 탐지

5 1 vote
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments