EDR 제품을 통한 RokRAT 유포 링크 파일(*.lnk) 추적 및 대응
Contents
AhnLab Security Emergency response Center(ASEC)은 지난 달 국내 금융 기업 보안 메일을 사칭한 CHM 악성코드를 유포한 RedEyes 공격 그룹(also known as APT37, ScarCruft)에 대한 내용을 공유했다.
LNK 파일은 내부에 파워쉘 명령어를 포함하고 있으며 temp 경로에 정상 파일과 함께 스크립트 파일을 생성 및 실행하여 정상 pdf파일 사용자가 감염되고 있는 것을 모르게 악성 행위를 수행한다.
안랩 EDR에서는 악성 LNK파일이 사용자의 시스템에 유입되어 실행할 경우 아래와 같이 의심스러운 파워셀 실행을 탐지하고 있다.
위 그림에서 아래 cmd.exe를 클릭해보면 아래 그림과 같이 .bat파일 실행 이력과 bat파일의 명령어를 확인할 수 있다.
배치(.bat)파일에 의해 의심스럽게 실해된 Porshell.exe 명령어를 탐지하면 사용자는 오른쪽 상단의 호스트 정보로 어떤 시스템에서 누가 로그인해서 해당 명령어가 실행되었는지 확인 가능하다.
해당 PC에 대한 조사를 이어가면 아래와 같이 추가적으로 악성코드 다운로드 URL 주소에 대한 확인이 가능하다.
담당자는 의심스러운 로그를 확인할 경우 EDR의 프로세스 종료, 해당 시스템의 네트워크 격리 기능으로 대응이 가능하다.
RokRAT 악성코드는 과거부터 꾸준히 유포되고 있으며 위 사례와 같이 정상적인 파일을 같이 실행해 사용자가 감염을 인지하기 어렵게 한다. 고도화되는 악성코드에 대응하기 …
LNK 파일은 내부에 파워쉘 명령어를 포함하고 있으며 temp 경로에 정상 파일과 함께 스크립트 파일을 생성 및 실행하여 정상 pdf파일 사용자가 감염되고 있는 것을 모르게 악성 행위를 수행한다.
안랩 EDR에서는 악성 LNK파일이 사용자의 시스템에 유입되어 실행할 경우 아래와 같이 의심스러운 파워셀 실행을 탐지하고 있다.
위 그림에서 아래 cmd.exe를 클릭해보면 아래 그림과 같이 .bat파일 실행 이력과 bat파일의 명령어를 확인할 수 있다.
배치(.bat)파일에 의해 의심스럽게 실해된 Porshell.exe 명령어를 탐지하면 사용자는 오른쪽 상단의 호스트 정보로 어떤 시스템에서 누가 로그인해서 해당 명령어가 실행되었는지 확인 가능하다.
해당 PC에 대한 조사를 이어가면 아래와 같이 추가적으로 악성코드 다운로드 URL 주소에 대한 확인이 가능하다.
담당자는 의심스러운 로그를 확인할 경우 EDR의 프로세스 종료, 해당 시스템의 네트워크 격리 기능으로 대응이 가능하다.
RokRAT 악성코드는 과거부터 꾸준히 유포되고 있으며 위 사례와 같이 정상적인 파일을 같이 실행해 사용자가 감염을 인지하기 어렵게 한다. 고도화되는 악성코드에 대응하기 …
IoC
0f5eeb23d701a2b342fc15aa90d97ae0
461ce7d6c6062d1ae33895d1f44d98fb
657fd7317ccde5a0e0c182a626951a9f
8fef5eb77e0a9ef2f97591d4d150a363
aa8ba9a029fa98b868be66b7d46e927b
be32725e676d49eaa11ff51c61f18907
https://1drv.ms/i/s!AhXEXLJSNMPTbfzgUMxNbInC6
https://1drv.ms/u/s!Au2my1xh6t8XgR2Mzms8nhRwo-6B?e=jHHC6y
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBdTJteTF4aDZ0OFhnUjJNem1zOG5oUndvLTZCP2U9akhIQzZ5/root/content
461ce7d6c6062d1ae33895d1f44d98fb
657fd7317ccde5a0e0c182a626951a9f
8fef5eb77e0a9ef2f97591d4d150a363
aa8ba9a029fa98b868be66b7d46e927b
be32725e676d49eaa11ff51c61f18907
https://1drv.ms/i/s!AhXEXLJSNMPTbfzgUMxNbInC6
https://1drv.ms/u/s!Au2my1xh6t8XgR2Mzms8nhRwo-6B?e=jHHC6y
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBdTJteTF4aDZ0OFhnUjJNem1zOG5oUndvLTZCP2U9akhIQzZ5/root/content