RoKRAT 셸코드 및 스테가노그래피 기반 위협 분석과 EDR 대응 방안
Contents
◈ 주요 결과 (Key Findings)
- APT37 그룹의 RoKRAT 악성파일의 새로운 형태 등장
- 암호화된 Shellcode 방식을 2단계로 삽입해 분석 방해 시도
- 사진파일 속에 악성코드를 숨기는 스테가노그래피 기법 발견
- 보안 제품의 탐지를 회피하기 위한 Fileless 공격 지속적 수행
- 단말 이상행위 탐지에 최적화된 효율적 EDR 관제 시스템 구축 필요
1. 개요 (Overview)
지니언스 시큐리티 센터(Genians Security Center / GSC)는 APT37 그룹이 사용하는 악성파일을 분석 중에 새로운 형태를 발견했습니다. 보통 이들이 주로 사용하는 것은 일명 'RoKRAT' 이름으로 불립니다. 해당 위협 행위자(Threat Actor)는 LNK 확장자를 가진 바로가기(Shortcut) 파일 내부에 'Cmd' 또는 'PowerShell' 명령어를 넣어 공격에 활용하고 있습니다.
현재 이 공격은 한국에서 계속 관찰될 정도로 위협 활성도가 높음을 유지하고 있습니다. 그 만큼 효과적인 공격수단으로 볼 수 있습니다. 따라서 다수의 업무용 단말을 보유한 기업이나 기관의 보안 관리자들은 해당 위협에 대한 다양한 공격유형과 기술에 대해 꾸준히 파악할 필요가 있습니다.
바로가기 파일의 기본 아이콘에는 작은 화살표가 포함돼 있어, 어느정도 육안 구별이 가능합니다. 물론, 사용자가 직접 만든 바로가기 폴더나 파일은 대부분 정상이므로 절대 오해해서는 …
- APT37 그룹의 RoKRAT 악성파일의 새로운 형태 등장
- 암호화된 Shellcode 방식을 2단계로 삽입해 분석 방해 시도
- 사진파일 속에 악성코드를 숨기는 스테가노그래피 기법 발견
- 보안 제품의 탐지를 회피하기 위한 Fileless 공격 지속적 수행
- 단말 이상행위 탐지에 최적화된 효율적 EDR 관제 시스템 구축 필요
1. 개요 (Overview)
지니언스 시큐리티 센터(Genians Security Center / GSC)는 APT37 그룹이 사용하는 악성파일을 분석 중에 새로운 형태를 발견했습니다. 보통 이들이 주로 사용하는 것은 일명 'RoKRAT' 이름으로 불립니다. 해당 위협 행위자(Threat Actor)는 LNK 확장자를 가진 바로가기(Shortcut) 파일 내부에 'Cmd' 또는 'PowerShell' 명령어를 넣어 공격에 활용하고 있습니다.
현재 이 공격은 한국에서 계속 관찰될 정도로 위협 활성도가 높음을 유지하고 있습니다. 그 만큼 효과적인 공격수단으로 볼 수 있습니다. 따라서 다수의 업무용 단말을 보유한 기업이나 기관의 보안 관리자들은 해당 위협에 대한 다양한 공격유형과 기술에 대해 꾸준히 파악할 필요가 있습니다.
바로가기 파일의 기본 아이콘에는 작은 화살표가 포함돼 있어, 어느정도 육안 구별이 가능합니다. 물론, 사용자가 직접 만든 바로가기 폴더나 파일은 대부분 정상이므로 절대 오해해서는 …
IoC
[email protected]
[email protected]
[email protected]
[email protected]
443a00feeb3beaea02b2fbcd4302a3c9
f6d72abf9ca654a20bbaf23ea1c10a55
32323232323232323232323232323232
325869FF25798BC277BF22DEB1DEB967
fd9099005f133f95a5b699ab30a2f79b
5ed95cde6c29432a4f7dc48602f82734
a2ee8d2aa9f79551eb5dd8f9610ad557
64d729d0290e2c8ceaa6e38fa68e80e9
e4813c34fe2327de1a94c51e630213d1
e13c3a38ca58fb0fa9da753e857dd3d5
ae7e18a62abb7f93b657276dcae985b9
d5fe744b9623a0cc7f0ef6464c5530da
16a8aaaf2e3125668e6bfb1705a065f9
[email protected]
[email protected]
[email protected]
443a00feeb3beaea02b2fbcd4302a3c9
f6d72abf9ca654a20bbaf23ea1c10a55
32323232323232323232323232323232
325869FF25798BC277BF22DEB1DEB967
fd9099005f133f95a5b699ab30a2f79b
5ed95cde6c29432a4f7dc48602f82734
a2ee8d2aa9f79551eb5dd8f9610ad557
64d729d0290e2c8ceaa6e38fa68e80e9
e4813c34fe2327de1a94c51e630213d1
e13c3a38ca58fb0fa9da753e857dd3d5
ae7e18a62abb7f93b657276dcae985b9
d5fe744b9623a0cc7f0ef6464c5530da
16a8aaaf2e3125668e6bfb1705a065f9