전술, 기술 및 절차(TTP)는 현대 방어 전략의 기초를 형성합니다. IOC(침해 지표)와 달리 TTP는 더욱 안정적이므로 특정 사이버 위협을 식별하는 신뢰할 수 있는 방법입니다. ANY.RUN의 맬웨어 동향에 대한 2024년 3분기 보고서에 따르면 가장 일반적으로 사용되는 기술 중 일부는 실제 사례와 함께 제공됩니다.
Windows 이벤트 로깅 비활성화(T1562.002)
Windows 이벤트 로깅을 중단하면 공격자가 시스템이 악의적인 작업에 대한 중요한 정보를 기록하는 것을 방지할 수 있습니다.
이벤트 로그가 없으면 로그인 시도, 파일 수정, 시스템 변경과 같은 중요한 세부 정보가 기록되지 않아 보안 솔루션과 분석가에게 불완전하거나 누락된 데이터가 남게 됩니다.
Windows 이벤트 로깅은 레지스트리 키를 변경하거나 “net stop eventlog”와 같은 명령을 사용하는 등 다양한 방법으로 조작할 수 있습니다. 그룹 정책을 변경하는 것도 일반적인 방법입니다.
많은 탐지 메커니즘이 의심스러운 활동을 식별하기 위해 로그 분석에 의존하기 때문에 맬웨어는 오랫동안 탐지되지 않은 채 작동할 수 있습니다.
예: XWorm이 원격 액세스 서비스 로그를 비활성화합니다.
안전한 환경에서 다양한 유형의 악성 TTP를 탐지, 관찰, 분석하기 위해 ANY.RUN의 Interactive Sandbox를 사용할 수 있습니다. 이 서비스는 맬웨어를 폭발시키고 실시간으로 실행을 볼 수 있을 뿐만 아니라 표준 컴퓨터에서와 마찬가지로 상호 작용할 수 있는 고도로 구성 가능한 Windows 및 Linux VM을 제공합니다.
모든 시스템 및 네트워크 활동을 추적하는 덕분에 ANY.RUN을 사용하면 Windows 이벤트 로깅 비활성화와 같은 악의적인 작업을 쉽고 빠르게 식별할 수 있습니다.
XWorm 폭발 결과를 보여주는 ANY.RUN 샌드박스 세션 |
널리 퍼진 RAT(원격 액세스 트로이 목마)인 XWorm이 T1562.002를 사용하는 분석 세션을 확인해 보세요.
샌드박스는 악성 프로세스 및 레지스트리 수정에 대한 세부 정보를 공유합니다. |
특히 시스템에서 원격 액세스 연결을 관리하는 RASAPI32에 대한 추적 로그를 비활성화하도록 레지스트리를 수정합니다.
악성코드는 여러 레지스트리 이름을 수정하여 로그를 비활성화합니다. |
공격자는 ENABLEAUTOFILETRACING 및 RASAPI32와 관련된 기타 레지스트리 이름을 0으로 설정하여 로그가 생성되지 않도록 합니다. 이로 인해 바이러스 백신과 같은 보안 소프트웨어가 사고를 식별하기가 더 어려워집니다.
ANY.RUN을 사용하여 악성 코드 및 피싱을 무료로 분석하세요
14일 평가판으로 모든 PRO 기능을 사용해 보세요
PowerShell 악용(T1059.001)
PowerShell은 Windows에 내장된 스크립팅 언어이자 명령줄 셸입니다. 공격자는 일반적으로 이를 악용하여 시스템 설정 조작, 데이터 유출, 손상된 시스템에 대한 지속적인 액세스 설정 등 다양한 악의적인 작업을 수행합니다.
PowerShell의 광범위한 기능을 사용할 때 위협 행위자는 인코딩 명령이나 고급 스크립팅 방법과 같은 난독화 기술을 활용하여 탐지 메커니즘을 우회할 수 있습니다.
예: BlanGrabber는 PowerShell을 사용하여 감지를 비활성화합니다.
감염된 시스템에서 중요한 데이터를 훔치는 데 사용되는 악성 코드 계열인 BlankGrabber 샘플에 대한 분석을 고려해 보세요. 실행 후 악성 프로그램은 PowerShell을 포함한 여러 프로세스를 실행하여 탐지를 피하기 위해 시스템 설정을 변경합니다.
샌드박스에는 PowerShell을 통해 BlankGrabber가 수행하는 모든 작업이 표시됩니다. |
ANY.RUN은 모든 악성코드의 활동을 즉시 식별하여 자세히 제시합니다. 무엇보다도 BlankGrabber는 PowerShell을 사용하여 IPS(침입 방지 시스템), OAV 보호 및 Windows OS의 실시간 모니터링 서비스를 비활성화합니다. 샌드박스에는 명령줄 내용도 표시되어 악성코드가 사용하는 실제 명령이 표시됩니다.
Windows 명령 셸 남용(T1059.003)
또한 공격자는 일반적으로 파일 관리 및 스크립트 실행과 같은 합법적인 관리 작업에 사용되는 또 다른 다목적 도구인 Windows 명령 셸(cmd.exe)을 악용합니다. 널리 사용되므로 유해한 작업을 숨기는 데 매력적인 선택이 됩니다.
공격자는 명령 셸을 사용하여 원격 서버에서 페이로드를 다운로드하는 것부터 악성 코드를 실행하는 것까지 다양한 악성 명령을 실행할 수 있습니다. 셸은 추가 악성 활동을 수행하기 위해 PowerShell 스크립트를 실행하는 데 사용될 수도 있습니다.
cmd.exe는 신뢰할 수 있고 널리 사용되는 유틸리티이므로 악의적인 명령이 합법적인 활동과 혼합될 수 있으므로 보안 시스템이 실시간으로 위협을 식별하고 대응하기가 더 어려워집니다. 공격자는 탐지를 더욱 피하기 위해 명령 내에서 난독화 기술을 사용할 수도 있습니다.
예: Lumma는 페이로드 실행에 CMD를 사용합니다.
2022년부터 활동하며 널리 사용되는 정보 탈취자 Lumma에 대한 다음 분석을 살펴보세요.
샌드박스는 cmd.exe 프로세스에 100점을 할당하여 악성으로 표시합니다. |
ANY.RUN은 cmd를 통해 악성코드가 수행하는 작업을 심층적으로 살펴봅니다. 여기에는 비정상적인 확장명으로 응용 프로그램을 시작하고 실행 가능한 콘텐츠를 변경하는 것이 포함됩니다. 이는 공격자가 프로세스를 남용했음을 나타냅니다.
ANY.RUN으로 빠른 악성코드 분석을 시도해보세요
14일 무료 평가판을 요청하세요
레지스트리 실행 키 수정(T1547.001)
시스템이 시작될 때마다 악성 소프트웨어가 자동으로 실행되도록 하기 위해 공격자는 시작 시 프로그램을 시작하도록 설계된 특정 레지스트리 키에 항목을 추가합니다.
악성 파일은 사용자가 로그인할 때 Windows가 자동으로 프로그램을 검사하고 실행하는 특수 디렉터리인 시작 폴더에 저장될 수도 있습니다.
공격자는 레지스트리 실행 키와 시작 폴더를 사용하여 장기간 지속성을 유지하여 데이터 유출, 네트워크 내 측면 이동 또는 시스템 추가 악용과 같은 악의적인 활동을 계속할 수 있습니다.
예: Remcos는 RUN 키를 통해 지속성을 얻습니다.
다음은 Remcos가 수행한 이 기술의 예입니다. 이 경우 수정되는 레지스트리 키는 HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN입니다.
샌드박스는 관련 TTP를 다양한 악성 작업에 할당합니다. |
Remcos 백도어는 레지스트리의 RUN 키에 항목을 추가하여 새로 로그인할 때마다 자동으로 시작되도록 합니다. 이를 통해 맬웨어는 감염된 시스템에서 지속성을 유지할 수 있습니다.
시간 기반 회피(T1497.003)
시간 기반 회피는 샌드박싱에 의존하는 보안 솔루션의 탐지를 피하기 위해 악성코드가 사용하는 기술입니다.. 많은 샌드박스에는 모니터링 기간이 제한되어 있으며, 대개 몇 분 정도입니다. 악성 코드 실행을 지연시켜 이 기간 동안 악성 코드의 탐지를 피할 수 있습니다.
이 TTP의 또 다른 일반적인 목적은 초기 분석 중에 악성 코드가 무해한 것처럼 보이도록 만들어 의심스러운 것으로 표시될 가능성을 줄이는 것입니다. 실행이 지연되면 행동 분석 도구가 초기의 양성 행동과 후속 악성 활동의 상관관계를 파악하기가 더 어려워질 수 있습니다.
맬웨어는 감염 프로세스를 수행하기 위해 여러 구성 요소나 파일을 사용하는 경우가 많습니다. 지연은 맬웨어의 다양한 부분 실행을 동기화하는 데 도움이 될 수 있습니다. 예를 들어 악성 코드가 원격 서버에서 추가 구성 요소를 다운로드해야 하는 경우 기본 페이로드가 실행되기 전에 지연을 통해 이러한 구성 요소가 완전히 다운로드되고 준비될 수 있습니다.
일부 악의적인 활동은 다른 작업의 성공적인 완료에 따라 달라질 수 있습니다. 지연을 도입하면 이러한 종속성을 관리하는 데 도움이 되어 감염 프로세스의 각 단계가 올바른 순서로 완료되도록 할 수 있습니다.
예: 공격 중 DCRAT가 실행을 지연함
Dark Crystal RAT는 감염된 시스템의 감시를 받지 않기 위해 시간 기반 회피 기술을 사용하는 많은 악성 코드군 중 하나입니다.
ANY.RUN은 분석 중에 식별된 TTP를 추적하기 위해 내장된 MITRE ATT&CK 매트릭스를 제공합니다. |
다음 샌드박스 세션의 맥락에서 DCRAT가 실행을 계속하기 전에 단 2000밀리초(2초) 동안 어떻게 잠자기 상태를 유지하는지 관찰할 수 있습니다. 이는 감염 프로세스의 다음 단계에 필요한 모든 파일이 실행될 준비가 되었는지 확인하기 위해 수행될 가능성이 높습니다.
ANY.RUN 샌드박스는 각 악성 프로세스의 세부 정보를 표시합니다. |
ANY.RUN에 의해 감지된 DCRAT의 시간 기반 회피 시도 중 또 다른 것은 합법적인 도구인 w32tm.exe를 사용하여 실행 프로세스를 지연시키는 것입니다.
ANY.RUN 샌드박스로 악성코드 분석
ANY.RUN은 맬웨어 및 피싱 위협을 분석하기 위한 클라우드 기반 샌드박스를 제공하여 조사를 개선할 수 있는 빠르고 정확한 결과를 제공합니다. 고급 기능을 사용하면 제출된 파일 및 URL은 물론 시스템과 자유롭게 상호 작용하여 위협 분석에 더 깊이 들어갈 수 있습니다.
- 분석 프로세스를 시작하려면 파일이나 URL을 업로드하기만 하면 됩니다.
- 위협 감지에 60초 미만 소요
- 이 서비스는 맬웨어 동작에 대한 깊은 통찰력을 신속하게 추출하고 위협 보고서를 생성합니다.
- VM 내부에서 입력, 링크 열기, 첨부 파일 다운로드, 프로그램 실행 등의 모든 작업을 수행합니다.
- 비공개 분석 모드 및 팀 협업 도구 사용
14일 무료 평가판을 통해 ANY.RUN의 샌드박스를 조직의 워크플로에 통합하여 제공되는 모든 기능을 사용해 보세요.