New Undetectable Batch Script Uses PowerShell and Visual Basic to Install XWorm
New Undetectable Batch Script Uses PowerShell and Visual Basic to Install XWorm
A novel malware delivery framework employing advanced obfuscation techniques has evaded detection by security tools for over 48 hours.
gbhackers.com
- 공격 개요
- 새로운 악성코드 전달 프레임워크가 고급 난독화 기술을 사용하여 48시간 이상 보안 도구 탐지를 회피
- PowerShell 및 Visual Basic Script (VBS)를 활용하여 XWorm 원격 액세스 트로이목마 (RAT) 또는 AsyncRAT을 배포
- 이번 공격은 파일리스(fileless) 공격 방법론의 진화를 보여줌
- 공격 기법 및 특징
- 배치 스크립트 난독화
- 정적 분석 도구를 회피하도록 설계된 다중 레이어 인코딩 및 환경 검사 적용
- 실제 피해자 시스템에서만 작동하도록 샌드박스 회피 기법 사용
- 다단계 페이로드 실행
- PowerShell 명령어를 통해 원격 서버에서 2차 페이로드를 가져옴
- 디스크에 최소한의 흔적을 남기며, 이는 랜섬웨어 및 사이버 스파이 그룹이 선호하는 방법
- 2차 페이로드는 Telegram API를 사용하여 시스템 메타데이터 및 스크린샷을 공격자 제어 채널로 유출
- 배치 스크립트 난독화
- AI 생성 코드 사용 정황
- 포렌식 분석에서 비정상적인 코드 스타일이 발견됨
- 지나치게 상세한 주석 및 일관되지 않은 변수 이름 사용
- ChatGPT, Claude와 같은 생성형 AI 도구를 활용했을 가능성 제기
- AI를 이용한 악성코드 생성은 기술 장벽을 낮추고 회피 전술의 정교함을 높임
- 포렌식 분석에서 비정상적인 코드 스타일이 발견됨
- 최종 페이로드 기능
- XWorm 또는 AsyncRAT 설치
- 공격자에게 감염된 시스템에 대한 완전한 제어 권한 제공
- 자격 증명 탈취
- 횡적 이동(lateral movement)
- 데이터 유출 기능 포함
- 보안 권고
- PowerShell 실행 정책을 점검하고 서명되지 않은 스크립트 실행을 제한
- 행동 분석 시스템을 도입하여 Batch, PowerShell, VBS가 포함된 비정상적인 프로세스 체인 감지
- Telegram API와의 출발 연결(outbound connections)을 모니터링
- 특히 압축 이미지나 시스템 메타데이터를 전송하는 트래픽 주의
- 정적 탐지의 한계를 보완하기 위해 행동 기반 모니터링을 중심으로 엔드포인트 보호 전략 재구성 필요
- 결론
- AI 기반 악성코드가 증가하면서 사이버 보안 패러다임의 전환 필요
- 방어 메커니즘도 기계 학습 속도에 맞춰 발전해야 함
- 자동화된 공격 툴킷에 대응하기 위해 지능형 위협 탐지 체계 강화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 새로운 리눅스 악성코드 'Auto-Color', 시스템 원격 제어 허용 (0) | 2025.03.10 |
|---|---|
| Black Basta 랜섬웨어 그룹의 내부 채팅 기록 유출, 내부 갈등과 공격 기법 드러나 (0) | 2025.03.10 |
| LockBit 랜섬웨어 그룹, FBI 국장에게 "기밀 정보" 유출 위협 (1) | 2025.03.10 |
| 공공기관 클라우드가 기업 클라우드에서 배워야 할 것 (0) | 2025.03.10 |
| 케이뱅크, 인터넷은행 최초 금융 특화 프라이빗 LLM 도입 (0) | 2025.03.10 |