Njrat Campaign Using Microsoft Dev Tunnels - SANS Internet Storm Center
Njrat Campaign Using Microsoft Dev Tunnels - SANS Internet Storm Center
Njrat Campaign Using Microsoft Dev Tunnels, Author: Xavier Mertens
isc.sans.edu
- 공격 개요
- Njrat 악성코드가 Microsoft Dev Tunnels 서비스를 악용하여 C2 서버와 통신하는 사례 발견
- Dev Tunnels는 개발자가 로컬 서비스를 인터넷에 노출하여 테스트, 디버깅 및 협업을 수행하는 서비스
- 공격자는 Dev Tunnels의 보안 기능을 우회하여 악성 트래픽을 은닉하고 네트워크 방화벽을 우회
- 악성코드 샘플 및 감염 방식
- 샘플 파일
dsadasfjamsdf.exe
SHA256:0b0c8fb59db1c32ed9d435abb0f7e2e8c3365325d59b1f3feeba62b7dc0143ee)c3df7e844033ec8845b244241c198fcc.exe
(SHA256:9ea760274186449a60f2b663f535c4fbbefa74bc050df07614150e8321eccdb7)
- C2 서버 URL (Dev Tunnel 사용)
hxxps://nbw49tk2-25505[.]euw[.]devtunnels[.]ms/hxxps://nbw49tk2-27602[.]euw[.]devtunnels[.]ms/
- 감염 방식
- 악성코드가 C2 서버로 연결을 시도하며 상태 정보를 전송
OK.usb변수가True로 설정되면 USB 저장 장치를 통해 자기 복제 시도- 자동 실행을 위해 Windows 레지스트리 키 추가
- 샘플 파일
- 악성코드 구성 정보
- C2 서버 주소:
hxxps://nbw49tk2-25505[.]euw[.]devtunnels[.]ms/ - 사용 포트:
25505 - 봇넷 이름:
"HacKed" - 추가 기능
- 자동 실행:
Software\Microsoft\Windows\CurrentVersion\Run\af63c521a8fa69a8f1d113eb79855a75 - 데이터 구분자:
"|'|'|" - 버전:
"im523"
- 자동 실행:
- C2 서버 주소:
- 보안 권고
- DNS 모니터링: 조직 내 네트워크에서
devtunnels[.]ms도메인 조회 기록 감시 - Microsoft Dev Tunnels 차단: 사용하지 않는 경우 방화벽 및 DNS 필터링을 통해 해당 서비스 차단
- USB 저장 장치 제어: USB를 통한 악성코드 확산 방지를 위해 보안 정책 강화
- 레지스트리 모니터링: Windows 실행 키에 추가된 비정상적인 항목 탐지 및 제거
- 실시간 감시 및 위협 인텔리전스 활용: 최신 보안 솔루션을 사용하여 네트워크 내 의심스러운 활동 감지
- DNS 모니터링: 조직 내 네트워크에서
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| NIA, 자문위원 개인정보 유출, 보안사고 반복 발생 (0) | 2025.03.17 |
|---|---|
| Silent Push, Lazarus 그룹 인프라 침투 및 ByBit 해킹 관련 정보 확보 (0) | 2025.03.15 |
| Microsoft Defender, 머신러닝 활용하여 악성 명령어 실행 차단 (1) | 2025.03.15 |
| VS Code 확장 프로그램, 900만 건 설치 후 악성 코드 포함으로 제거됨 (0) | 2025.03.15 |
| Anubis 랜섬웨어, 다중 운영 환경을 타겟으로 한 신종 위협 (1) | 2025.03.15 |