Njrat의 Microsoft Dev Tunnels 악용 및 C2 통신 방식 분석

Njrat Exploits Microsoft Dev Tunnels for C2 Communication

Njrat Exploits Microsoft Dev Tunnels for C2 Communication

 

• 취약점 개요
  • Njrat 원격 접근 트로이 목마(RAT)가 Microsoft Dev Tunnels를 명령 및 제어(C2) 서버 통신에 악용
  • Dev Tunnels는 개발자가 로컬 서비스를 인터넷에 안전하게 노출하여 테스트하는 기능을 제공하지만, 공격자에게도 유용한 은닉 경로가 됨
  • 기존의 ngrok과 유사하게 암호화된 터널을 생성하여 방화벽 및 NAT 우회 가능
  • 보안 탐지 회피 및 C2 인프라 감지 어려움으로 악용 사례 증가
• Microsoft Dev Tunnels 악용 방식
  • Dev Tunnels는 임시 공용 또는 개인 URL을 생성하여 인터넷에서 로컬 서비스에 접근 가능
  • 공격자는 이를 활용하여 C2 서버와 암호화된 통신을 수행, 정상적인 개발 트래픽으로 위장
  • Dev Tunnels를 사용하면 기존 네트워크 보안 솔루션 탐지를 우회할 수 있어 공격자에게 유리
• 공격 캠페인 분석
  • 발견된 Njrat 샘플 2개가 서로 다른 Dev Tunnels URL을 사용하지만 동일한 Import Hash(ImpHash)를 공유
  • 샘플이 연결한 C2 서버
    • hxxps://nbw49tk2-25505[.]euw[.]devtunnels[.]ms/
    • hxxps://nbw49tk2-27602[.]euw[.]devtunnels[.]ms/
  • 주요 악성 기능
    • C2 서버로 봇 상태 및 명령 실행 가능 여부 전송
    • USB 감염 기능 활성화 시 USB를 통해 자체 전파
    • 자동 실행 유지(Persistence) 메커니즘
      • Windows 레지스트리 자동 실행 키 등록 (Software\Microsoft\Windows\CurrentVersion\Run)
    • 버전 정보: im523
    • 봇넷 네트워크명: HacKed
    • 구성 파일 내 사용자 정의 구분자(|'|'|) 및 난독화 기법 적용
• 보안 위협 및 대응 방안
  • 신뢰할 수 있는 서비스(Dev Tunnels)를 악용하는 공격 기법 확산
  • 기존 보안 시스템으로는 암호화된 Dev Tunnels 트래픽 탐지 어려움
  • C2 통신을 Dev Tunnels 기반으로 수행하면서 전통적인 방화벽 및 네트워크 보안 솔루션 우회 가능
• 보안 권고
  • DNS 로그 모니터링
    • devtunnels.ms 도메인에 대한 요청 감시
    • 조직 내 Microsoft Dev Tunnels 사용이 필요하지 않다면 차단
  • 사용 제한 정책 적용
    • 기업 네트워크에서 비인가 Dev Tunnels 사용 금지 및 예외 관리
  • 네트워크 이상 탐지(NDR) 솔루션 활용
    • 비정상적인 데이터 전송 패턴 및 연결 지속 시간 분석
  • 엔드포인트 보안 강화
    • 레지스트리 자동 실행 항목 감시 및 차단
    • Njrat과 같은 RAT 탐지를 위한 EDR 솔루션 적용
  • USB 보안 정책 적용
    • USB 자동 실행 방지 및 감염 확산 방지
• 결론
  • 정상적인 개발 도구가 공격자의 C2 인프라로 활용되는 사례 증가
  • Dev Tunnels, ngrok 등 암호화 터널링 서비스가 보안 우회 기술로 악용될 가능성 높음
  • 기업 및 조직은 비인가 Dev Tunnels 사용을 제한하고 네트워크 모니터링을 강화해야 함
  • 공격자가 악용하는 클라우드 및 개발 도구의 보안 점검 필요