MirrorFace APT Using Custom Malware To Exploited Windows Sandbox & Visual Studio Code
MirrorFace APT Using Custom Malware To Exploited Windows Sandbox & Visual Studio Code
The fundamental approaches to inventory management have evolved substantially as businesses face increasingly complex global supply chains.
gbhackers.com
- 공격 개요
- 일본을 주요 타깃으로 한 APT 그룹 MirrorFace는 Windows Sandbox 기능과 Visual Studio Code를 악용하여 정교한 공격을 수행
- Windows Sandbox 환경에서 LilimRAT이라는 맞춤형 악성코드를 활용해 감지 회피 및 은닉된 통신 수행
- 초기 침투 후, 샌드박스를 자동 실행하고 호스트-샌드박스 간 폴더 공유를 통해 파일 접근
- Windows Sandbox 악용 방식
- Windows Sandbox는 격리된 환경을 제공하지만 기본적으로 Windows Defender가 비활성화되어 있음
- 공격자는 WSB(XML 기반 설정 파일)를 통해 네트워크 접근, 공유 폴더, 자동 명령 실행 등을 구성
- Windows 11에서 도입된
wsb.exe명령어를 통해 샌드박스를 백그라운드로 실행하여 사용자 모르게 악성코드 실행 가능 - WDAGUtilityAccount가 존재하는지 체크하여 샌드박스 환경임을 감지하고 악성코드 실행 조건으로 사용
- LilimRAT 기반 악성코드
- 오픈소스 Lilith RAT을 커스터마이징하여 샌드박스 최적화 형태로 제작
- 샌드박스 내 SYSTEM 권한으로 스케줄 작업 생성 후 실행
- Tor 네트워크를 통한 C2 통신으로 익명성 보장 및 탐지 회피
- 감염된 샌드박스에서 호스트 공유 폴더 접근 가능하여 시스템 정보 유출
- 포렌식 분석 지점
- 호스트에서
vmmem혹은vmmemWindowsSandbox프로세스 메모리 공간 내 악성 문자열 및 행위 추적 가능 $MFT,$UsnJrnl, Prefetch, 레지스트리 등에서 VHDX 파일, WSB 구성 및 실행 흔적 확인- 샌드박스 내에서도
$MFT, 브라우저 기록, 이벤트 로그 등으로 공격 활동 확인 가능
- 호스트에서
- 보안 권고
- Windows Sandbox 기본 비활성화 설정 유지 및 관리자 권한 제한
- AppLocker 정책으로 Sandbox 실행 차단 설정 가능 (차단 시 이벤트 로그 생성)
- 이벤트 로그, 샌드박스 실행 관련 프로세스(WindowsSandbox.exe, wsb.exe 등) 모니터링
- Tor 트래픽 및 백그라운드 샌드박스 실행 여부에 대한 네트워크 기반 탐지 체계 강화
- 결론
- Windows Sandbox는 격리 환경이라는 이점을 역이용한 위협 요소가 될 수 있음
- MirrorFace는 샌드박스를 지속성과 은닉성 확보 수단으로 악용
- 운영체제의 정상 기능을 활용한 APT 전술에 대한 지속적인 탐지 로직 확보가 필요
- 사용자 권한 관리 및 샌드박스 설정 모니터링 체계를 조직 전반에 강화해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Ballista 봇넷, TP-Link 취약점 악용한 IoT 감염 캠페인 분석 (0) | 2025.04.15 |
|---|---|
| Medusa 랜섬웨어 위협 분석 보고서 (2025년 3월 기준) (0) | 2025.04.15 |
| 고도화된 MFA 우회 기법을 이용한 사용자 계정 탈취 공격 분석 (0) | 2025.04.15 |
| Fortinet, FortiOS 및 FortiSandbox 등 주요 제품군의 보안 취약점 다수 패치 (0) | 2025.04.15 |
| UNC3886, Juniper 라우터 대상 백도어 공격, TinyShell 기반 장기 침투 시도 (0) | 2025.04.15 |