New Malware Loaders Use Call Stack Spoofing, GitHub C2, and .NET Reactor for Stealth
- Hijack Loader 최신 동향
- Hijack Loader는 2023년 처음 발견된 멀웨어 로더로, 정보 탈취형 악성코드를 2차 페이로드로 전파하는 역할 수행
- 기존 이름: DOILoader, GHOSTPULSE, IDAT Loader, SHADOWLADDER
- 2024년에는 합법적인 코드 서명 인증서 및 ClickFix 기법을 악용한 캠페인 확인됨
- 최신 기능 개선 사항
- 콜 스택 위조(Call Stack Spoofing)
- EBP 체인 조작을 통해 악성 호출을 감추고 정상 호출처럼 보이게 위장
- 스택 프레임을 조작하여 보안 도구의 분석을 회피
- Heaven’s Gate 기법 사용
- 32비트 프로세스에서 64비트 시스템 콜 직접 실행하여 탐지 우회
- 가상 환경 탐지(ANTIVM 모듈)
- 샌드박스 및 가상머신 탐지 기능 추가
- 예약 작업 기반 영속성 유지(modTask 모듈)
- Avast 백신 프로세스(avastsvc.exe) 딜레이 처리 추가
- 콜 스택 위조(Call Stack Spoofing)
- SHELBY 악성코드의 GitHub 기반 C2
- SHELBY는 .NET 기반 악성코드 로더 및 백도어 계열로, GitHub를 C2 서버로 활용
- 공격 체인
- ZIP 파일 내 .NET 바이너리 포함 → DLL 사이드로딩 통해 SHELBYLOADER (HTTPService.dll) 실행
- GitHub 저장소 내 License.txt로부터 AES 키 파생 → HTTPApi.dll 페이로드 복호화 후 메모리에 로딩
- 분석 회피
- 가상환경 탐지 수행 결과를 로그 파일 형태로 GitHub에 업로드
- C2 통신 방식
- GitHub 비공개 저장소의 commit 및 파일을 통한 명령 주고받기
- Personal Access Token (PAT)이 이진 파일 내 포함되어 타인이 접근 가능하다는 점은 심각한 보안 리스크
- .NET Reactor와 악성코드 은폐 기술
- Emmenhtal Loader 및 SmokeLoader에서 .NET Reactor 사용 확인
- .NET Reactor는 상용 난독화 및 패킹 툴로, 분석 방지에 사용됨
- SmokeLoader는 기존에도 Themida, Enigma Protector, 커스텀 크립터 등을 활용한 바 있음
- .NET 기반 정보탈취형 악성코드(stealer)나 로더(loader)에서 널리 사용되는 추세
- Emmenhtal Loader 및 SmokeLoader에서 .NET Reactor 사용 확인
- 결론
- Hijack Loader와 SHELBY는 각각 콜 스택 조작, GitHub C2, .NET 보안툴 활용 등을 통해 탐지를 회피하고 페이로드 유포를 정교화하고 있음
- 공격자는 일반적인 보안 솔루션으로 탐지하기 어려운 기법을 지속적으로 발전시키고 있으며, 분석 회피를 위한 은폐 기술도 고도화되는 양상
- GitHub, .NET Reactor와 같이 정상 플랫폼 및 상용 보호 솔루션을 악용하는 전략은 조직 내 탐지 정책의 재정비 필요성을 시사함
- 보안 관점에서 메모리 기반 페이로드 로딩, GitHub 통신, 예약 작업 등록, 가상 환경 탐지 등에 대한 행위 기반 탐지 룰 정교화가 필요함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 기업은행 친인척 DB 구축과 개인정보보호법 위반 가능성 분석 (0) | 2025.05.13 |
|---|---|
| 파이썬의 새로운 잠금 파일 형식 pylock.toml 이해 (0) | 2025.05.12 |
| SSL 설정 오류가 공격 표면에 미치는 영향 및 대응 방안 (0) | 2025.05.12 |
| Outlaw 그룹의 SSH 브루트포스 기반 Linux 크립토재킹 악성코드 분석 보고서 (0) | 2025.05.12 |
| QR 코드 기반 피싱(Quishing) 공격을 통한 마이크로소프트 계정 탈취 위협 분석 (0) | 2025.05.12 |