거리의 마술사들에게는 비밀이 있습니다. 무언가를 숨기고 싶다면 눈에 잘 띄지 않게 숨기세요.이것이 바로 히든 카드 트릭, 손재주, 그리고 대부분의 환상이 작동하는 방식입니다.안타깝게도 악의적인 공격자들은 동일한 개념을 사용하여 기존의 사이버 보안 도구를 지나 사용자 컴퓨터로 멀웨어를 몰래 침입시키는 방법을 배우고 있습니다.그리고 이로 인해 엔터프라이즈 보안과 사용자 생산성이라는 두 가지 측면에서 혼란이 야기되고 있습니다.
4개월 전에 우리는 Java를 사용하여 사용자 시스템의 데이터, 즉 로그인 자격 증명을 제어하고 데이터를 수집하는 원격 액세스 트로이 목마인 Adwind JRAT의 새로운 변종을 알게 되었습니다.일반적인 Java 기능을 이용하는 멀웨어는 Java가 웹에서 매우 흔하다는 사실 때문에 샌드박스에서 탐지하거나 폭발시키기가 매우 어렵기로 악명이 높습니다.사실 Java를 차단하거나 제한하려고 시도하면 인터넷의 대부분이 고장날 수 있습니다. 일상적인 업무를 위해 다양한 웹 앱이나 SaaS 플랫폼을 점점 더 많이 사용하는 사용자에게는 시작이 되지 않습니다.
애드윈드 JRat은 일반적으로 플랫폼에 구애받지 않지만, 이 새로운 변형은 Windows 시스템과 익스플로러와 아웃룩과 같은 일반적인 Windows 애플리케이션을 대상으로 하는 것으로 보입니다.흥미롭게도 Brave와 같은 최신 브라우저를 포함하여 Chromium 기반 브라우저도 표적이 되고 있습니다.멀웨어는 피싱 이메일의 링크를 통해 전달되거나 안전하지 않은 타사 콘텐츠를 제공하는 합법적인 사이트에서 다운로드한 JAR 파일입니다.또한 시대에 뒤떨어진 불법 워드프레스 사이트에서 발생한 감염도 다수 발견되었는데, 이는 게시 플랫폼의 취약점으로 인해 널리 사용되고 있는 전송 방식입니다.
Adwind JRat의 새로운 변형은 초기 JAR 파일을 난독화하여 작동하므로 정적 시그니처 기반 탐지가 효과적이지 않습니다.초기 JAR은 Qealler Header 클래스를 복호화하여 반사적으로 로드합니다. Qealler Header 클래스는 이 클래스의 암호를 해독하고 이를 반영하여 로드합니다.그런 다음 Loader 클래스는 초기 모듈 세트를 복호화하여 반사적으로 로드하고 제어 및 명령 서버를 사용하여 RAT를 초기화하는 역할을 하는 메인 클래스를 호출합니다. 그러면 Adwind JRAT는 구성 파일을 해독하여 C2 서버 IP 주소 목록을 가져올 수 있습니다.주소를 선택하고 TCP 포트 80을 통해 추가 JAR 파일 세트를 원격으로 로드하도록 AES 암호화 요청을 보냅니다.다운로드가 완료되면 JAR 파일은 jRAT를 활성화합니다. 이 jRAT는 제대로 작동하며 브라우저 및 다양한 애플리케이션의 자격 증명을 액세스하고 원격 서버로 전송하기 위한 명령 및 제어 요청을 보낼 수 있습니다.이러한 자격 증명에는 개인 은행 자격 증명이나 비즈니스 앱 로그인 정보 (기본적으로 Windows에서 실행되는 브라우저 또는 애플리케이션에 저장된 모든 암호) 가 포함될 수 있습니다.
이 최신 버전의 Adwind JRat 트로이 목마는 다른 Java 명령처럼 작동하여 동작을 숨길 수 있습니다.초기 JAR 파일을 동적으로 구성하지 않으면 위협 인텔리전스에서 기업 네트워크에 들어오고 나가는 수백만 개의 Java 명령 중 초기 JAR 페이로드를 효과적으로 탐지할 수 있는 정적 규칙이나 시그니처를 만드는 데 사용할 휴리스틱이 거의 또는 전혀 없습니다.마치 백만 명의 군중 속을 헤매다가 겉옷을 들여다보지 못한 채 초록색 속옷을 입은 한 사람을 골라내려 하는 것과 같습니다.그 존재, 생김새, 심지어 초기 행동까지도 의심할 것이 없습니다.모든 게 정상인 것 같아요.
하지만 예외가 있습니다.도난당한 자격 증명을 보고 원격 서버로 보내는 것은 확실히 Java 명령의 일반적인 동작이 아닙니다.어떤 수작업 트릭도 마찬가지입니다.결국에는 비정상적인 행동이 드러나야 합니다.이러한 전제를 고려하면 계층화된 시스템을 배포하는 것이 중요합니다. 사이버 보안 솔루션 네트워크 인프라 전반에 걸쳐 완벽한 사이버 보안 보호를 제공합니다.이 계층형 솔루션은 알려진 위협을 차단하고 클라우드의 원격 브라우저에서 다른 모든 것을 격리한 다음 조직 내부와 외부의 트래픽에 비정상적인 행동이 있는지 모니터링해야 합니다.매직 트릭과 같은 사이버 보안 공격은 전달 방식과 방법이 밝혀지면 더 이상 미스터리하지 않게 됩니다.이러한 비정상적인 행동을 식별하면 공격자를 추적하는 것이 더 쉬워집니다.완전하고 계층화된 사이버 보안 솔루션만이 사용자에게 이러한 수준의 보호를 제공할 수 있습니다.
방법 알아보기 격리를 기반으로 하는 클라우드 보안 플랫폼 고객의 이메일 및 웹 보안을 지원하고 있습니다.
