수비의 최신 난독 화 속임수를 디코딩하는 |트렌드 마이크로 (미국) 관련 IOC 4개 발견
PowerShell 스크립트를 이용해 CVE-2017-3506 및 CVE-2023-21839 취약점을 이용한 갱단은 URL의 16 진술 인코딩과 포트 443 HTTP를 사용해 은밀한 페이로드 배달을 허용하는 난독화 기술을 사용했습니다. PowerShell 스크립트에는 환경 변수를 사용해 악성 코드를 숨기기 위한 복잡한 인코딩과 관련되었고, .NET 리플렉션 기술을 사용해 메모리에서만 실행되는 맬웨어 코드를 탐지 메커니즘을 피할 수 있었습니다. 중국 기반 위협 행위자는 이러한 TTP를 지속적으로 진화시켜 사이버 보안 모범 사례를 따르게 해야 한다는 필요성을 강조합니다.
PowerShell 스크립트를 이용해 CVE-2017-3506 및 CVE-2023-21839 취약점을 공격한 갱단은 난독화 기술을 사용해 은밀한 페이로드 배달을 허용하고, 환경 변수를 사용해 악성 코드를 숨기고 .NET 리플렉션 기술을 사용해 메모리에서만 실행되는 맬웨어 코드를 탐지 메커니즘을 피할 수 있는 TTP 지속적인 진화를 강조합니다.
Trendmicro
Decoding Water Sigbin’s Latest Obfuscation Tricks | Trend Micro (US)
Using the PowerShell script, the CVE-2017-3506 and CVE-2017-21839 Gongdaes used the URL’s 16 statement of coding and the hugging technology that allows secret payload delivery using port 443 HTTP.The PowerShell script was associated with complex encoding for hiding malware using environmental variables, and the detection mechanism was avoided by using the .NET reflection technology to run only in memory.China -based threats emphasize the need to continue to evolve these TTPs and follow the case of cyber security best practices.
Using the PowerShell script, the gang that attacked the CVE-2017-3506 and CVE-2023-21839 vulnerabilities using the obserpy technology to allow secret payload delivery, use environment variables to hide malware, and use .NET reflection technology only in memory only in memoryEmphasize the TTP continuous evolution that can avoid the detection mechanism of the running malware code.
https://www.trendmicro.com/en_us/research/24/e/decoding-8220-latest-obfuscation-tricks.html