728x90
반응형
내용 요약
중앙·남아시아 통신·제조업체를 노린 새로운 사이버 스파이 캠페인에서 PlugX 악성코드 변종이 등장했습니다. 이 변종은 RainyDay/Turian 백도어와 밀접한 기술적 유사성을 보이며, DLL 사이드로딩과 XOR‑RC4‑RtlDecompress 기법을 활용해 정상 애플리케이션을 악용합니다.
핵심 포인트
- PlugX 변종이 DLL 사이드로딩으로 인증되지 않은 코드를 삽입, 정상 프로세스 내에서 실행됩니다.
- XOR‑RC4‑RtlDecompress 암호화를 통해 페이로드를 보호하며, 해킹 분석을 어렵게 만듭니다.
- RainyDay/Turian과의 연관성으로 중국 연계 위협그룹이 개입했을 가능성이 제기됩니다.
기술 세부 내용
1️⃣ DLL Side‑Loading
- 정의: 악성 DLL을 정상 애플리케이션과 동일한 디렉터리 또는 시스템 폴더에 배치해, 실행 시 자동으로 로드되는 기술.
- 작동 방식:
- 타깃 시스템에서 정상 프로그램(예: 사내 도구) 실행.
- 운영 체제는 DLL 탐색 경로를 따라 먼저 악성 DLL을 찾음.
- 악성 DLL이 로드되어 인증되지 않은 코드가 프로그램에 삽입.
- 장점: 인증 절차를 우회하고, 방화벽·안티바이러스 차단을 회피하기 쉽습니다.
- 대응 방안:
- DLL 탐색 경로를 제한하고, 서명되지 않은 DLL은 무시하도록 보안 정책 설정.
- 파일 시스템 접근 로그를 모니터링해 비정상적 DLL 배치를 탐지.
2️⃣ XOR‑RC4‑RtlDecompress
- 정의: 두 단계 암호화(비트 XOR + RC4)와 이후 RtlDecompress를 이용한 압축 해제 기법.
- 프로세스:
- XOR: 파일 상단에 삽입된 마스크 키로 바이트 단위 XOR 수행.
- RC4: XOR 결과를 RC4 스트림에 입력해 보안 강화를 위해 추가 난수화.
- RtlDecompress: WinAPI
RtlDecompressBuffer를 호출해 압축된 페이로드를 복원.
- 효과:
- 패턴 인식이 어려워 서명 기반 탐지를 회피.
- 압축 단계에서 페이로드 크기를 줄여 네트워크 전송량을 최적화.
- 대응 방안:
- XOR/RC4 해독 모듈을 포함한 동적 분석 환경 구성.
- RtlDecompress 호출을 모니터링하고, 의심스러운 압축 요청을 차단.
⚠️ 참고
PlugX 변종은 RainyDay 및 Turian 백도어와 유사한 C2 구조를 공유하고 있어, 기존 보안 제품이 이미 방어할 수 있는 패턴이 겹칩니다. 따라서 기존 룰셋에 해당 패턴을 추가하면 탐지 가능성이 높아집니다.
이 문서는 PlugX 기반 공격의 핵심 메커니즘과 대응 전략을 IT 전문가가 신속히 파악할 수 있도록 구성되었습니다.
출처: https://www.dailysecu.com/news/articleView.html?idxno=200996
728x90
반응형
SMALL
'보안이슈' 카테고리의 다른 글
| [KRCERT]美 CISA 발표 주요 Exploit 정보공유(Update. 2025-09-29) (0) | 2025.09.30 |
|---|---|
| [데일리시큐][웨비나 초대] 프랙 리포트 속 스텔스 리눅스 루트킷 시연 및 탐지기법 공유, 샌드플라이-데일리시큐 공동 웨비나서 최초 시연 (0) | 2025.09.30 |
| [데일리시큐]중국 해킹그룹, 지원 종료된 방화벽 제로데이 공격…국가 기관 타깃 공격 정황 (0) | 2025.09.29 |
| [데일리시큐]가짜 해체쇼한 랩서스-샤이니헌터 등 3개 해커 연합…“다시 온다”…한국 기업도 위험권에 (0) | 2025.09.29 |
| [보안뉴스]국가AI전략위 ‘AI인프라 거버넌스·혁신 TF’ 구성...국정자원 화재 대응 방안 마련 (0) | 2025.09.29 |