Beep Malware

사이버 보안 연구원들이 'Beep'으로 추적되는 위협적인 소프트웨어를 발견했습니다. 이 맬웨어는 보안 소프트웨어에 의한 탐지 및 분석에 대한 내성이 강한 다양한 기능으로 설계되었습니다. 개발 단계에 있고 특정 필수 구성 요소가 부족함에도 불구하고 Beep 맬웨어는 공격자가 성공적으로 손상시킨 장치에서 추가 페이로드를 원격으로 다운로드하고 실행할 수 있도록 허용할 수 있습니다. 이 위협에 대한 자세한 내용은 infosec 전문가가 공개한 보고서에서 공개되었습니다.

이로 인해 Beep은 잠재적으로 공격자에게 중요한 정보에 대한 무단 액세스 권한을 부여하고 영향을 받는 장치에 대한 제어 권한을 부여할 수 있으므로 조직 및 개인에게 매우 우려스러운 위협이 됩니다. 개인과 조직은 보안 소프트웨어를 최신 상태로 유지하고 장치에서 의심스러운 활동의 징후가 있는지 경계하여 이러한 맬웨어 공격을 방지해야 합니다.

경고음 맬웨어는 표적이 된 피해자에게 심각한 위험을 초래할 수 있습니다.

경고음은 손상된 장치에서 민감한 정보를 수집하도록 설계되었습니다. 드로퍼, 인젝터 및 페이로드의 세 가지 주요 구성 요소로 구성됩니다.

'big.dll'이라고도 하는 드롭퍼는 AphroniaHaimavati라는 특정 값을 가진 새 레지스트리 키를 생성합니다.' 이 값에는 base64 형식으로 인코딩된 PowerShell 스크립트가 포함되어 있습니다. PowerShell 스크립트는 장치에서 13분마다 예약된 작업에 의해 시작됩니다.

스크립트가 실행되면 데이터를 다운로드하여 AphroniaHaimavati.dll이라는 인젝터에 저장합니다. 인젝터는 'WWAHost.exe'라는 적법한 시스템 프로세스에 페이로드를 주입하기 위해 다양한 안티 디버깅 및 안티 VM(가상화) 기술을 사용하는 역할을 합니다. 이는 호스트에서 실행되는 보안 도구의 탐지를 피하는 데 도움이 되는 프로세스 비우기라는 프로세스를 통해 수행됩니다.

기본 페이로드는 손상된 장치에서 데이터를 수집하고 암호화하는 역할을 합니다. 그런 다음 암호화된 데이터를 하드코딩된 명령 및 제어(C2) 서버로 보내려고 시도합니다. 분석하는 동안 하드코딩된 C2 주소는 오프라인 상태였지만 악성코드는 120번의 시도 실패 후에도 계속해서 연결을 시도했습니다.

Beep 악성코드는 탐지되지 않은 상태로 유지되는 데 중점을 둡니다.

Beep 맬웨어는 실행 흐름 전반에 걸쳐 구현되는 여러 회피 기술로 유명하여 보안 소프트웨어 및 정보 보안 연구원의 탐지 및 분석이 어렵습니다. 이러한 기술에는 문자열 난독화, 시스템 언어 검사, 디버거 감지, 안티 VM 및 안티 샌드박스 조치 등이 포함됩니다. 맬웨어의 인젝터 구성 요소는 또한 몇 가지 추가 안티 디버깅 및 탐지 회피 기술을 구현합니다. 회피에 대한 Beep의 초점은 현재 야생에서의 제한된 작업에도 불구하고 조심해야 할 다가오는 위협이 될 수 있음을 나타냅니다.