
๐ ๋ฌธ์ ๋งํฌ
https://cyberdefenders.org/blueteam-ctf-challenges/brabbit/
BRabbit | Blue team challenge.
BRabbit is a blue team lab that falls under the Threat Intel category and will cover the following subjects: Email Header Analyzer, malpedia, ANY.RUN, VirusTotal, MalwareURL, Execution, Persistence, Privilege Escalation, Command and Control, Impact.
cyberdefenders.org
๐ต๏ธ ์๋๋ฆฌ์ค

๋น์ ์ Drumbo๋ผ๋ ํ์ฌ๋ฅผ ์ง์ํ๋ ์กฐ์ฌ๊ด(์กฐ์ฌ์)์ ๋๋ค. Drumbo๋ ์ต๊ทผ ๋์ฌ์จ์ด ๊ณต๊ฒฉ์ ๋นํ์ต๋๋ค.
๊ณต๊ฒฉ์ ํ ์ง์์ด ์ฌ์ฅ์ผ๋ก๋ถํฐ ์จ ๊ฒ์ฒ๋ผ ๋ณด์ด๋ ์ด๋ฉ์ผ์ ๋ฐ์ ๊ฒ์์ ์์๋์์ต๋๋ค.
์ด ์ด๋ฉ์ผ์๋ ํ์ฌ์ ๋ก๊ณ ์ ์ต์ํ ์ด๋ฉ์ผ ์ฃผ์๊ฐ ํฌํจ๋์ด ์์์ต๋๋ค.
์ง์์ ์ด ์ด๋ฉ์ผ์ด ์ง์ง๋ผ๊ณ ๋ฏฟ๊ณ ์ฒจ๋ถํ์ผ์ ์ด์๊ณ , ๊ทธ ๊ฒฐ๊ณผ ์์คํ ์ด ๊ฐ์ผ๋์์ต๋๋ค.
๋์ฌ์จ์ด๊ฐ ์ค์น๋๋ฉด์ ์ค์ํ ํ์ผ๋ค์ด ์ํธํ๋์์ต๋๋ค.๋น์ ์ ์๋ฌด๋ ํด๋น ์ฌ๊ฑด์ ์กฐ์ฌ์ ๋ถ์์ ํตํด ๊ณต๊ฒฉ์์ ๋ํ ์ ๋ณด๋ฅผ ๋ฐํ๋ด๋ ๊ฒ์ ๋๋ค.
์ฆ, ๋์ฌ์จ์ด ๊ณต๊ฒฉ๊ณผ ๊ด๋ จ๋ ์ฆ๊ฑฐ(์ํฐํฉํธ)๋ฅผ ๋ถ์ํ์ฌ, ๊ณต๊ฒฉ์๊ฐ ๋๊ตฌ์ธ์ง ํน์ ์ด๋ค ํ์ ์ ๋จ๊ฒผ๋์ง๋ฅผ ํ์ ํ๋ ๊ฒ์ด ๋ชฉ์ ์ ๋๋ค.
๐ ๋ฌธ์ ํ์ผ
zipํ์ผ์ด ํ๋ ์ฃผ์ด์ง๋ฉฐ, ํ์ผ ์์๋ ๊ฒฝ๊ณ ๋ฌธ๊ตฌ๊ฐ ๋ด๊ธด txt ํ์ผ ํ๋์ ์ค์ ์
์ฑ ํ์ผ์ด ํจ๊ป ๋ค์ด์๋ค.์ ๊ณต๋ ์
์ฑ ํ์ผ์ ์ด๋ฉ์ผ(.eml
) ํ์ผ์ด๋ค.


๐ ๋ฌธ์ ํ์ด
์
์ฑ ํ์ผ์ ๊ฐ์๋จธ์ ์์ ์ด์ด ๋ณด์๋ค. ๋ค์๊ณผ ๊ฐ์ด ์์ฌ์ค๋ฌ์ ๋ณด์ด๋ Urgent Contract Action.pdf.exe
๋ช
์ ํ์ผ์ด ์ฒจ๋ถ๋์ด ์๋ ๊ฒ์ ๋ณผ ์ ์์๋ค. ์คํ ํ์ผ์์ ์จ๊ธฐ๊ธฐ ์ํด .pdf.exe
๋ผ๊ณ ๊ฐ์ง ํ์ฅ๋ช
์ ๋ถ์ธ ๊ฒ์ ํ์ธํ ์ ์๋ค.
๋ง์ฝ ํ์ผ์ ๋ค์ด๋ก๋ํ๊ณ , ํ์ผ ํ์๊ธฐ์์ ์ด์์ ๋, ํ์ฅ๋ช
๋ณด๊ธฐ ๊ธฐ๋ฅ์ด ๋นํ์ฑํ ๋์ด์๋ค๋ฉด ํ์ผ์ Urgent Contract Action.pdf
๋ผ๊ณ ๋ง ๋ณด์ผ ๊ฒ์ด๋ค.

์ฆ๊ฐ์ ์ธ ์กฐ์น ํ์: ๊ทํ์ ๊ณ ์ฉ ๊ณ์ฝ์
--------------------------------------------------------------------------------------------------------------
Drumboยฎ theceojamessmith@Drumbo.com ๋ฐ๋ ์ฌ๋: Rafaiel@Drumbo.com
์ฒจ๋ถํ์ผ: Urgent Contract Action.pdf.exe (431.54KB)
--------------------------------------------------------------------------------------------------------------
์ฆ๊ฐ์ ์ธ ์กฐ์น ํ์: ๊ทํ์ ๊ณ ์ฉ ๊ณ์ฝ์
Rafaiel๋๊ป,
์๋ ํ์ธ์. ๋ณธ ๋ฉ์ผ์ด ์ ์ ๋ฌ๋์๊ธธ ๋ฐ๋๋๋ค. ๊ทํ์ ๊ณ ์ฉ ๊ณ์ฝ์์ ๋ํ ๊ธด๊ธ ๊ฒํ ๊ฐ ํ์ํ๋ค๋ ์ ์ ์๋ด๋๋ฆฝ๋๋ค. ์ ๋ฌด ์งํ์ ์ํด ์ค๋ ์์ผ๋ก ์ฒจ๋ถ๋ ๋ฌธ์๋ฅผ ๋ค์ด๋ก๋ํ์ฌ ๊ฒํ ํด ์ฃผ์๊ธฐ ๋ฐ๋๋๋ค. ์ ์๊ฐ์ ์ฒ๋ฆฌ๋์ง ์์ ๊ฒฝ์ฐ, ๊ณ ์ฉ ์ํ ์ฒ๋ฆฌ์ ์ง์ฐ์ด ๋ฐ์ํ ์ ์์ต๋๋ค.
์ด ๋ฌธ์๋ ์ต์ ์ง์ ๊ธฐ๋ก ์ ์ง ๋ฐ ์ปดํ๋ผ์ด์ธ์ค ์ค์๋ฅผ ์ํด ๋งค์ฐ ์ค์ํฉ๋๋ค. ์ ํด์ง ์๊ฐ ๋ด์ ์๋ตํ์ง ์์ ๊ฒฝ์ฐ, ๊ณ ์ฉ ์ ์ฐจ์ ์ง์ฐ ๋๋ ์ค๋จ์ด ์๊ธธ ์ ์์ต๋๋ค.
๊ทํ์ ํธ์๋ฅผ ์ํด ์ ๊ณ ์ฉ ๊ณ์ฝ์๋ฅผ ์ฒจ๋ถํด ๋๋ ธ์ต๋๋ค. ๊ถ๊ธํ ์ ์ด๋ ๋ฌธ์ ์ฌํญ์ด ์์ผ์๋ฉด ์ธ์ฌ(HR) ๋ถ์๋ก ์ธ์ ๋ ์ฐ๋ฝํด ์ฃผ์ธ์. ์ด ์ฌ์์ ์ ์ํ๊ฒ ๋์ํด ์ฃผ์ ์ ๊ฐ์ฌํฉ๋๋ค.
๊ฐ์ฌํฉ๋๋ค. CEO ๋๋ผ๋ณด(Drumbo Inc.)
ํผ์ฑ ๋ฉ์ผ ๋ด์ฉ ์ญ์ ์ฌ์ดํ๋ฉฐ ์ฌ์ฉ์์๊ฒ ํ์ผ์ ์คํ์ํฌ ๊ฒ์ ์ ๋ํ๊ณ ์๋ค.
๋ฌธ์ 1.
์ ์ฑ ์ฒจ๋ถํ์ผ์ ์ ๋ฌํ๊ธฐ ์ํด ์ฌ์ฉ๋ ํผ์ฑ ์ด๋ฉ์ผ์๋ ์ฌํ๊ณตํ์ ๊ธฐ๋ฒ์ ์๋๋ก ๋ณผ ์ ์๋ ์ฌ๋ฌ ๊ฐ์ง ์งํ๊ฐ ๋ํ๋ฌ์ต๋๋ค. ์ด๋ฌํ ์งํ๋ฅผ ์ธ์ํ๋ ๊ฒ์ ์์ผ๋ก ์ ์ฌํ ์ํ์ ์๋ณํ๋ ๋ฐ ๋์์ด ๋ ์ ์์ต๋๋ค.
์ฒจ๋ถํ์ผ์ ๋ณด๋ธ ์์ฌ์ค๋ฌ์ด ์ด๋ฉ์ผ ์ฃผ์๋ ๋ฌด์์ ๋๊น?
์ ์ด๋ฉ์ผ์์ ํ์ธํ ์ ์๋ฏ, ์ด๋ฉ์ผ์ ๋ณด๋ธ ๊ณต๊ฒฉ ํ์์์ ์ฃผ์๋ theceojamessmith@Drurnbo.com
์ด๋ค.
์ด๋ ๋ฐ๋ ์ฌ๋ ์ฃผ์๊ฐ Rafaiel@Drumbo.com
์ผ๋ก ๋ณด์์ ๋, ๋์์์ผ๋ก ๊ฐ์ ํ์ฌ ๋ด์์ ์จ ๋ฉ์ผ๋ก ์ฐฉ๊ฐํ๊ฒ ๋ง๋ค๊ธฐ ์ํ ์๋๋ก ๋ณผ ์ ์๋ค.
๋ฐ๋ผ์, ์ ๋ต์ theceojamessmith@Drurnbo.com
์ด๋ค.

๋ฌธ์ 2.
์ด ๋์ฌ์จ์ด๋ ์ด๋ฏธ ์๋ ค์ง ์ ์ฑ์ฝ๋ ๊ณ์ด(family)์ ์ํ๋ ๊ฒ์ผ๋ก ํ์ธ๋์์ต๋๋ค. ๊ณ์ด ์ด๋ฆ์ ํ์ธํ๋ฉด ๋์ฌ์จ์ด์ ๋์ ๋ฐฉ์๊ณผ ๋์ ์ ๋ต์ ํ์ ํ๋ ๋ฐ ์ค์ํ ์ ๋ณด๋ฅผ ์ป์ ์ ์์ต๋๋ค.
์กฐ์ฌ ๊ณผ์ ์์ ํ์ธ๋ ๋์ฌ์จ์ด์ ๊ณ์ด ์ด๋ฆ์ ๋ฌด์์ ๋๊น?
์ด๋ฉ์ผ์์ ํ๋ํ ์ ์ฑ์ฝ๋ ํ์ผ์ Virus Total์ ๊ฒ์ํด๋ณด์๋ค.
72๊ฐ์ ๋ฒค๋์ฌ ์ค, 67๊ฐ๊ฐ ์ ์ฑ์ผ๋ก ์ง๋จํ๊ณ ์๋ค.

Popular threat label๋ช
์ด badrabbit
์ธ ๊ฒ์ ํ์ธํ ์ ์๋ค. ์ด๋ ์ฆ, ์
์ฑ์ฝ๋์ ํจ๋ฐ๋ฆฌ๋ช
์ผ๋ก ๋ณผ ์ ์๋ค.
๋ฐ๋ผ์, ์ ๋ต์ Badrabbit
์ด๋ค.

๋ฌธ์ 3.
์คํ๋๋ฉด, ๋์ฌ์จ์ด๋ ๊ฐ์ผ๋ ์์คํ ์ ํ์ผ์ ํ๋ ์์ฑํ์ฌ ํ์ด๋ก๋(์ ์ฑ ํ์)๋ฅผ ์์ํ์ต๋๋ค. ์ด ํ์ผ์ ์๋ณํ๋ ๊ฒ์ ๊ฐ์ผ ๊ณผ์ ์ ์ดํดํ๋ ๋ฐ ํ์์ ์ ๋๋ค.
๋์ฌ์จ์ด๊ฐ ์ฒ์์ผ๋ก ์์ฑํ ํ์ผ์ ์ด๋ฆ์ ๋ฌด์์ ๋๊น?
Malwarebytes์ BadRabbit ๋ถ์ ๋ณด๊ณ ์๋ฅผ ์ฐพ์๋ณด์๋ค. ์ ์ด๋ฉ์ผ์ ์ฒจ๋ถ๋ exe ํ์ผ์ ์คํํ๋ฉด, ์ฃผ์ ๋ชจ๋์ ๋๋กญํ๋๋ฐ, ํด๋น ํ์ผ๋ช
์ด infpub.dat
์ด๋ผ๋ ๊ฒ์ ์ ์ ์์๋ค.

๋ฐ๋ผ์, ์ ๋ต์ infpub.dat
์ด๋ค.

๋ฌธ์ 4.
๋๋กญ๋ ํ์ผ ๋ด๋ถ์๋ ์ ์ฑ์ฝ๋์ ๊ธฐ์์ด๋ ์ค์ ์ ๋ํ ์ค๋ง๋ฆฌ๋ฅผ ์ ๊ณตํ ์ ์๋ ์ฌ์ฉ์ ์ด๋ฆ๊ณผ ๋น๋ฐ๋ฒํธ ๋ฑ ํ๋์ฝ๋ฉ๋ ์ ๋ณด(์ํฐํฉํธ)๊ฐ ํฌํจ๋์ด ์์์ต๋๋ค.
๋๋กญ๋ ํ์ผ์์ ๋ฐ๊ฒฌ๋ ์ ์ผํ ์ฌ๋์ ์ ์ ๋ค์์ ๋ฌด์์ ๋๊น?
์ด ๋ฌธ์ ๋ infpub.dat
ํ์ผ์์ ์ฌ๋์ ์ ์ ๋ค์์ ์ฐพ์ผ๋ผ๋ ๋ฌธ์ ๋ค. ์ฆ, ์ฌ๋์ ์ด๋ฆ์ด๋ผ๋ ๊ฒ์ ์ถ์ธกํ ์ ์๋ค.
๋จผ์ , infpub.dat
ํ์ผ์ ์์งํด์ผ ํ๋ค. ๋๋ ์ด๋ฅผ ์ํด x32dbg๋ฅผ ์ด์ฉํด infpub.dat
์ด cmd๋ก ์คํ๋๋ ๋ถ๋ถ ์ฏค์ bp๋ฅผ ๊ฑธ์ด C:\\windows\\infpub.dat
๊ฒฝ๋ก์ ํ์ผ์ ํ๋ํ์๋ค.

๋ถ์ ๋ณด๊ณ ์์ ๋์จ ํด์ ๊ฐ๊ณผ ๋น๊ตํ์ ๋ ๋์ผํ ๊ฒ์ ํ์ธํ ์ ์์๋ค.


๋ํ, ์๊ทธ๋์ฒ๊ฐ MZ
์ฆ. 5a 4d
์ธ ๊ฒ์ ํตํด PEํ์ผ์์ ์ ์ ์์๋ค.

infpub.dat
ํ์ผ์ x32dbg๋ก ์ด์ด๋ณด์๋๋ ๋ค์๊ณผ ๊ฐ์ ๋ฌธ์์ด๋ค์ ๋ณผ ์ ์์๋ค.
์ํธํ ํ ํน์ ํ์ฅ์์ ๋์ฌ๋ ธํธ๋ก ์ถ์ ๋๋ค.

๋ฌธ์์ด ์ฐธ์กฐ์์๋ ๋ณด์ด์ง ์์์ ๋ณ์๊ฐ ์ ์ฅ๋๋ data ์น์ ์์ ๋ค์๊ณผ ๊ฐ์ด ์ ์ ๋ค์ ๋ชฉ๋ก์ผ๋ก ์ถ์ ๋๋ ๋ฌธ์์ด๋ค์ ๋ฐ๊ฒฌํ๋ค.
๊ทธ ์ค, ์ ์ผํ ์ฌ๋ ์ด๋ฆ์ธ alex
๊ฐ ๋์ ๋์๋ค.

๋ฐ๋ผ์, ์ ๋ต์ alex
์ด๋ค.

๋ฌธ์ 5.
์คํ ํ, ๋์ฌ์จ์ด๋ C2 ์๋ฒ์ ํต์ ํ์์ต๋๋ค. ์ด๋ฌํ ํต์ ๊ธฐ๋ฒ์ ํ์ ํ๋ ๊ฒ์ ๋์์ ๋์์ด ๋ ์ ์์ต๋๋ค.
๋์ฌ์จ์ด๊ฐ ๋ฐ์ดํฐ ์ก์์ ์ ์ํด ์น ํ๋กํ ์ฝ์ ์ฌ์ฉํ๋ ํ์๋ฅผ ์ค๋ช ํ๋ MITRE ATT&CK ํ์ ๊ธฐ๋ฒ(sub-technique)์ ๋ฌด์์ ๋๊น?
C2๊ฐ Command and Control์ด๋ผ๋ ๋ป์ด๋ฏ๋ก Command and Control๋ฅผ ํ์ธํด์คฌ๋ค.
๋ํ, ์น ํ๋กํ ์ฝ์ ์ฌ์ฉํ๋ค๊ณ ํ๊ธฐ ๋๋ฌธ์ Application Layer Protocol์ ํ์์ ์๋ Web Protocol์ ID๋ฅผ ํ์ธํด ์ฃผ์๋ค.

๋ฐ๋ผ์, ์ ๋ต์ T1071.001
์ด๋ค.

๋ฌธ์ 6.
์ง์์ฑ(Persistence) ๋ฉ์ปค๋์ฆ์ ์ ๊ตํ ๋์ฌ์จ์ด์ ํน์ง์ ๋๋ค.
์ง์์ฑ์ด ์ด๋ป๊ฒ ๋ฌ์ฑ๋์๋์ง ํ์ ํ๋ ๊ฒ์ ๋ณต๊ตฌ์ ์ฌ๊ฐ์ผ ๋ฐฉ์ง์ ๋์์ด ๋ ์ ์์ต๋๋ค.
์ด ๋์ฌ์จ์ด์ ์ง์์ฑ ๊ธฐ๋ฒ๊ณผ ๊ด๋ จ๋ MITRE ATT&CK ํ์ ๊ธฐ๋ฒ(Sub-Technique) ID๋ ๋ฌด์์ ๋๊น?
์ด ์
์ฑ์ฝ๋๋ dispci.exe
๋ผ๋ ๋ ๋ค๋ฅธ ์
์ฑ์ฝ๋๋ฅผ ๋๋กญํ๋๋ฐ, ์ด ์
์ฑ ์คํํ์ผ์ ์์
์ค์ผ์ค๋ฌ์ ๋ฑ๋กํ์ฌ ๋ถํ
์๋ง๋ค ์๋์ผ๋ก ์คํ๋๋๋ก ํ๋ค.
์ฐธ๊ณ ๋ก, dispci.exe
๋ ๋์คํฌ๋ฅผ ์ํธํํ๋ ์ญํ ์ ํ๋ค๊ณ ํ๋ค.

๋ฐ๋ผ์, ์ง์์ฑ์ ์ ์งํ๊ธฐ ์ํด ์์
์ค์ผ์ค๋ฌ์ ๋ฑ๋ก์ ํ๋ ๊ฒ์ด๊ณ , ์ด Tatic์ ID๋ T1053.005
์ด๋ค.

๋ฌธ์ 7.
๊ฐ์ผ ๊ณผ์ ์ ์ผํ์ผ๋ก, ๋์ฌ์จ์ด๋ ์์ ์ ์ง์์ ์ธ ๋์์ ๋ณด์ฅํ๊ธฐ ์ํด ํน์ ์์ ๋ค์ ์์ฑํ์ต๋๋ค.
์ด๋ฌํ ์์ ์ ํ์ ํ๋ ๊ฒ์ ์์คํ ๋ณต๊ตฌ์ ๋งค์ฐ ์ค์ํฉ๋๋ค.
๋์ฌ์จ์ด๊ฐ ์คํ ์ค์ ์์ฑํ ์์ ๋ค์ ์ด๋ฆ์ ๋ฌด์์ ๋๊น?
Kaspersky์ Securelist ๋ธ๋ก๊ทธ๋ฅผ ์ฐธ๊ณ ํ์๋ค.
์ด ์
์ฑ์ฝ๋(infpub.dat
)์ด dispci.exe
๋ฅผ ์ค์ผ์ค์ ๋ฑ๋กํ๋ฉฐ ์์
์ด๋ฆ์ "์์ข์ ๊ฒ์" ์๋ฆฌ์ฆ์ ์บ๋ฆญํฐ ์ด๋ฆ์ผ๋ก ๋ง๋ค์๋ค๊ณ ํ๋ค.

๋ฐ๋ผ์, ๋ต์ rhaegal, drogon
์ด๋ค.

๋ฌธ์ 8.
์ ์ฑ ๋ฐ์ด๋๋ฆฌ dispci.exe๋ ์คํ ์ ์ฌ์ฉ์์๊ฒ ๋ฐฉ์ด ์๋จ์ ๋นํ์ฑํํ๋ผ๊ณ ์๊ตฌํ๋ ์์ฌ์ค๋ฌ์ด ๋ฉ์์ง๋ฅผ ํ์ํ์ต๋๋ค.
์ด ๋ฐฉ๋ฒ์ ํ์ง๋ฅผ ํผํ๊ณ ๋์ฌ์จ์ด๊ฐ ์์ ํ ์คํ๋ ์ ์๋๋ก ํ๊ธฐ ์ํ ๊ฒ์ด์์ต๋๋ค.
์ด ๋ฐ์ด๋๋ฆฌ๋ฅผ ์คํํ์ ๋ ์ฝ์์ ํ์๋ ์์ฌ์ค๋ฌ์ด ๋ฉ์์ง๋ ๋ฌด์์ ๋๊น?
Fortinet์ BadRabbit ๋์ฌ์จ์ด ๋ถ์๊ธ์ ํ์ธํด๋ณด๋ฉด, ๋์ฌ๋ ธํธ์ ์ํฐ๋ฐ์ด๋ฌ์ค์ ์ํฐ๋ฉ์จ์ด ํ๋ก๊ทธ๋จ์ ๋นํ์ฑํ ํ๋ผ๋ ๊ธ์ ๋ณผ ์ ์๋ค.

๋ฐ๋ผ์ ์ ๋ต์ Disable your anti-virus and anti-malware programs
์ด๋ค.

๋ฌธ์ 9.
๋ง์คํฐ ๋ถํธ ๋ ์ฝ๋(MBR)๋ฅผ ์์ ํ๊ณ ํผํด์์ ํ๋ ๋๋ผ์ด๋ธ๋ฅผ ์ํธํํ๊ธฐ ์ํด, ๋์ฌ์จ์ด๋ ํน์ ๋๋ผ์ด๋ฒ๋ฅผ ์ฌ์ฉํ์ต๋๋ค. ์ด ๋๋ผ์ด๋ฒ๋ฅผ ์๋ณํ๋ ๊ฒ์ ์ํธํ ๋ฉ์ปค๋์ฆ์ ์ดํดํ๋ ๋ฐ ์ค์ํฉ๋๋ค.
ํ๋ ๋๋ผ์ด๋ธ๋ฅผ ์ํธํํ๊ณ MBR์ ์์ ํ๋ ๋ฐ ์ฌ์ฉ๋ ๋๋ผ์ด๋ฒ์ ์ด๋ฆ์ ๋ฌด์์ ๋๊น?
Malwarebytes์ ๋ถ์๊ธ์์ ํ๋ ๋๋ผ์ด๋ธ๋ฅผ ์ํธํํ๊ธฐ ์ํด DiskCryptor
๋ผ๋ ๋๋ผ์ด๋ฒ๋ฅผ ์ด์ฉํ๋ค๊ณ ํ๋ค.
์
์ฑ์ฝ๋ ๋ด์์ ์ด๋ฆ์ cscc.dat
์ผ๋ก ๋ฑ์ฅํ๋ค.
DiskCryptor
์ ์๋ ์
์์ ์ธ ์ํธํ ํ๋ก๊ทธ๋จ์ด ์๋์ง๋ง, ํด๋น ์
์ฑ์ฝ๋์์ ์
์ฉํ์ฌ ์ฌ์ฉํ๋ค๊ณ ํ๋ค.

๋ฌธ์ 10.
์ํ ํ๊ฒฝ์ ์ดํดํ๋ ๋ฐ ์์ด ๊ท์(Attribution)์ ํต์ฌ์ ์ ๋๋ค.
์ด ๋์ฌ์จ์ด๋ ๊ทธ ์ ์ , ๊ธฐ๋ฒ, ์ ์ฐจ(TTPs)๋ฅผ ํตํด ์๋ ค์ง ๊ณต๊ฒฉ ๊ทธ๋ฃน๊ณผ ์ฐ๊ด๋์์ต๋๋ค.
์ด ๋์ฌ์จ์ด ์บ ํ์ธ์ ์ฑ ์์ด ์๋ ์ํ ํ์์์ ์ด๋ฆ์ ๋ฌด์์ ๋๊น?
์ด ๋์ฌ์จ์ด ์บ ํ์ธ์ ์ํํ ๊ณต๊ฒฉ ๊ทธ๋ฃน์ ์ฐพ๊ธฐ ์ํด malpedia์ ๊ฒ์ํด ๋ณด์๋ค.
์ด๋ฅผ ํตํด TeleBots์ Sandworm์ด๋ผ๋ ๊ทธ๋ฃน์ด ํด๋น ๋์ฌ์จ์ด๋ฅผ ์ฌ์ฉํ๋ค๋ ๊ฒ์ ์ ์ ์์๋ค.

๋ฐ๋ผ์ ์ ๋ต์ Sandworm

๋ฌธ์ 11.
๋์ฌ์จ์ด๋ ์ฃผ์ ์์คํ ๊ตฌ์ฑ ์์๋ฅผ ์์์์ผ ์์คํ ์ด ๋ถํ ๋์ง ์๋๋ก ๋ง๋ค์์ต๋๋ค.
์ด๋ ์ฌ์ฉ๋ ๊ธฐ๋ฒ์ ์๋ณํ๋ฉด ํด๋น ๋์ฌ์จ์ด์ ํ๊ดด์ ์ญ๋์ ์ดํดํ๋ ๋ฐ ๋์์ด ๋ฉ๋๋ค.
์์คํ ํ์จ์ด๋ฅผ ์์์ํค๊ณ ๋ถํ ์ ๋ฐฉํดํ๋ ๋ฐ ์ฌ์ฉ๋ MITRE ATT&CK ๊ธฐ๋ฒ์ ID๋ ๋ฌด์์ ๋๊น?
ํ์จ์ด๋ฅผ ์์์ํจ๋ค๋ ๋ถ๋ถ์ ์ด์ ์ ๋ง์ถ๊ณ ๋ง์ดํฐ์ดํ์์ ํ ํฌ๋์ ์ฐพ์๋ณด์๋ค.
๊ทธ ๊ฒฐ๊ณผ, Impact - Firmware Corruption ์ด๋ผ๋ ํ ํฌ๋์ด ์กด์ฌํ๋ค.


๋ฐ๋ผ์, ๋ต์ T1495
์ด๋ค.

'CTF' ์นดํ ๊ณ ๋ฆฌ์ ๋ค๋ฅธ ๊ธ
[Blue team CTF] Yellow RAT Lab (0) | 2025.05.28 |
---|---|
[UMassCTF2025] forensic_Mascrotrace (1) | 2025.04.21 |
[UMassCTF2025] forensic_No Updates (0) | 2025.04.21 |
picoCTF 2021 | information (0) | 2022.06.22 |
picoCTF 2021 | Mod 26 (0) | 2022.06.22 |