1. 개요

- 2022년 08월경 새로운 범죄 서비스 발견

- 다크 유틸리티(Dark Utilities) : 사이버 공격을 할 때 사용되는 C2(Command & Control) 서버를 쉽게 준비해주는 서비스

- 다크 유틸리티는 2022년 초 확립된 C2aaS(C2-as-a-Service) 모델 C2 플랫폼

- 비용은 9.99유로이며 등록자수는 3,000명 정도로 예상

 

2. 기능

- 사용자 인증을 위해 Discord를 활용

- 인증 후 플랫폼, 서버 상태 및 기타 지표에 대한 다양한 통계를 표시하는 대시보드가 ​​사용자에게 제공

[사진 1] 대시보드 (출처 : https://blog.talosintelligence.com/dark-utilities/)

- 공격자는 개발 리소스를 할당하지 않고도 여러 아키텍처를 대상으로 할 수 있음

- 피해자 시스템에서 실행되는 코드로 이뤄진 페이로드를 제공

- 피해자 시스템을 서비스에 등록해 C2 통신 채널을 설정 (C2 서버 통신 채널 구현과 관련된 자세한 정보를 제공)

- Windows, Linux 및 Python 기반 페이로드를 지원

[사진 2] OS 및 Command 선택 (출처 : https://blog.talosintelligence.com/dark-utilities/)

- C2 서버를 통해 공격자가 외부에서 악성코드를 제어하고 명령을 내리며, 새 페이로드를 보내는 것은 물론 감염시킨 PC나 서버에서 수집된 데이터를 수신

- 원격 시스템 액세스, DDoS 기능, 암호화폐 채굴 등도 제공

 

3. 대응

① 보안 솔수션 도입

- Endpoint, FW, Email 등 보안 솔루션 후 모니터링

- Snort 정책 적용 : 적용할 수 있는 Snort SID는 60319 ~ 60325

 

② IoC 침해지표 활용

- 확인된 Hash 및 URL 등을 보안 솔루션에 적용하여 탐지 및 차단 적용

 

4. 참고

 

Attackers leveraging Dark Utilities "C2aaS" platform in malware campaigns

By Edmund Brumaghin, Azim Khodjibaev and Matt Thaxton, with contributions from Arnaud Zobec. Executive Summary * Dark Utilities, released in early 2022, is a platform that provides full-featured C2 capabilities to adversaries. * It is marketed as a means t

blog.talosintelligence.com

 

 

GitHub - Cisco-Talos/IOCs: Indicators of Compromise

Indicators of Compromise. Contribute to Cisco-Talos/IOCs development by creating an account on GitHub.

github.com

'악성코드 > 분석' 카테고리의 다른 글

제로클릭(Zero-Click)  (0) 2023.02.20
악성코드와 레지스트리  (1) 2023.01.08
Gh0st RAT(Remote Access Trojan)  (0) 2022.11.28
2021.03.28 PHP Git 서버 해킹 사건_백도어  (1) 2022.11.25
IoT Mirai 악성코드 분석  (0) 2022.11.11

+ Recent posts