피드로 돌아가기
Self-destructing Mistic backdoor linked to access broker selling corporate footholds to ransomware gangs
The RegisterThe Register
Security

In-memory 실행과 Self-destruct 기능을 통한 Mistic 백도어의 탐지 회피 설계

Self-destructing Mistic backdoor linked to access broker selling corporate footholds to ransomware gangs

2026년 6월 26일2intermediate

Context

전통적인 파일 기반 백도어는 Disk Write 기록으로 인해 Antivirus 및 Endpoint Detection 솔루션에 의해 쉽게 탐지되는 한계 존재. Initial Access Broker(IAB)인 KongTuke는 Ransomware 그룹에 권한을 판매하기 위해 장기적이고 은밀한 거점 확보가 필요한 상황.

Technical Solution

  • legitimate 파일(MpExtMs.exe)을 통한 DLL Side-loading 방식으로 정상 소프트웨어 위장 및 초기 실행 권한 획득
  • C2 서버로부터 수신한 Payload를 Disk에 쓰지 않고 Memory 상에서 즉시 실행하는 In-memory Execution 구조 설계로 파일 기반 탐지 원천 차단
  • 임무 완료 후 프로세스 종료와 동시에 스스로를 삭제하는 Kill Switch 내장으로 포렌식 증거 제거 및 Self-destruct 구현
  • 파일 업로드, 다운로드, 이동, 삭제 및 C2 명령 확인 등 백도어의 핵심 기능을 모듈화하여 유연한 제어 가능
  • ClickFix 감염 체인을 통한 다단계 배포 전략으로 초기 침투 성공률 제고

- 파일 생성 없이 실행되는 In-memory Payload 탐지를 위해 메모리 스캐닝 및 행위 기반 모니터링 강화 - DLL Side-loading 방지를 위한 신뢰할 수 있는 바이너리 서명 검증 및 실행 경로 제한 설정 - 정상 프로세스 내에서 발생하는 비정상적인 네트워크 커넥션 및 API 호출 패턴 분석 체계 구축

원문 읽기