계정 액세스 제거
적대자는 합법적인 사용자가 사용하는 계정에 대한 액세스를 방해하여 시스템 및 네트워크 리소스의 가용성을 방해할 수 있습니다. 계정은 삭제, 잠금 또는 조작(예: 자격 증명 변경)되어 계정에 대한 액세스를 제거할 수 있습니다. 적대자는 또한 이후에 로그오프하고/또는 시스템 종료/재부팅을 수행하여 악의적인 변경 사항을 적용할 수 있습니다.
Windows에서 Net 유틸리티 Set-LocalUser와 Set-ADAccountPassword PowerShell cmdlet은 적대자가 사용자 계정을 수정하는 데 사용될 수 있습니다. Linux에서 passwd유틸리티는 비밀번호를 변경하는 데 사용될 수 있습니다. 계정은 그룹 정책에 의해 비활성화될 수도 있습니다. 랜섬웨어나 유사한 공격을 사용하는 공격자는 '영향을 위한 데이터 암호화' 목표를 완료하기 전에 사고 대응/복구를 방해하기 위해 데이터 파괴 및 훼손 과 같은 다른 영향 행위를 먼저 수행할 수 있습니다 .
절차
아키라 - Akira는 암호화 전에 피해자 네트워크의 관리자 계정을 삭제합니다.
역재 - DEADWOOD는 로컬 및 도메인 사용자의 암호를 랜덤 문자열로 변경하여 이러한 계정이 로그인하지 못하도록 합니다. 또한 winlogon.exe를 종료하여 감염된 시스템에 로그인하려는 시도를 방지합니다.
LAPSUS는 대상 조직의 글로벌 관리자 계정을 제거하여 해당 조직에 대한 모든 액세스를 차단했습니다.
로커고가 - LockerGoga는 계정 비밀번호를 변경하고 현재 사용자를 로그오프하는 것으로 관찰되었습니다.
메가코르텍스 - MegaCortex는 사용자 계정 비밀번호를 변경하고 사용자를 시스템에서 로그오프했습니다.
유성 - Meteor는 손상된 호스트의 로컬 사용자 암호를 변경하고 사용자를 로그오프할 수 있는 기능을 가지고 있습니다.
완화책
이러한 유형의 공격 기술은 시스템 기능을 남용하는 것을 기반으로 하기 때문에 예방적 통제로는 쉽게 완화할 수 없습니다.
발견
액티브 디렉토리
- Active Directory개체 수정
사용자 계정에 대한 예상치 못한 수정(예: 사용자 속성(자격 증명, 상태 등) 삭제 또는 잠재적으로 악의적인 변경)을 확인하기 위해 AD 설정에서 변경 사항을 모니터링합니다.
분석 1 - 비정상적인 비밀번호 변경 작업
index="m365_audit_logs" Operation="Change user password"| stats count by Actor, TargetUser| where Actor!="expected_actor" AND TargetUser!="expected_target_user"
사용자 계정
- 사용자 계정 삭제
예상치 못한 사용자 계정 삭제를 모니터링합니다. Windows 이벤트 로그는 적대자가 계정을 제거하려는 시도와 관련된 활동을 지정할 수 있습니다(예: 이벤트 ID 4726 - 사용자 계정이 삭제되었습니다).
이러한 이벤트 ID에 대한 경고는 높은 수준의 거짓 양성 반응을 생성할 수 있으므로 일반적으로 시스템을 사용하는 방법에 대한 기본 지식과 비교하고, 가능한 경우 수정 이벤트를 다른 악성 활동의 징후와 연관시키세요.
- 사용자 계정 수정
비밀번호나 상태(활성화/비활성화)와 같은 속성의 예기치 않은 수정에 대한 사용자 계정의 변경 사항을 모니터링합니다. Windows 이벤트 로그는 적대자가 계정에 대한 액세스를 제거하려는 시도와 관련된 활동을 지정할 수 있습니다.이벤트 ID 4723 - 계정의 비밀번호를 변경하려고 시도했습니다.이벤트 ID 4724 - 계정의 비밀번호를 재설정하려고 시도했습니다.이벤트 ID 4725 - 사용자 계정이 비활성화되었습니다.
이러한 이벤트 ID에 대한 경고는 높은 수준의 거짓 양성 반응을 생성할 수 있으므로 일반적으로 시스템을 사용하는 방법에 대한 기본 지식과 비교하고, 가능한 경우 수정 이벤트를 다른 악성 활동의 징후와 연관시키세요.
데이터 파괴
적대자는 특정 시스템의 데이터와 파일을 파괴하거나 네트워크에서 대량으로 파괴하여 시스템, 서비스 및 네트워크 리소스의 가용성을 방해할 수 있습니다.데이터 파괴는 로컬 및 원격 드라이브의 파일이나 데이터를 덮어쓰기하여 포렌식 기술로 저장된 데이터를 복구할 수 없게 만들 가능성이 높습니다. del 및 와 같은 일반적인 운영 체제 파일 삭제 명령은 rm종종 파일 자체의 내용을 지우지 않고 파일에 대한 포인터만 제거하여 적절한 포렌식 방법론을 통해 파일을 복구할 수 있게 합니다.이 동작은 저장 디스크의 섹션이나 디스크의 논리적 구조가 아니라 개별 파일이 파괴되기 때문에 디스크 내용 지우기 및 디스크 구조 지우기 와는 다릅니다.
적대자는 무작위로 생성된 데이터로 파일 및 디렉토리를 덮어써서 복구 불가능하게 만들려고 시도할 수 있습니다. ] 어떤 경우에는 정치적인 목적의 이미지 파일이 데이터를 덮어쓰는 데 사용되었습니다.네트워크 전체의 가용성 중단이 목표인 운영에서 대상 조직에 미치는 영향을 최대화하기 위해 데이터를 파괴하도록 설계된 맬웨어는 유효한 계정 , OS 자격 증명 덤프 , SMB/Windows 관리자 공유 와 같은 추가 기술을 활용하여 네트워크 전체에 전파되는 웜과 유사한 기능을 가질 수 있습니다 . 클라우드 환경에서 적대자는 운영에 중요한 클라우드 스토리지 개체, 머신 이미지, 데이터베이스 인스턴스 및 기타 인프라를 삭제하기 위해 액세스를 활용하여 조직이나 고객에게 피해를 줄 수 있습니다.
절차
2022 우크라이나 전력 공격 - 2022년 우크라이나 전력 공격 동안 Sandworm Team은 OT 기능과 관련된 파일, 매핑된 드라이브 및 물리적 드라이브 파티션을 지우기 위해 피해자의 IT 환경 시스템에 CaddyWiper를 배포했습니다.
산성비 - AcidRain은 데이터 덮어쓰기 또는 다양한 IOCTLS 호출을 통해 대상 파일 시스템과 다양한 연결된 저장 장치에 대한 심층적인 삭제를 수행합니다.
사도 - Apostle은 랜섬웨어로 위장했지만 실제로는 데이터 파괴 도구입니다. 원본 파일에 무작위 데이터를 쓰고, 크기를 0으로 조정한 후 삭제합니다.
에이피티38 - APT38은 삭제된 파일을 복구할 수 없게 만드는 맞춤형 보안 삭제 기능을 사용했습니다.
블랙에너지 - BlackEnergy 2에는 파일 내용을 덮어써서 피해자 하드 드라이브에 저장된 데이터를 파괴하는 "Destroy" 플러그인이 포함되어 있습니다.
캐디와이퍼 - CaddyWiper는 손상된 시스템의 드라이브를 알파벳순으로 작동시켜 모든 파일의 소유권을 획득하고 덮어쓸 수 있습니다.
역재 - DEADWOOD는 피해자 시스템의 파일을 무작위 데이터로 덮어써서 효과적으로 파괴합니다.
디아볼 - Diavol은 대상 시스템에서 지정된 파일을 삭제할 수 있습니다.
헤르메틱와이퍼 - HermeticWiper는 다양한 시스템 폴더와 파일을 재귀적으로 지우고, 심볼릭 링크와 큰 파일을 랜덤 바이트로 덮어쓸 수 있습니다.
인더스트로이어 - Industroyer의 데이터 삭제 모듈은 레지스트리 키를 지우고 ICS 구성 및 Windows 파일을 덮어씁니다.
카주아르 - Kazuar는 파일을 삭제하기 전에 임의의 데이터로 파일을 덮어쓸 수 있습니다.
킬디스크 - KillDisk는 시스템 파일을 삭제하여 OS를 부팅할 수 없게 만듭니다. 또한 35개의 다른 파일 확장자를 대상으로 삭제합니다.
LAPSUS는 온프레미스와 클라우드 모두에서 대상의 시스템과 리소스를 삭제했습니다.
라자루스 그룹 - Lazarus Group은 사용자 지정 보안 삭제 기능을 사용하여 힙 메모리의 데이터로 파일 내용을 덮어씁니다.
유성 - Meteor는 피해자의 파일과 디렉토리를 0바이트로 채울 수 있습니다.
멀티레이어 와이퍼 - MultiLayer Wiper는 네트워크 드라이브의 파일을 삭제하고 로컬에 저장된 무작위 데이터 파일로 덮어씁니다.
올림픽 파괴자 - Olympic Destroyer는 로컬 및 원격 공유에 있는 파일을 덮어씁니다.
파워듀크 - PowerDuke에는 파일에 무작위 데이터를 쓰고 삭제하는 명령이 있습니다.
프록시SVC - Proxysvc는 공격자가 지정한 파일을 삭제하기 전에 덮어쓸 수 있습니다.
로우디스크 - RawDisk는 MBR 및 디스크 파티션과 같은 보호된 시스템 위치에 쓰기 위해 Shamoon에서 사용되었습니다.
레빌 - REvil은 파일과 폴더를 파괴하는 기능을 가지고 있습니다.
샌드웜 팀 - Sandworm Team은 CaddyWiper, SDelete 및 BlackEnergy KillDisk 구성 요소를 사용하여 피해자 시스템의 파일을 덮어썼습니다. JUNKMAIL 도구를 사용하여 널 바이트가 있는 파일을 덮어썼습니다.
삭제 - SDelete는 복구할 수 없는 방식으로 데이터를 삭제합니다.
샤문 - Shamoon은 운영 체제 파일과 디스크 구조를 이미지 파일로 덮어쓰려고 시도하며, 이후 변형에서는 무작위로 생성된 데이터가 사용되었습니다.
스톤드릴 - StoneDrill에는 Windows 디렉터리에 없는 파일을 대상으로 하는 디스크 와이퍼 모듈이 있습니다.
위스퍼게이트 - WhisperGate는 첫 번째 1MB를 덮어쓰고 임의의 확장자를 추가하여 파일을 손상시킬 수 있습니다.
엑스배시 - Xbash는 랜섬웨어 기능의 일환으로 Linux 기반 데이터베이스를 파괴했습니다.
완화책
데이터 백업
조직 데이터를 복원하는 데 사용할 수 있는 정기적인 데이터 백업을 수행하기 위한 절차가 포함된 IT 재해 복구 계획을 구현하는 것을 고려하십시오. 백업이 시스템 외부에 저장되고 적대자가 액세스하여 복구를 방지하기 위해 백업을 파괴하는 데 사용할 수 있는 일반적인 방법으로부터 보호되는지 확인하십시오.
다중 인증 요소
AWS S3 버킷과 같은 클라우드 스토리지 리소스에 대한 다중 인증(MFA) 삭제를 구현하여 중요한 데이터와 인프라의 무단 삭제를 방지합니다. MFA 삭제에는 추가 인증 단계가 필요하므로 적대자가 적절한 자격 증명 없이 데이터를 파괴하기가 훨씬 더 어려워집니다. 이 추가 보안 계층은 인증된 작업만 스토리지 또는 머신 이미지를 돌이킬 수 없게 삭제할 수 있도록 하여 클라우드 환경에서 데이터 파괴의 영향으로부터 보호하는 데 도움이 됩니다.
사용자 계정 관리
클라우드 환경에서 클라우드 버킷 수명 주기 정책(예: PutLifecycleConfigurationAWS)을 수정하는 권한을 필요한 계정으로만 제한합니다. AWS 환경에서 Service Control 정책을 사용하여 API 호출 사용을 제한하는 것을 고려합니다 PutBucketLifecycle.
발견
클라우드 스토리지
- 클라우드 스토리지 삭제
DeleteDBClusterAWS의 및 이벤트 와 같은 클라우드 스토리지 인프라의 예기치 않은 삭제나 DeleteGlobalCluster와 같은 대량의 데이터 삭제 이벤트를 모니터링합니다 DeleteBucket. 이러한 이벤트 중 많은 수가 짧은 기간 내에 악의적인 활동을 나타낼 수 있습니다.
- 클라우드 스토리지 수정
수명 주기 정책의 예상치 못한 사용을 모니터링합니다. 수명 주기 정책이 이미 사용 중인 경우 정책에 구성된 버킷이나 비정상적으로 짧은 보관 기간과 같은 클라우드 스토리지 구성 및 정책의 변경 사항을 모니터링합니다. AWS 환경에서 예상 값보다 낮은 속성을 PutBucketLifecycle가진 이벤트를 모니터링합니다 requestParameters.LifecycleConfiguration.Rule.Expiration.Days.
명령
- 명령 실행
SDelete와 같은 데이터 파괴 활동에 관여할 수 있는 바이너리에 대해 실행된 명령과 인수를 모니터링합니다.
파일
- 파일 삭제
예상치 못한 파일 삭제 모니터링(예: Sysmon EID 23)
- 파일 수정
예상치 못한 사용자 디렉터리와 C:\Windows\System32의 수정을 포함하여 대량의 파일에 대한 변경 사항을 모니터링합니다.
영상
- 이미지 삭제
가상 머신 이미지의 예기치 않은 삭제를 모니터링합니다(예: Azure Compute Service Images DELETE)
인스턴스
- 인스턴스 삭제
가상 머신 또는 데이터베이스 인스턴스의 예기치 않은 삭제를 모니터링합니다(예: instance.deleteGCP 감사 로그, DeleteDBInstanceAWS)
프로세스
- 프로세스 생성
SDelete와 같이 데이터 파괴 활동에 관여할 수 있는 바이너리의 새로 실행되는 프로세스를 모니터링합니다.
스냅 사진
- 스냅샷 삭제
스냅샷의 예기치 않은 삭제를 모니터링합니다(예: AWS DeleteSnapshot, DeleteDBSnapshot)
용량
- 볼룸 삭제
클라우드 볼륨의 예기치 않은 삭제를 모니터링합니다(예: AWS DeleteVolume)
영향을 위해 암호화된 데이터
공격자는 대상 시스템이나 네트워크의 많은 수의 시스템에서 데이터를 암호화하여 시스템 및 네트워크 리소스의 가용성을 방해할 수 있습니다. 공격자는 로컬 및 원격 드라이브의 파일이나 데이터를 암호화하고 복호화 키에 대한 액세스를 보류하여 저장된 데이터에 액세스할 수 없게 만들려고 시도할 수 있습니다. 이는 복호화 또는 복호화 키(랜섬웨어)를 대가로 피해자에게서 금전적 보상을 받거나 키가 저장되거나 전송되지 않은 경우 데이터에 영구적으로 액세스할 수 없게 만들기 위해 수행될 수 있습니다. 랜섬웨어의 경우 Office 문서, PDF, 이미지, 비디오, 오디오, 텍스트, 소스 코드 파일과 같은 일반 사용자 파일이 암호화되고(종종 이름이 바뀌거나 특정 파일 마커로 태그가 지정됨) 일반적으로 공격자는 이러한 파일을 잠금 해제하고 /또는 조작하기 위해 액세스하려면 파일 및 디렉터리 권한 수정 이나 시스템 종료/재부팅 과 같은 다른 동작을 먼저 사용해야 할 수 있습니다. 어떤 경우에는 공격자가 중요한 시스템 파일, 디스크 파티션 및 MBR을 암호화할 수 있습니다. 대상 조직에 미치는 영향을 최대화하기 위해 데이터 암호화를 위해 설계된 맬웨어는 유효한 계정 , OS 자격 증명 덤프 , SMB/Windows 관리자 공유 와 같은 다른 공격 기술을 활용하여 네트워크 전체에 전파되는 웜과 유사한 기능을 가질 수 있습니다 . 암호화 맬웨어는 피해자의 바탕 화면을 변경하는 것과 같은 내부 훼손을 활용 하거나 연결된 프린터에 몸값 요구 메모나 기타 메시지를 보내는 것(일명 "인쇄 폭격")으로 피해자를 위협할 수도 있습니다. 클라우드 환경에서는 손상된 계정 내의 저장 객체도 암호화될 수 있습니다.
절차
Akira - 재정적 협박을 목적으로 피해자 파일 시스템을 암호화합니다.
Akira - 랜섬웨어 작업의 일부로 피해자 환경의 파일을 암호화합니다.
사도 - 파일의 새롭고 암호화된 버전을 생성한 다음 원본을 삭제하며, 새 파일 이름은 무작위 GUID와 확장자 ".lock"으로 구성됩니다.
APT38 - Hermes 랜섬웨어를 사용하여 AES256으로 파일을 암호화했습니다.
APT41 - Encryptor RaaS라는 랜섬웨어를 사용하여 대상 시스템의 파일을 암호화하고 사용자에게 몸값 요구서를 제공합니다. Microsoft Bitlocker와 Jetico의 BestCrypt를 사용하여 워크스테이션과 서버를 암호화합니다.
Avaddon - AES256 및 RSA 암호화 체계를 결합하여 피해자 시스템을 암호화합니다.
AvosLocker - AES-256을 사용하여 파일 및 네트워크 리소스를 암호화하고 파일 이름에 .avos, .avos2, 또는 .AvosLinux 확장자를 추가했습니다.
Babuk - ChaCha8 및 ECDH를 사용하여 데이터를 암호화할 수 있습니다.
Bad Rabbit - AES-128-CBC 및 RSA-2048을 사용하여 파일과 디스크를 암호화했습니다.
BitPaymer - 하드코딩된 RSA 1024비트 공개 키를 가져와서 각 파일에 대한 128비트 RC4 키를 생성하고 .locked 파일 이름에 추가하여 파일을 암호화합니다.
Black Basta - ChaCha20 암호로 파일을 암호화하고 멀티스레드 프로세스를 사용하여 속도를 높일 수 있습니다.
BlackCat - Windows 장치, Linux 장치 및 VMWare 인스턴스를 암호화하는 기능을 가지고 있습니다.
Conti - .exe, .dll 및 .lnk 확장자를 가진 파일을 제외하고 파일을 빠르게 암호화하며, 각 피해자마다 고유한 RAS-4096 공개 암호화 키와 함께 파일마다 다른 AES-256 암호화 키를 사용합니다.
Cuba - 시스템 데이터를 암호화하고 암호화된 파일에 ".cuba" 확장자를 추가할 수 있는 기능을 가지고 있습니다.
DarkGate - 후속 랜섬웨어 페이로드를 배포할 수 있습니다.
DCSrv - DiskCryptor의 핵심 암호화 메커니즘을 사용하여 드라이브를 암호화했습니다.
DEATHRANSOM - 공개 키와 개인 키 쌍 암호화를 사용하여 몸값 지불을 위해 파일을 암호화할 수 있습니다.
Diavol - API를 통해 RSA 키를 사용하여 파일을 암호화하고 파일 이름에 ".lock64"를 추가합니다.
Egregor - 몸값 요구 메시지를 표시하기 전에 하이브리드 AES-RSA 알고리즘을 사용하여 모든 비시스템 파일을 암호화할 수 있습니다.
EKANS - 표준 암호화 라이브러리 함수를 사용하여 파일을 암호화합니다.
FIN7 - Darkside 랜섬웨어 버전을 사용하여 ESXi 서버의 가상 디스크 볼륨을 암호화했습니다.
FIN8 - Ragnar Locker, White Rabbit과 같은 랜섬웨어를 배포했으며 침해된 네트워크에서 Noberus를 실행하려고 시도했습니다.
FIVEHANDS - 내장된 NTRU 공개 키를 사용하여 몸값을 요구하기 위해 데이터를 암호화할 수 있습니다.
HELLOKITTY - 내장된 RSA-2048 공개 키를 사용하여 피해자 데이터를 암호화하여 몸값을 요구할 수 있습니다.
HomeLand Justice - ROADSWEEP 랜섬웨어를 사용하여 대상 시스템의 파일을 암호화했습니다.
INC 랜섬 - INC Ransomware를 사용하여 피해자의 데이터를 암호화합니다.
INC 랜섬웨어 - 부분 암호화 및 멀티스레딩을 사용하여 암호화 속도를 높여 피해자 시스템의 데이터를 암호화할 수 있습니다.
Indrik Spider - BitPaymer를 사용하여 도메인 제어 시스템을 암호화하고, PsExec를 사용하여 랜섬웨어 스크립트를 실행했습니다.
JCry - 파일을 암호화하고 이를 해독하기 위해 비트코인을 요구합니다.
KillDisk - RSA-1028 암호화된 AES 키로 파일을 암호화하는 랜섬웨어 구성 요소가 있습니다.
LockerGoga - RSA-OAEP MGF1을 사용하여 핵심 Windows OS 파일을 포함한 파일을 암호화한 다음 비트코인으로 암호 해독 키를 요구합니다.
Magic Hound - BitLocker와 DiskCryptor를 사용하여 대상 워크스테이션을 암호화합니다.
Maze - 대상 컴퓨터의 파일을 암호화하여 시스템을 교란시키고 몸값을 지불하면 파일을 해독한다고 주장합니다. Salsa20 기반의 ChaCha 알고리즘과 RSA 알고리즘을 사용하여 파일을 암호화합니다.
MegaCortex - 오픈 소스 라이브러리인 Mbed Crypto를 사용하여 AES 키를 생성하여 파일 암호화 프로세스를 수행합니다.
Moneybird - 실행 파일, 동적 연결 라이브러리 및 유사 항목을 피하면서 문서, 인증서 및 데이터베이스 파일과 같은 일반적인 파일 유형 집합을 암호화 대상으로 합니다.
Moonstone Sleet - 피해자 환경에 랜섬웨어를 배포했습니다.
Netwalker - 감염된 컴퓨터의 파일을 암호화하여 피해자에게 돈을 갈취할 수 있습니다.
NotPetya - 2048비트 RSA를 사용하여 MBR과 같은 사용자 파일과 디스크 구조를 암호화합니다.
Pay2Key - RSA 및 AES 알고리즘을 사용하여 피해자의 컴퓨터에 있는 데이터를 암호화하여 암호 해독을 위한 몸값을 요구할 수 있습니다.
Playcrypt - AES-RSA 하이브리드 암호화를 사용하여 대상 호스트의 파일을 암호화하고 0x100000바이트의 다른 모든 파일 부분을 암호화합니다.
Prestige - AES와 추가된 파일 이름을 사용하여 대상 시스템의 파일을 암호화하기 위해 CryptoPP C++ 라이브러리를 활용했습니다.
ProLock - RC6를 사용하여 손상된 호스트의 파일을 암호화하고 RSA-1024를 사용하여 키를 암호화합니다.
Pysa - RSA 및 AES-CBC 암호화 알고리즘을 사용하여 대상 파일 확장자 목록을 암호화합니다.
Ragnar Locker - 몸값을 요구하는 메모를 표시하기 전에 로컬 컴퓨터와 매핑된 드라이브의 파일을 암호화합니다.
REvil - 피해자 시스템의 파일을 암호화하고 파일을 해독하기 위한 몸값을 요구합니다.
ROADSWEEP - 대상 시스템의 블록 단위로 콘텐츠를 RC4 암호화할 수 있습니다.
RobbinHood - RSA 암호화 키를 검색한 다음 시스템 파일에 대해 암호화 프로세스를 수행합니다.
Royal - OpenSSL 라이브러리와 AES256 알고리즘을 사용하여 대상 파일을 부분적으로 암호화할 수 있는 다중 스레드 암호화 프로세스를 사용합니다.
Ryuk - 대칭(AES) 및 비대칭(RSA) 암호화를 결합하여 파일을 암호화합니다. 파일은 자체 AES 키로 암호화되며, 파일 확장자는 .RYK입니다.
SamSam - RSA-2048 암호화를 사용하여 피해자 파일을 암호화하고 해당 파일을 해독하기 위해 비트코인으로 몸값을 지불하도록 요구합니다.
Sandworm Team - Prestige 랜섬웨어를 사용하여 우크라이나와 폴란드의 운송 및 관련 물류 산업의 표적 조직의 데이터를 암호화했습니다.
흩어진 거미 - Scattered Spider는 BlackCat 랜섬웨어를 사용하여 VMWare ESXi 서버의 파일을 암호화했습니다.
세스-로커 - Seth-Locker는 대상 시스템의 파일을 암호화하고 접미사 .seth를 추가할 수 있습니다.
샤문 - Shamoon은 데이터를 덮어쓰는 대신 암호화하는 작동 모드가 있습니다.
시넥 - SynAck은 피해자의 컴퓨터를 암호화한 다음 피해자에게 몸값을 지불하도록 요청합니다.
TA505 - TA505는 Clop, Locky, Jaff, Bart, Philadelphia, GlobeImposter와 같은 다양한 랜섬웨어를 사용하여 피해자 파일을 암호화하고 몸값 지불을 요구했습니다.
도둑퀘스트 - ThiefQuest는 호스트의 파일 확장자 집합을 암호화하고 원본 파일을 삭제한 다음 연락처 정보가 없는 몸값 메모를 제공합니다.
워너크라이 - WannaCry는 사용자 파일을 암호화하고 해당 파일을 해독하기 위해 비트코인으로 몸값을 지불하도록 요구합니다.
웨이스티드락커 - WastedLocker는 데이터를 암호화하고 몸값 요구 메시지를 남길 수 있습니다.
엑스배시 - Xbash는 악의적으로 피해자의 데이터베이스 시스템을 암호화하고 암호화폐 몸값을 지불하도록 요구했습니다.
XCSSET - XCSSET은 ~/Documents, ~/Downloads, ~/Desktop의 파일에 AES-CBC 암호화를 수행하고, 파일 이름에 .enc 확장자를 지정합니다. 크기가 500MB 미만인 파일만 암호화됩니다.
완화책
엔드포인트에서의 행동 예방
Windows 10에서는 랜섬웨어와 유사한 파일의 실행을 차단하기 위해 클라우드 제공 보호 및 공격 표면 감소(ASR) 규칙을 활성화합니다.
데이터 백업
조직 데이터를 복원하는 데 사용할 수 있는 데이터 백업을 정기적으로 수행하고 테스트하기 위한 절차가 포함된 IT 재해 복구 계획을 구현하는 것을 고려하십시오. 백업이 시스템 외부에 저장되고 적대자가 액세스하여 복구를 방지하기 위해 백업을 파괴하는 데 사용할 수 있는 일반적인 방법으로부터 보호되도록 하십시오. 스토리지 개체의 백업 사본을 유지 관리하기 위해 클라우드 환경에서 버전 관리를 활성화하는 것을 고려하십시오.
발견
클라우드 스토리지
- 클라우드 스토리지 수정
저장소 개체가 비정상적으로 수정되었음을 나타내는 이벤트에 대한 클라우드 환경의 변경 사항을 모니터링합니다.
명령
- 명령 실행
vssadmin, wbadmin, bcdedit와 같은 데이터 파괴 활동과 관련된 작업에 대해 실행된 명령 및 인수를 모니터링합니다.
파일
- 파일 생성
사용자 디렉토리에서 새로 생성된 파일을 모니터링합니다.
- 파일 수정
사용자 디렉토리의 파일에 적용된 변경 사항을 모니터링합니다.
네트워크 공유
- 네트워크 공유 액세스
대상 시스템이나 다수의 시스템에서 예상치 못한 네트워크 공유에 액세스하는 것을 모니터링합니다.
프로세스
- 프로세스 생성
vssadmin, wbadmin, bcdedit 등 데이터 파괴 활동과 관련된 새로 구성된 프로세스 및/또는 명령줄을 모니터링합니다.
데이터 조작
적대자는 외부 결과에 영향을 미치거나 활동을 숨기기 위해 데이터를 삽입, 삭제 또는 조작할 수 있으므로 데이터 무결성을 위협할 수 있습니다.[적대자는 데이터를 조작하여 비즈니스 프로세스, 조직 이해 또는 의사 결정에 영향을 미치려고 시도할 수 있습니다.수정의 유형과 그 영향은 대상 애플리케이션과 프로세스, 그리고 적대자의 목표와 목적에 따라 달라집니다. 복잡한 시스템의 경우 적대자는 원하는 영향을 미치기 위해 일반적으로 장기간의 정보 수집 캠페인을 통해 얻을 수 있는 시스템과 관련된 특수 소프트웨어에 대한 액세스와 특별한 전문 지식이 필요할 가능성이 높습니다.
절차
FIN13 - 합법적인 행동을 모방하여 증가하는 양의 자금을 빼돌리기 위해 손상된 네트워크에 사기 거래를 주입했습니다.
완화책
민감한 정보 암호화
적대자가 맞춤형 데이터를 수정하는 능력을 약화시키기 위해 중요한 정보를 암호화하는 것을 고려하세요.
네트워크 세분화
적대자의 표적이 될 수 있는 중요한 비즈니스 및 시스템 프로세스를 식별하고 해당 시스템을 무단 액세스 및 변조로부터 격리하고 보호합니다.
원격 데이터 저장
조직 데이터를 복원하는 데 사용할 수 있는 정기적인 데이터 백업을 수행하기 위한 절차가 포함된 IT 재해 복구 계획의 구현을 고려하십시오. 백업이 시스템 외부에 저장되고 적대자가 액세스하고 백업을 조작하는 데 사용할 수 있는 일반적인 방법으로부터 보호되는지 확인하십시오.
파일 및 디렉토리 권한 제한
데이터 조작 위험에 대한 노출을 줄이기 위해 중요 정보 리소스에 최소 권한 원칙을 적용합니다.
발견
파일
- 파일 생성
외부 결과를 조작하거나 활동을 숨기기 위해 새로 구성된 파일을 모니터링합니다.
- 파일 삭제
외부 결과를 조작하거나 활동을 숨기기 위해 예상치 못한 파일 삭제를 모니터링합니다.
- 파일 메타데이터
이름, 콘텐츠(예: 서명, 헤더 또는 데이터/미디어), 사용자/소유자, 권한 등과 같은 활동을 숨기기 위한 데이터 조작에 도움이 될 수 있는 파일에 대한 컨텍스트 데이터를 모니터링합니다.
- 파일 수정
외부 결과를 조작하거나 활동을 숨기기 위해 조작된 데이터가 있는 예상치 못한 파일을 모니터링합니다.
네트워크 트래픽
- 네트워크 트래픽 콘텐츠
쿼리된 장치의 구성 정보를 요청하고 가져오는 네트워크를 모니터링합니다.
- 네트워크 트래픽 흐름
알 수 없거나 예상하지 못한 하드웨어 장치에서 발생하는 네트워크 트래픽을 모니터링합니다.
프로세스
- Os API실행
데이터 변경과 관련된 API 호출을 모니터링합니다. 기본 제공 기능이 있는 원격 액세스 도구는 Windows API와 직접 상호 작용하여 정보를 수집할 수 있습니다.
훼손
적대자는 기업 네트워크 내부 또는 외부에서 사용 가능한 시각적 콘텐츠를 수정하여 원래 콘텐츠의 무결성에 영향을 미칠 수 있습니다. 훼손 의 이유에는 메시지 전달, 위협 또는 침입에 대한 (아마도 거짓) 크레딧 주장이 포함됩니다. 불쾌하거나 공격적인 이미지는 사용자에게 불편함을 주거나 수반되는 메시지에 대한 준수를 압박하기 위해 훼손 의 일부로 사용될 수 있습니다 .
완화책
데이터 백업
조직 데이터를 복원하는 데 사용할 수 있는 정기적인 데이터 백업을 수행하기 위한 절차가 포함된 IT 재해 복구 계획을 구현하는 것을 고려하십시오. 백업이 시스템 외부에 저장되고 적대자가 액세스하여 복구를 방지하기 위해 백업을 파괴하는 데 사용할 수 있는 일반적인 방법으로부터 보호되는지 확인하십시오.
발견
신청 로그
- 애플리케이션 로그 내용
기업 네트워크 내부 또는 외부에서 사용할 수 있는 시각적 콘텐츠를 수정할 수 있는 타사 애플리케이션 로깅, 메시징 및/또는 기타 아티팩트를 모니터링합니다.
파일
- 파일 생성
내부 또는 외부 엔터프라이즈 네트워크를 위해 새로 구성된 시각적 콘텐츠를 모니터링합니다.
- 파일 수정
예상치 못한 내부 및 외부 웹사이트 수정, 계획되지 않은 콘텐츠 변경을 위해 파일에 적용된 변경 사항을 모니터링합니다.
네트워크 트래픽
- 네트워크 트래픽 콘텐츠
예상 프로토콜 표준 및 트래픽 흐름(예: 내부 및 외부 웹사이트와 서비스에 액세스하려는 허가되지 않은, 무의미한 또는 비정상적인 트래픽 패턴)을 따르지 않는 프로토콜과 관련된 트래픽 패턴 및 패킷 검사를 모니터링하고 분석합니다. 계획되지 않은 서비스 중단 또는 허가되지 않은 콘텐츠 변경을 나타내는 애플리케이션 모니터링과 연관시키는 것을 고려합니다.
디스크 지우기
공격자는 특정 시스템이나 네트워크에서 대량으로 원시 디스크 데이터를 지우거나 손상시켜 시스템 및 네트워크 리소스의 가용성을 방해할 수 있습니다. 공격자는 디스크에 직접 쓰기 액세스하여 디스크 데이터의 일부를 덮어쓰려고 시도할 수 있습니다. 공격자는 디스크 데이터의 임의의 부분을 지우거나 마스터 부트 레코드(MBR)와 같은 디스크 구조를 지우기로 선택할 수 있습니다. 모든 디스크 섹터를 완전히 지우려고 시도할 수 있습니다.
네트워크 전체 가용성 중단이 목표인 운영에서 대상 조직에 미치는 영향을 최대화하기 위해 디스크를 지우는 데 사용되는 맬웨어는 유효한 계정 , OS 자격 증명 덤프 , SMB/Windows 관리자 공유 와 같은 추가 기술을 활용하여 네트워크 전체에 전파될 수 있는 웜과 유사한 기능을 가질 수 있습니다 .
네트워크 장치에서 적대자와 같은 네트워크 장치 CLI 명령을 사용하여 장치에서 구성 파일 및 기타 데이터를 지울 수 있습니다 erase.
완화책
데이터 백업
조직 데이터를 복원하는 데 사용할 수 있는 정기적인 데이터 백업을 수행하기 위한 절차가 포함된 IT 재해 복구 계획을 구현하는 것을 고려하십시오. 백업이 시스템 외부에 저장되고 적대자가 액세스하여 복구를 방지하기 위해 백업을 파괴하는 데 사용할 수 있는 일반적인 방법으로부터 보호되는지 확인하십시오.
발견
명령
- 명령 실행
표기법을 사용하여 직접 액세스 읽기/쓰기 시도를 모니터링합니다 \\.\. 비정상적인 커널 드라이버 설치 활동을 모니터링합니다.
드라이브
- 드라이브 액세스
파티션 부트 섹터, 마스터 부트 레코드, 디스크 파티션 테이블, BIOS 매개변수 블록/슈퍼 블록과 같은 중요한 위치에 쓰려는 시도에 대해 데이터 저장 장치에 새로 구성된 드라이브 문자나 탑재 지점을 모니터링합니다.
- 드라이브 수정
파티션 부트 섹터, 마스터 부트 레코드, 디스크 파티션 테이블, BIOS 매개변수 블록/슈퍼 블록과 같은 중요한 위치를 읽으려는 시도에 대해 데이터 저장 장치의 드라이브 문자나 탑재 지점에 대한 변경 사항을 모니터링합니다.
드라이버
- 드라이버 부하
특정 시스템 또는 네트워크의 대량의 원시 디스크 데이터를 지우거나 손상시켜 시스템 및 네트워크 리소스의 가용성을 방해할 수 있는 비정상적인 커널 드라이버 설치 활동을 모니터링합니다.
프로세스
- 프로세스 생성
특정 시스템 또는 네트워크에서 대량으로 원시 디스크 데이터를 지우거나 손상시킬 수 있는 새로 실행된 프로세스를 모니터링하여 시스템 및 네트워크 리소스의 가용성을 방해합니다.
엔드포인트 서비스 거부
적대자는 사용자에게 제공되는 서비스의 가용성을 저하시키거나 차단하기 위해 Endpoint Denial of Service(DoS) 공격을 수행할 수 있습니다. Endpoint DoS는 해당 서비스가 호스팅되는 시스템 리소스를 고갈시키거나 시스템을 악용하여 지속적인 충돌 조건을 발생시켜 수행할 수 있습니다. 예시 서비스로는 웹사이트, 이메일 서비스, DNS 및 웹 기반 애플리케이션이 있습니다. 적대자는 정치적 목적과 방해, 해커 활동, 강탈을 포함한 기타 악의적인 활동을 지원하기 위해 DoS 공격을 수행하는 것으로 관찰되었습니다.
Endpoint DoS는 서비스에 대한 액세스를 제공하는 데 사용되는 네트워크를 포화시키지 않고 서비스의 가용성을 거부합니다. 공격자는 서비스를 제공하는 데 사용되는 시스템에 호스팅된 애플리케이션 스택의 다양한 계층을 표적으로 삼을 수 있습니다. 이러한 계층에는 운영 체제(OS), 웹 서버, DNS 서버, 데이터베이스와 같은 서버 애플리케이션 및 그 위에 있는 (일반적으로 웹 기반) 애플리케이션이 포함됩니다. 각 계층을 공격하려면 각 구성 요소에 고유한 병목 현상을 이용하는 다양한 기술이 필요합니다. DoS 공격은 단일 시스템 또는 인터넷에 분산된 여러 시스템에 의해 생성될 수 있으며, 이를 일반적으로 분산형 DoS(DDoS)라고 합니다. 엔드포인트 리소스에 대한 DoS 공격을 수행하려면 IP 주소 스푸핑, 봇넷을 포함한 여러 측면이 여러 방법에 적용됩니다. 적대자는 공격 시스템의 원래 IP 주소를 사용하거나 소스 IP 주소를 스푸핑하여 공격 트래픽을 공격 시스템으로 추적하기 어렵게 만들거나 반사를 가능하게 할 수 있습니다. 이는 네트워크 방어 장치에서 소스 주소로 필터링하는 효과를 줄이거나 없애서 방어자가 공격을 방어하는 데 어려움을 겪을 수 있습니다.
봇넷은 일반적으로 네트워크와 서비스에 대한 DDoS 공격을 수행하는 데 사용됩니다. 대규모 봇넷은 글로벌 인터넷에 분산된 시스템에서 상당한 양의 트래픽을 생성할 수 있습니다. 적대자는 자체 봇넷 인프라를 구축하고 제어할 수 있는 리소스가 있거나 기존 봇넷에서 시간을 빌려 공격을 수행할 수 있습니다. DDoS의 최악의 사례 중 일부에서는 너무 많은 시스템이 요청을 생성하는 데 사용되어 각 시스템이 대상 리소스를 고갈시킬 만큼 충분한 양을 생성하기 위해 소량의 트래픽만 보내면 됩니다. 이러한 상황에서 DDoS 트래픽과 합법적인 클라이언트를 구별하는 것은 매우 어려워집니다. 봇넷은 주요 미국 은행을 표적으로 삼은 2012년 일련의 사건과 같이 가장 주목받는 DDoS 공격 중 일부에 사용되었습니다.
트래픽 조작이 사용되는 경우 글로벌 네트워크(예: 트래픽이 많은 게이트웨이 라우터)에 패킷을 변경하여 합법적인 클라이언트가 대량으로 대상을 향해 네트워크 패킷을 지시하는 코드를 실행하도록 할 수 있는 지점이 있을 수 있습니다. 이러한 유형의 기능은 이전에 웹 검열 목적으로 사용되었으며, 클라이언트 HTTP 트래픽이 대상 웹 서버를 압도하기 위해 DDoS 코드를 생성하는 JavaScript에 대한 참조를 포함하도록 수정되었습니다.
절차
OnionDuke - 서비스 거부 모듈을 사용할 수 있는 기능을 가지고 있습니다.
Sandworm Team - 2019년에 조지아 웹 호스팅 제공업체를 해킹한 후 조지아 정부, 비정부 및 민간 부문 웹사이트에 대한 서비스를 일시적으로 중단했습니다.
ZxShell - 호스트에 SYN 플러딩 공격을 수행하는 기능이 있습니다.
완화책
네트워크 트래픽 필터링
DoS 완화를 전문으로 하는 공급업체나 CDN(콘텐츠 전송 네트워크)에서 제공하는 서비스를 활용하여 서비스 상류의 트래픽을 필터링합니다. 공격을 소싱하는 소스 주소를 차단하거나, 타겟이 되는 포트를 차단하거나, 전송에 사용되는 프로토콜을 차단하여 경계 트래픽을 필터링합니다. SYN 플러드를 방어하려면 SYN 쿠키를 활성화합니다.
발견
신청 로그
- 애플리케잉션 로그 내용
서비스 가용성을 저하시키거나 차단하기 위해 Endpoint Denial of Service(DoS) 공격을 수행할 수 있는 타사 애플리케이션 로깅, 메시징 및/또는 기타 아티팩트를 모니터링합니다. 네트워크 수준 탐지 외에도 Endpoint 로깅 및 계측은 탐지에 유용할 수 있습니다. 웹 애플리케이션을 타겟으로 하는 공격은 웹 서버, 애플리케이션 서버 및/또는 데이터베이스 서버에 로그를 생성하여 영향을 느끼기 전에 공격 유형을 식별하는 데 사용할 수 있습니다. Endpoint DoS의 타겟이 될 수 있는 서비스의 가용성을 외부에서 모니터링합니다.
네트워크 트래픽
- 네트워크 트래픽 콘텐츠
예상 프로토콜 표준 및 트래픽 흐름(예: 확립된 흐름에 속하지 않는 외부 패킷, 무의미하거나 비정상적인 트래픽 패턴, 비정상적인 구문 또는 구조)을 따르지 않는 프로토콜과 관련된 트래픽 패턴 및 패킷 검사를 모니터링하고 분석합니다. 프로세스 모니터링 및 명령줄과의 상관 관계를 고려하여 트래픽 패턴과 관련된 비정상적인 프로세스 실행 및 명령줄 인수를 감지합니다(예: 각 프로토콜에 대해 정상적으로 연결을 시작하지 않는 파일 사용 시 이상 모니터링).
- 네트워크 트래픽 흐름
네트워크 데이터에서 흔하지 않은 데이터 흐름을 모니터링합니다. 일반적으로 네트워크 통신이 없거나 이전에 본 적이 없는 네트워크를 활용하는 프로세스는 의심스럽습니다.
센서 상태
- 호스트 상태
Endpoint DoS 감지는 때때로 서비스 가용성에 상당한 영향을 미칠 만큼 효과가 충분하기 전에 달성될 수 있지만, 이러한 응답 시간은 일반적으로 매우 적극적인 모니터링과 대응성이 필요합니다. 호스트 센서의 상태를 강조하는 로깅, 메시징 및 기타 아티팩트(예: 로깅 애플리케이션의 메트릭, 오류 및/또는 예외)를 모니터링합니다.
금융 도난
적대자는 피해자의 자원 가용성을 희생하여 자신의 재정적 이득을 목표로 하는 강탈, 사회 공학, 기술적 도난 또는 기타 방법을 통해 대상으로부터 금전적 자원을 훔칠 수 있습니다. 재정적 도난은 랜섬웨어에 의한 강탈, 비즈니스 이메일 침해(BEC) 및 사기, "돼지 도살", 은행 해킹, 암호화폐 네트워크 악용을 포함한 여러 인기 있는 캠페인 유형의 궁극적인 목표입니다. 적대자는 허가받지 않은 자금 이체를 수행하기 위해 계정을 손상시킬 수 있습니다. 비즈니스 이메일 손상 또는 이메일 사기의 경우 적대자는 신뢰할 수 있는 엔터티의 사칭을 활용할 수 있습니다 . 소셜 엔지니어링이 성공하면 피해자는 적대자가 제어하는 금융 계좌로 돈을 보내도록 속을 수 있습니다. 이는 금융 도난과 관련된 사건에서 여러 피해자(즉, 손상된 계정과 궁극적인 금전적 손실)가 발생할 가능성을 만듭니다. 랜섬웨어에 의한 강탈은 예를 들어, 적대자가 영향을 위한 데이터 암호화 및 데이터 유출 이후에 피해자에게 지불을 요구 한 다음, 적대자에게 지불을 하지 않을 경우 민감한 데이터를 대중에게 유출하겠다고 위협하는 경우 발생할 수 있습니다. 적대자는 전용 유출 사이트를 사용하여 피해자 데이터를 배포할 수 있습니다. 재정 도난은 엄청난 비즈니스 영향을 미칠 수 있으므로 적대자는 재정 도난 가능성을 악용하고 데이터 파괴 및 비즈니스 중단과 같은 진정한 목표에서 주의를 돌리기 위해 금전적 이득을 얻을 수 있습니다.
절차
Akira - 피해자에게 몸값을 지불하도록 유도하기 위해 파일을 빼낸 다음 암호화하는 이중 협박 랜섬웨어에 관여합니다.
Cinnamon Tempest - 피해자들에게 몸값을 지불하도록 강요하기 위해 유출된 데이터의 누출 사이트를 유지해 왔습니다.
DarkGate - 암호화폐 지갑과 관련된 자격 증명을 캡처할 수 있는 페이로드를 배포할 수 있습니다.
FIN13 - 사기 거래를 시도하기 전에 합법적인 금융 거래의 기술적 프로세스를 이해하기 위해 수개월 동안 피해자의 소프트웨어 및 인프라를 관찰했습니다.
INC 랜섬 - 피해자의 데이터를 훔쳐 암호화한 뒤 이를 비공식적으로 유지하거나 암호를 해독하는 대가로 돈을 갈취했습니다.
Kimsuky - 인프라 인수를 포함한 운영 자금 조달을 위해 암호화폐를 훔치고 세탁했습니다.
Malteiro - Mispadu 뱅킹 트로이 목마를 사용하여 다양한 분야의 조직을 표적으로 삼아 금융을 훔칩니다.
Play - 피해자에게 파일 시스템 암호를 해독하고 피해자 네트워크에서 유출된 중요 데이터를 공개하지 않도록 몸값을 지불하도록 요구합니다.
흩어진 거미 - 재정적 이득을 위해 손상된 호스트에 랜섬웨어를 배포했습니다.
SilverTerrier - 재정적 절도를 목표로 하는 비즈니스 이메일 침해(BEC) 캠페인을 위해 첨단 기술, 고등 교육 및 제조 분야의 조직을 표적으로 삼습니다.
완화책
사용자 계정 관리
민감한 거래를 실행하기 위한 접근/권한을 제한하고, 이메일과 같은 안전하지 않은 통신 회선 외부에서 결제 및 구매 요청을 인증/승인하도록 설계된 시스템과 절차로 전환합니다.
사용자 교육
사용자에게 재정적 절도를 가능하게 하는 데 사용되는 사회 공학 기술을 식별하도록 교육하고 장려합니다. 또한 재정적으로 동기가 부여된 그룹이 피해자에게 몸값/강탈 요구를 충족하도록 더욱 강요하기 위해 점점 더 많이 사용하는 스와팅 및 도싱을 방지하고 대응하는 절차에 대해 사용자를 교육하는 것도 고려합니다.
발견
신청 로그
- 애플리케이션 로그 내용
비정상적인 통화 거래나 자원 잔액 등 재정 도난 징후가 있는지 확인하기 위해 재정 신청 로그를 검토하고 모니터링합니다.
이메일 로그에는 계정 인수, 사칭 또는 금전적 도난을 가능하게 하는 다른 활동이 강조 표시될 수도 있습니다.
펌웨어 손상
적대자는 시스템에 연결된 장치의 시스템 BIOS 또는 기타 펌웨어의 플래시 메모리 내용을 덮어쓰거나 손상시켜 작동 불가능하게 하거나 부팅할 수 없게 만들어 장치 및/또는 시스템을 사용할 수 없게 만들 수 있습니다. 펌웨어는 하드웨어 장치의 비휘발성 메모리에서 로드되고 실행되는 소프트웨어로, 장치 기능을 초기화하고 관리합니다. 이러한 장치에는 마더보드, 하드 드라이브 또는 비디오 카드가 포함될 수 있습니다. 일반적으로 적대자는 시스템이나 장치의 사용을 거부하기 위해 펌웨어를 조작하거나 덮어쓰거나 손상시킬 수 있습니다. 예를 들어, 네트워크 장치의 운영 체제를 로드하는 펌웨어가 손상되면 네트워크 장치가 작동하지 않을 수 있습니다. 장치에 따라 이 공격은 데이터 파괴 로 이어질 수도 있습니다 .
절차
Bad Rabbit - 정상적인 부팅을 방지하기 위해 수정된 부트로더를 설치하는 실행 파일을 사용했습니다.
TrickBot - TrickBot 모듈 "Trickboot"는 손상된 장치의 UEFI/BIOS 펌웨어를 쓰거나 지울 수 있습니다.
완화책
부팅 무결성
기존 BIOS와 장치 펌웨어의 무결성을 검사하여 수정에 취약한지 확인합니다.
특권 계정 관리
권한이 있는 계정에 대한 적대적인 접근이나 시스템 펌웨어를 교체하는 데 필요한 접근을 방지합니다.
소프트웨어 업데이트
알려진 취약점이 성공적으로 악용되는 것을 방지하려면 필요에 따라 BIOS 및 기타 펌웨어에 패치를 적용하세요.
발견
펌웨어
- 펌웨어 수정
설정 및/또는 데이터에 대한 예상치 못한 수정 사항을 확인하기 위해 펌웨어에 대한 변경 사항을 모니터링합니다. BIOS에 대한 읽기/쓰기 시도를 기록하고 알려진 패치 동작과 비교합니다.
시스템 복구 억제
적대자는 손상된 시스템 복구를 돕기 위해 설계된 서비스를 꺼서 복구를 방해하고 내장 데이터를 삭제하거나 제거할 수 있습니다. 이렇게 하면 사용 가능한 백업 및 복구 옵션에 대한 액세스가 거부될 수 있습니다.
운영 체제에는 백업 카탈로그, 볼륨 섀도 복사본, 자동 복구 기능과 같이 손상된 시스템을 복구하는 데 도움이 되는 기능이 포함될 수 있습니다. 공격자는 데이터 파괴 및 영향을 위한 데이터 암호화 의 효과를 증가시키기 위해 시스템 복구 기능을 비활성화하거나 삭제할 수 있습니다 . 또한 공격자는 복구 알림을 비활성화한 다음 백업을 손상시킬 수 있습니다.
공격자는 여러 기본 Windows 유틸리티를 사용하여 시스템 복구 기능을 비활성화하거나 삭제했습니다.
- vssadmin.exe시스템의 모든 볼륨 섀도 복사본을 삭제하는 데 사용할 수 있습니다.vssadmin.exe delete shadows /all /quiet
- Windows Management Instrumentation을 사용하면 볼륨 섀도 복사본을 삭제할 수 있습니다.wmic shadowcopy delete
- wbadmin.exeWindows 백업 카탈로그를 삭제하는 데 사용할 수 있습니다.wbadmin.exe delete catalog -quiet
- bcdedit.exe부팅 구성 데이터를 수정하여 자동 Windows 복구 기능을 비활성화하는 데 사용할 수 있습니다.bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
- REAgentC.exe감염된 시스템의 Windows 복구 환경(WinRE) 복구/복구 옵션을 비활성화하는 데 사용할 수 있습니다.
- diskshadow.exe시스템의 모든 볼륨 섀도 복사본을 삭제하는 데 사용할 수 있습니다 - diskshadow delete shadows all
네트워크 장치에서 적대자는 Disk Wipe를 활용하여 백업 펌웨어 이미지를 삭제하고 파일 시스템을 다시 포맷한 다음 System Shutdown/Reboot를 사용하여 장치를 다시 로드할 수 있습니다. 이러한 활동으로 인해 네트워크 장치가 완전히 작동하지 않게 되고 복구 작업이 방해받을 수 있습니다.
공격자는 네트워크 스토리지 미디어를 통하거나 클라우드 서비스와 동기화되는 폴더를 통해 네트워크에 연결된 "온라인" 백업을 삭제할 수도 있습니다. 클라우드 환경에서 공격자는 버전 관리 및 백업 정책을 비활성화하고 재해 복구 시나리오에서 사용되도록 설계된 스냅샷, 데이터베이스 백업, 머신 이미지 및 이전 버전의 개체를 삭제할 수 있습니다.
절차
Akira - PowerShell 명령을 통해 시스템 볼륨 섀도 복사본을 삭제합니다.
Avaddon - 기본 시스템 도구를 사용하여 백업 및 섀도 복사본을 삭제합니다.
Babuk - vssadmin.exe delete shadows /all /quiet를 사용하여 섀도 볼륨을 삭제할 수 있는 기능을 가지고 있습니다.
BFG Agonizer - 감염된 시스템의 부트 섹터를 지워 시스템 복구를 방해합니다.
BitPaymer - vssadmin Delete Shadows /All /Quiet를 사용하여 호스트에서 백업 섀도 파일을 제거하려고 시도합니다.
Black Basta - vssadmin.exe를 사용하여 섀도 복사본을 삭제할 수 있습니다.
BlackCat - vssadmin.exe delete shadows /all /quiet 및 wmic.exe Shadowcopy Delete를 사용하여 섀도 복사본을 삭제할 수 있으며, 부트 로더를 수정할 수도 있습니다.
Clop - vssadmin Delete Shadows /all /quiet를 사용하여 섀도우 볼륨을 삭제할 수 있으며, bcdedit를 사용하여 복구 옵션을 비활성화할 수 있습니다.
Conficker - 시스템 복원 지점을 재설정하고 백업 파일을 삭제합니다.
Conti - vssadmin을 사용하여 Windows 볼륨 섀도 복사본을 삭제할 수 있습니다.
DarkGate - 명령을 통해 시스템 복원 지점을 삭제할 수 있습니다: cmd.exe /c vssadmin delete shadows /for=c: /all /quiet.
DarkWatchman - vssadmin.exe를 사용하여 섀도 볼륨을 삭제할 수 있습니다.
DEATHRANSOM - 손상된 호스트의 볼륨 섀도 복사본을 삭제할 수 있습니다.
Diavol - IVssBackupComponents COM 개체를 사용하여 메서드 DeleteSnapshots를 호출하여 그림자 복사본을 삭제합니다.
EKANS - 볼륨 섀도 복사본의 백업을 제거하여 복원 기능을 비활성화합니다.
FIVEHANDS - 손상된 호스트의 볼륨 섀도 복사본을 삭제할 수 있는 기능을 가지고 있습니다.
H1N1 - 복구 옵션을 비활성화하고 피해자의 그림자 복사본을 삭제합니다.
HELLOKITTY - 손상된 호스트의 볼륨 섀도 복사본을 삭제할 수 있습니다.
HermeticWiper - 서비스 제어 관리자를 사용하여 손상된 호스트에서 VSS 서비스를 비활성화할 수 있습니다.
INC 랜섬웨어 - 피해자 컴퓨터에서 볼륨 섀도 복사본 백업을 삭제할 수 있습니다.
InvisiMole - 모든 시스템 복원 지점을 제거할 수 있습니다.
JCry - 데이터를 쉽게 복구할 수 없도록 그림자 복사본을 삭제하는 것으로 관찰되었습니다.
Maze - 암호화 프로세스 전과 후에 각각 한 번씩 감염된 시스템의 섀도우 볼륨을 삭제하려고 시도했습니다.
MegaCortex - vssadmin.exe를 사용하여 볼륨 섀도 복사본을 삭제했습니다.
Meteor - bcdedit, vssadmin.exe delete shadows /all /quiet, 및 C:\\Windows\\system32\\wbem\\wmic.exe shadowcopy delete를 사용할 수 있습니다.
MultiLayer Wiper - 감염된 시스템의 부트 섹터를 지워 시스템 복구를 방해합니다.
Netwalker - 감염된 시스템의 Shadow Volumes를 삭제하여 복구를 방지할 수 있습니다.
Olympic Destroyer - Windows 백업 카탈로그 및 Windows 자동 복구와 같은 운영 체제 복구 기능을 삭제하고 비활성화하기 위해 기본 Windows 유틸리티인 vssadmin, wbadmin, 및 bcdedit를 사용합니다.
Playcrypt - AlphaVSS를 사용하여 그림자 복사본을 삭제할 수 있습니다.
Prestige - c:\Windows\System32\wbadmin.exe delete catalog -quiet와 \Windows\System32\vssadmin.exe delete shadows /all /quiet를 사용하여 백업 카탈로그와 볼륨 섀도 복사본을 삭제할 수 있습니다.
ProLock - vssadmin.exe를 사용하여 볼륨 섀도 복사본을 제거할 수 있습니다.
Pysa - 그림자 복사본을 삭제하는 기능이 있습니다.
Ragnar Locker - vssadmin delete shadows /all /quiet를 사용하여 볼륨 섀도 복사본을 삭제할 수 있습니다.
REvil - vssadmin을 사용하여 볼륨 섀도 복사본을 삭제하고 bcdedit를 사용하여 복구 기능을 비활성화할 수 있습니다.
ROADSWEEP - 볼륨 섀도 복사본을 비활성화하는 기능이 있습니다.
RobbinHood - 모든 데이터를 쉽게 복구할 수 없도록 그림자 복사본을 삭제합니다.
Royal - 명령을 사용하여 vssadmin.exe로 섀도 복사본 백업을 삭제할 수 있습니다: delete shadows /all /quiet.
Ryuk - vssadmin delete shadows /all /quiet를 사용하여 볼륨 섀도 복사본을 삭제하고, vssadmin resize shadowstorage를 사용하여 타사 애플리케이션에서 생성된 섀도 복사본을 강제로 삭제하는 데 사용되었습니다.
Sandworm Team - C:\Windows\System32\wbadmin.exe delete catalog -quiet와 C:\Windows\System32\vssadmin.exe delete shadows /all /quiet를 사용하여 대상 시스템에서 백업 카탈로그와 볼륨 섀도 복사본을 삭제합니다.
WannaCry - vssadmin, wbadmin, bcdedit, 및 wmic를 사용하여 운영 체제 복구 기능을 삭제하고 비활성화합니다.
WastedLocker - 섀도 볼륨을 삭제할 수 있습니다.
Wizard Spider - WMIC와 vssadmin을 사용하여 볼륨 섀도 복사본을 수동으로 삭제하고, Conti 랜섬웨어를 사용하여 vssadmin으로 볼륨 섀도 복사본을 자동으로 삭제합니다.
완화책
데이터 백업
조직 데이터를 복원하는 데 사용할 수 있는 정기적인 데이터 백업을 수행하기 위한 절차가 포함된 IT 재해 복구 계획을 구현하는 것을 고려하십시오. 백업이 시스템 외부에 저장되고 공격자가 액세스하여 복구를 방지하기 위해 백업을 파괴하는 데 사용할 수 있는 일반적인 방법으로부터 보호되도록 하십시오. 클라우드 환경에서 가능한 경우 스토리지 개체에 대한 버전 관리를 활성화하고 백업을 다른 계정이나 지역에 복사하여 원본 사본과 격리하십시오.
실행 방지
diskshadow.exe적대자에 의한 잠재적인 오용을 방지하기 위해, 주어진 시스템이나 네트워크에 필요하지 않은 유틸리티의 실행을 차단하도록 구성된 애플리케이션 제어를 사용하는 것을 고려하세요 .
운영 체제 구성
시스템 복구에 관련된 서비스 비활성화 또는 파일 삭제를 방지하기 위해 기술적 제어를 고려하십시오. 또한 다음 명령을 사용하여 WinRE가 활성화되었는지 확인하십시오. reagentc /enable
사용자 계정 관리
백업에 액세스할 수 있는 사용자 계정을 필요한 계정으로만 제한합니다. AWS 환경에서는 서비스 제어 정책을 사용하여 백업, 스냅샷 및 이미지를 삭제하는 API 호출을 제한하는 것을 고려하세요.
발견
클라우드 스토리지
- 클라우드 스토리지 삭제
DeleteObject특히 클라우드 백업과 관련된 클라우드 스토리지 객체(예: AWS)의 예기치 않은 삭제를 모니터링합니다 .
명령
- 명령 실행
vssadmin프로세스 모니터링을 사용하여 시스템 복구를 방해하는 바이너리(예 : wbadmin, bcdedit, ) 의 실행 및 명령줄 매개변수를 모니터링합니다.
파일
- 파일 삭제
Windows 이벤트 로그(예: 시스템 카탈로그가 삭제되었음을 나타내는 이벤트 ID 524)에는 의심스러운 활동과 관련된 항목이 포함될 수 있습니다.
프로세스
- 프로세스 생성
프로세스 모니터링을 사용하여 시스템 복구를 방해하는 바이너리(예: vssadmin, wbadmin, 및 bcdedit)의 실행 및 명령줄 매개변수를 모니터링합니다. 시스템 네트워크를 손상시킨 후 위협 행위자는 종종 관리자가 공격 전 버전으로 시스템을 복원하지 못하도록 섀도 복사본을 삭제/크기 조정하려고 시도합니다. 이는 종종 섀도 복사본과 상호 작용하는 합법적인 Windows 도구인 vssadmin을 통해 수행됩니다. 이 작업은 종종 랜섬웨어에서 사용되며 공격 후 시스템 복구에 실패할 수 있습니다. 의사 코드 탐지는 Windows 보안 및 Sysmon 프로세스 생성(4688 및 1)에 초점을 맞춥니다. wmic를 사용하여 섀도 복사본을 삭제하면 WMI-Activity Operationnal 5857 이벤트가 생성되고 5858(작업이 실패한 경우)이 생성될 수 있습니다. 이 2개의 EventID는 공격자가 프로세스를 생성하지 않고 및/또는 포렌식을 위해 wmic를 사용할 때 흥미로울 수 있습니다.
분석 1 - 섀도 복사본 삭제 또는 크기 조정 감지
(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688")(CommandLine="vssadmin delete shadows" OR CommandLine="wmic shadowcopy delete" OR CommandLine="vssadmin resize shadowstorage")) OR (EventCode="5857" ProviderName="MSVSS__PROVIDER") OR (EventCode="5858" Operation="Win32_ShadowCopy")
분석 2 - BCDEdit 실패 복구 수정
(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") Image= "C:\Windows\System32\bcdedit.exe" AND CommandLine="recoveryenabled"
서비스
- 서비스 메타데이터
시스템 복구에 관련된 서비스 상태를 모니터링합니다.
참고: Windows의 경우 이벤트 ID 7040은 시스템 복구와 관련된 서비스 시작 유형이 변경되는 경우(예: 시작 시 활성화에서 비활성화로 변경)에 대한 경고를 보내는 데 사용할 수 있습니다.
스냅 사진
- 스냅샷 삭제
예상치 못한 스냅샷 삭제(예: AWS DeleteSnapshot, DeleteDBSnapshot특히 클라우드 백업과 관련된 스냅샷 삭제)를 모니터링합니다.
윈도우 레지스트리
- 윈도우 레지스티리 키 수정
시스템 복구 기능과 관련된 변경 사항을 레지스트리에서 모니터링합니다(예: 생성 HKEY_CURRENT_USER\Software\Policies\Microsoft\PreviousVersions\DisableLocalPage).
네트워크 서비스 거부
적대자는 사용자에게 타겟 리소스의 가용성을 저하시키거나 차단하기 위해 네트워크 서비스 거부(DoS) 공격을 수행할 수 있습니다. 네트워크 DoS는 서비스가 의존하는 네트워크 대역폭을 소진하여 수행할 수 있습니다. 리소스의 예로는 특정 웹사이트, 이메일 서비스, DNS 및 웹 기반 애플리케이션이 있습니다. 적대자는 정치적 목적과 방해 , 해커 활동, 강탈을 포함한 기타 악의적인 활동을 지원하기 위해 네트워크 DoS 공격을 수행하는 것으로 관찰되었습니다.
네트워크 DoS는 리소스 또는 리소스가 의존하는 네트워크 연결 및 네트워크 장치를 향한 악성 트래픽의 양으로 인해 시스템에 대한 네트워크 연결의 대역폭 용량이 고갈될 때 발생합니다. 예를 들어, 적대자는 인터넷에 1Gbps 연결이 있는 네트워크에서 호스팅하는 서버로 10Gbps의 트래픽을 보낼 수 있습니다. 이 트래픽은 단일 시스템 또는 인터넷에 분산된 여러 시스템에서 생성될 수 있으며, 일반적으로 분산형 DoS(DDoS)라고 합니다.
네트워크 DoS 공격을 수행하려면 IP 주소 스푸핑, 봇넷을 포함한 여러 측면이 여러 방법에 적용됩니다.
적대자는 공격 시스템의 원래 IP 주소를 사용하거나 소스 IP 주소를 스푸핑하여 공격 트래픽을 공격 시스템으로 추적하기 어렵게 만들거나 반사를 가능하게 할 수 있습니다. 이는 네트워크 방어 장치에서 소스 주소로 필터링하는 효과를 줄이거나 없애서 방어자가 공격을 방어하는 데 어려움을 겪을 수 있습니다.
호스팅 시스템을 직접 타겟으로 하는 DoS 공격의 경우 엔드포인트 서비스 거부를 참조하세요 .
절차
APT28 - 2016년 세계반도핑기구(WADA)를 상대로 분산 서비스 거부(DDoS) 공격을 감행했습니다.
루시퍼 - TCP, UDP, HTTP 서비스 거부(DoS) 공격을 실행할 수 있습니다.
NKAbuse - 설치 후 여러 프로토콜에 걸쳐 다양한 유형의 네트워크 서비스 거부 기능을 활성화합니다.
완화책
네트워크 트래픽 필터링
홍수 볼륨이 타겟이 되는 네트워크 연결 용량을 초과하는 경우 일반적으로 합법적인 트래픽에서 공격 트래픽을 걸러내기 위해 업스트림으로 들어오는 트래픽을 가로채야 합니다. 이러한 방어는 호스팅 인터넷 서비스 공급자(ISP) 또는 콘텐츠 전송 네트워크(CDN) 또는 DoS 완화를 전문으로 하는 공급자와 같은 제3자가 제공할 수 있습니다.
홍수량에 따라 공격을 소싱하는 소스 주소를 차단하거나, 타겟팅되는 포트를 차단하거나, 전송에 사용되는 프로토콜을 차단하여 온프레미스 필터링이 가능할 수 있습니다. 즉각적인 대응을 위해서는 제3자의 신속한 참여가 필요할 수 있으므로 네트워크 DoS 공격으로 인해 중요한 리소스가 영향을 받는 것과 관련된 위험을 분석하고 사고에 대응하기 위한 재해 복구 계획/비즈니스 연속성 계획을 수립하십시오.
발견
네트워크 트래픽
- 네트워크 트래픽 흐름
네트워크 데이터에서 흔하지 않은 데이터 흐름을 모니터링합니다. 일반적으로 네트워크 통신이 없거나 이전에 본 적이 없는 네트워크를 활용하는 프로세스는 의심스럽습니다.
센서 상태
- 호스트 상태
네트워크 DoS 감지는 트래픽 양이 서비스 가용성에 영향을 미칠 만큼 충분해지기 전에 달성될 수 있지만, 이러한 응답 시간은 일반적으로 상류 네트워크 서비스 공급자가 제공하는 매우 적극적인 모니터링 및 대응성 또는 서비스를 필요로 합니다. 호스트 센서의 상태를 강조하는 로깅, 메시징 및 기타 아티팩트(예: 로깅 애플리케이션의 메트릭, 오류 및/또는 예외)를 모니터링합니다.
리소스 하이재킹
적대 세력은 협력 시스템의 리소스를 활용하여 리소스가 많이 필요한 작업을 완료할 수 있으며, 이는 시스템 및/또는 호스팅 서비스의 가용성에 영향을 미칠 수 있습니다.
리소스 하이재킹은 여러 가지 다른 형태를 취할 수 있습니다. 예를 들어, 적대자는 다음과 같은 행동을 할 수 있습니다.
- 암호화폐를 채굴하기 위해 컴퓨팅 리소스를 활용하세요
- 프록시 네트워크에 네트워크 대역폭 판매
- 이익을 위한 SMS 트래픽 생성
- 클라우드 기반 메시징 서비스를 악용하여 대량의 스팸 메시지를 보냅니다.
어떤 경우에는 적대자가 여러 유형의 리소스 하이재킹을 동시에 활용할 수 있습니다.
완화책
이러한 유형의 공격 기술은 시스템 기능을 남용하는 것을 기반으로 하기 때문에 예방적 통제로는 쉽게 완화할 수 없습니다.
발견
신청 로그
- 애플리케이션 로그 내용
SaaS(소프트웨어 즉 서비스) 애플리케이션의 로그를 모니터링하여 남용 징후를 파악합니다.
클라우드 서비스
- 클라우드 서비스 수정
특히 할당량이 늘어나거나 새로운 서비스가 활성화될 때 SaaS 서비스의 변경 사항을 모니터링합니다.
명령
- 명령 실행
일반적인 암호화폐 채굴이나 프록시웨어 기능을 나타낼 수 있는 실행된 명령과 인수를 모니터링합니다.
파일
- 파일 생성
로컬 시스템에서 침해 및 리소스 사용량을 나타낼 수 있는 일반적인 암호화폐 채굴 또는 프록시웨어 파일을 모니터링합니다.
네트워크 트래픽
- 네트워크 연결 생성
신뢰할 수 없는 호스트에서 송수신되는 새로 구성된 네트워크 연결을 모니터링하고, 이상한 포트와의 연결을 찾아보고, 암호화폐 호스트와 관련된 IP 및 URL의 평판을 확인하세요.
- 네트워크 트래픽 콘텐츠
시스템 및/또는 호스팅 서비스의 가용성에 영향을 줄 수 있는 리소스를 많이 사용하는 작업을 완료하기 위해 공동으로 채택된 시스템의 리소스에 대한 네트워크 트래픽 콘텐츠를 모니터링합니다.
참고: 대상 호스트 이름은 잠재적인 암호화폐 URL의 포괄적인 목록이 아닙니다. 이 분석에는 변경될 수 있는 하드코딩된 도메인 이름이 있습니다.
- 네트워크 트래픽 흐름
네트워크 데이터에서 흔하지 않은 데이터 흐름을 모니터링합니다. 일반적으로 네트워크 통신이 없거나 이전에 본 적이 없는 네트워크를 활용하는 프로세스는 의심스럽습니다.
프로세스
- 프로세스 생성
침해 및 리소스 사용량을 나타낼 수 있는 일반적인 암호화폐 채굴 또는 프록시웨어 소프트웨어 프로세스 이름을 모니터링합니다.
센서 상태
- 호스트 상태
CPU, 메모리, 그래픽 처리 리소스 등 컴퓨터 리소스를 악의적으로 하이재킹하는 것과 관련된 비정상적인 활동을 파악하기 위해 프로세스 리소스 사용을 모니터링하는 것을 고려하세요.
서비스 정지
적대자는 합법적인 사용자가 해당 서비스를 사용할 수 없도록 시스템의 서비스를 중지하거나 비활성화할 수 있습니다. 중요한 서비스나 프로세스를 중지하면 사고에 대한 대응을 방해하거나 중단할 수 있으며, 환경에 피해를 입히려는 적대자의 전반적인 목표를 지원할 수 있습니다.
적대자는 조직에 매우 중요한 개별 서비스(예 MSExchangeIS: Exchange 콘텐츠에 액세스할 수 없게 만드는)를 비활성화하여 이를 달성할 수 있습니다. 어떤 경우에는 적대자가 여러 서비스나 모든 서비스를 중지하거나 비활성화하여 시스템을 사용할 수 없게 만들 수 있습니다. 서비스나 프로세스는 실행 중인 동안 데이터 저장소를 수정하는 것을 허용하지 않을 수 있습니다. 적대자는 Exchange 및 SQL Server와 같은 서비스의 데이터 저장소에 대한 데이터 파괴 또는 영향을 위한 데이터 암호화를 수행하기 위해 서비스나 프로세스를 중지할 수 있습니다 .
절차
Avaddon - 데이터베이스 프로세스를 찾아서 중지하려고 시도합니다.
AvosLocker - 암호화 전에 특정 프로세스를 종료했습니다.
Babuk - 백업과 관련된 특정 서비스를 중지할 수 있습니다.
BlackCat - 손상된 네트워크에서 VM 서비스를 중지할 수 있는 기능을 가지고 있습니다.
Cheerscrypt - esxcli vm process kill 실행을 통해 손상된 호스트의 VM 프로세스를 종료할 수 있는 기능을 가지고 있습니다.
Clop - 백업 및 보안 솔루션과 관련된 여러 프로세스와 서비스를 중단시킬 수 있습니다.
Conti - net stop을 사용하여 보안, 백업, 데이터베이스 및 이메일 솔루션과 관련된 최대 146개의 Windows 서비스를 중지할 수 있습니다.
쿠바 - 종료할 서비스 및 프로세스의 하드코딩된 목록이 있습니다.
Diavol - SCM(서비스 제어 관리자) API를 사용하여 서비스를 종료합니다.
EKANS - 데이터베이스, 데이터 백업 솔루션, 바이러스 백신 및 ICS 관련 프로세스를 중지합니다.
HermeticWiper - 볼륨 섀도 복사본 서비스를 중지할 수 있는 기능이 있습니다.
HotCroissant - 감염된 호스트의 서비스를 중지할 수 있는 기능을 가지고 있습니다.
INC 랜섬웨어 - 손상된 호스트의 프로세스를 종료하는 명령을 내릴 수 있습니다.
Indrik Spider - 랜섬웨어가 실행되기 전에 서비스를 중지하기 위해 PsExec을 사용했습니다.
Industroyer - 데이터 와이퍼 모듈은 레지스트리 키에 0을 기록하여 시스템을 작동 불가능하게 만듭니다.
KillDisk - 사용자가 피해자 컴퓨터를 재부팅하도록 하기 위해 다양한 프로세스를 종료합니다.
LAPSUS$ - 피해자의 온프레미스 VMware ESXi 인프라 내에서 가상 머신을 종료했습니다.
Lazarus Group - 사용자가 Exchange 콘텐츠에 액세스할 수 없도록 MSExchangeIS 서비스를 중단했습니다.
LookBack - 프로세스를 종료하고 서비스를 삭제할 수 있습니다.
Maze - 모든 데이터베이스를 암호화할 수 있도록 SQL 서비스를 중단했습니다.
MegaCortex - 시스템의 서비스를 중지하고 비활성화할 수 있습니다.
Meteor - powershell -Command "Get-WmiObject -class Win32_NetworkAdapter | ForEach { If ($_.NetEnabled) { $_.Disable() } }" > NUL을 사용하여 손상된 호스트의 모든 네트워크 어댑터 연결을 끊을 수 있습니다.
Netwalker - 백업 소프트웨어와 관련된 일부를 포함하여 시스템 프로세스와 서비스를 종료할 수 있습니다.
Olympic Destroyer - API 호출을 사용하여 영향을 받는 시스템의 모든 서비스를 비활성화합니다.
Pay2Key - 서비스에서 잠긴 파일을 해제하기 위해 암호화 프로세스가 끝나면 MS SQL 서비스를 중지할 수 있습니다.
Prestige - C:\Windows\System32\net.exe stop MSSQLSERVER를 사용하여 성공적인 암호화를 보장하기 위해 MSSQL Windows 서비스를 중지하려고 시도했습니다.
Pysa - 서비스와 프로세스를 중지할 수 있습니다.
Ragnar Locker - 비즈니스 애플리케이션 및 데이터베이스와 관련된 서비스를 중지하려고 시도했습니다.
REvil - 서비스를 중지하고 프로세스를 종료하는 기능이 있습니다.
ROADSWEEP - 중요한 서비스와 프로세스를 비활성화할 수 있습니다.
RobbinHood - 암호화 프로세스를 시작하기 전에 시스템에서 181개의 Windows 서비스를 중지합니다.
Royal - RmShutDown을 사용하여 암호화를 위해 타겟으로 지정된 리소스를 종료합니다.
Ryuk - kill.bat을 사용하여 서비스 중단, 서비스 비활성화 및 프로세스 종료를 요구했습니다.
Sandworm Team - 잠긴 파일의 성공적인 암호화를 보장하기 위해 MSSQL Windows 서비스를 중지하려고 시도합니다.
SLOTHFULMEDIA - 프로세스와 서비스를 중지하는 기능이 있습니다.
WannaCry - Exchange, Microsoft SQL Server 및 MySQL과 관련된 프로세스를 종료하여 데이터 저장소를 암호화할 수 있도록 시도합니다.
Wizard Spider - 네트워크 암호화 이전에 백업, 카탈로그, 클라우드 및 기타 서비스를 중지하기 위해 taskkill.exe 및 net.exe를 사용했습니다.
완화책
네트워크 세분화
운영 환경과 별도의 네트워크에서 침입 탐지, 분석 및 대응 시스템을 운영하여 적이 중요한 대응 기능을 보고 방해할 가능성을 줄입니다.
대역 외 통신 채널
보안 사고 중에 중요한 통신을 위해 대역 외 통신 채널을 사용하는 것을 포함하는 보안 정책을 개발하고 시행합니다.
파일 및 디렉토리 권한 제한
적대 세력이 중요 서비스를 비활성화하거나 방해하지 못하도록 적절한 프로세스와 파일 권한이 있는지 확인하세요.
레지스티리 권한 제한
중요한 서비스를 비활성화하거나 방해하는 적대자를 차단하기 위해 적절한 레지스트리 권한이 있는지 확인하세요.
사용자 계정 관리
권한이 있는 관리자만 서비스 변경 사항 및 서비스 구성과 상호 작용할 수 있도록 사용자 계정 및 그룹의 권한을 제한합니다.
발견
명령
- 명령 실행
합법적인 사용자가 해당 서비스를 사용할 수 없도록 시스템의 서비스를 중지하거나 비활성화할 수 있는 실행된 명령 및 인수를 모니터링합니다.
파일
- 파일 수정
합법적인 사용자가 해당 서비스를 사용할 수 없게 하는 시스템 서비스를 중지하거나 비활성화할 수 있는 파일의 변경 사항을 모니터링합니다.
프로세스
- OSAPI실행
내장 기능이 있는 원격 액세스 도구는 일반적인 시스템 유틸리티 외부에서 이러한 기능을 수행하기 위해 Windows API와 직접 상호 작용할 수 있습니다. 예를 들어, ChangeServiceConfigW적대자가 서비스 시작을 방지하는 데 사용될 수 있습니다.
- 프로세스 생성
합법적인 사용자가 해당 서비스를 사용할 수 없도록 시스템의 서비스를 중지하거나 비활성화할 수 있는 새로 실행된 프로세스를 모니터링합니다.
- 프로세스 종료
중요한 프로세스가 종료되거나 실행이 중지되었는지 확인하기 위해 프로세스와 명령줄 인수를 모니터링합니다.
서비스
- 서비스메타데이터
서비스 바이너리 경로가 변경되었거나 서비스 시작 유형이 비활성화로 변경된 경우 의심스러울 수 있습니다.
윈도우 레지스트리
- 윈도우 레지스트리 키 수정
합법적인 사용자가 해당 서비스를 사용할 수 없게 만들거나 시스템의 서비스를 중지시킬 수 있는 Windows 레지스트리 키 및/또는 값의 변경 사항을 모니터링합니다.
시스템 종료/재부팅
적대자는 해당 시스템에 대한 액세스를 방해하거나 해당 시스템의 파괴를 돕기 위해 시스템을 종료/재부팅할 수 있습니다. 운영 체제에는 머신 또는 네트워크 장치의 종료/재부팅을 시작하는 명령이 포함될 수 있습니다. 어떤 경우에는 이러한 명령을 사용하여 네트워크 장치 CLI (예: reload)를 통해 원격 컴퓨터 또는 네트워크 장치의 종료/재부팅을 시작할 수도 있습니다. 시스템을 종료하거나 재부팅하면 합법적인 사용자가 컴퓨터 리소스에 액세스하는 데 지장을 줄 수 있으며, 사고 대응/복구도 방해를 받을 수 있습니다.
적대자는 디스크 구조 삭제 나 시스템 복구 방해 등의 다른 방법으로 시스템에 영향을 준 후 시스템 가용성에 대한 의도된 효과를 서두르기 위해 시스템을 종료/재부팅하려고 시도할 수 있습니다.
절차
AcidRain - 다양한 삭제 프로세스가 완료되면 대상 시스템을 재부팅합니다.
사도 - 삭제 및 관련 활동 후 피해자 컴퓨터를 재부팅합니다.
APT37 - shutdown /r /t 1 명령을 사용하여 MBR을 지운 후 시스템을 재부팅하라는 명령을 내리는 맬웨어를 사용했습니다.
APT38 - BOOTWRECK이라는 사용자 지정 MBR 와이퍼를 사용하여 피해자의 MBR을 지운 후 시스템 재부팅을 시작합니다.
AvosLocker - Linux 변형은 ESXi 가상 머신을 종료했습니다.
BFG Agonizer - 감염된 시스템에서 "죽음의 블루 스크린"을 유도하기 위해 상승된 권한을 사용하여 NtRaiseHardError를 호출하여 시스템 충돌을 일으킵니다. 종료되면 시스템은 더 이상 부팅할 수 없습니다.
CHIMNEYSWEEP - 대상 시스템을 재부팅하거나 종료하거나 현재 사용자를 로그오프할 수 있습니다.
DCSrv - 시스템을 재부팅하기 전에 2시간 동안 절전 모드를 해제하는 기능이 있습니다.
HermeticWiper - 시스템 종료를 시작할 수 있습니다.
KillDisk - 특정 프로세스를 종료하여 시스템을 재부팅하려고 시도합니다.
Latrodectus - 손상된 호스트를 다시 시작하는 기능을 가지고 있습니다.
Lazarus Group - 감염된 시스템의 파일을 파괴하고 MBR을 지운 후 시스템을 재부팅했습니다.
LockerGoga - 감염된 시스템을 종료하는 것으로 관찰되었습니다.
LookBack - 피해자 컴퓨터를 종료하고 재부팅할 수 있습니다.
Maze - 재부팅 시 VM 내에서 랜섬웨어를 실행하는 피해자 컴퓨터에서 종료 명령을 발행했습니다.
MultiLayer Wiper - 시스템 복구를 방지하기 위해 삭제 및 관련 작업 후 감염된 시스템을 재부팅합니다.
NotPetya - 감염 후 1시간 후에 시스템을 재부팅합니다.
Olympic Destroyer - 시스템 구성 설정 수정이 완료되면 손상된 시스템을 종료합니다.
Shamoon - 삭제 기능이 완료되면 감염된 시스템을 재부팅합니다.
WhisperGate - ExitWindowsEx 플래그를 사용하여 손상된 호스트를 종료할 수 있습니다.
완화책
이러한 유형의 공격 기술은 시스템 기능을 남용하는 것을 기반으로 하기 때문에 예방적 통제로는 쉽게 완화할 수 없습니다.
발견
명령
- 명령 실행
시스템 종료 또는 재부팅에 관련된 바이너리의 실행된 명령 및 인수를 모니터링합니다. 네트워크 장치의 경우 AAA 로그에서 실행된 명령, 특히 예상치 못한 또는 승인되지 않은 사용자가 실행한 명령을 모니터링합니다.
프로세스
- 프로세스 생성
시스템 종료 또는 재부팅에 관련된 바이너리의 새로 실행되는 프로세스를 모니터링합니다.
센서 상태
- 호스트 상태
호스트 센서의 상태를 강조하는 로깅, 메시징 및 기타 아티팩트(예: 로깅 애플리케이션의 메트릭, 오류 및/또는 예외)를 모니터링하여 시스템 종료 또는 재부팅을 시사할 수 있습니다. Windows 이벤트 로그는 종료/재부팅과 관련된 활동(예: 이벤트 ID 1074 및 6006)도 지정할 수 있습니다.