Follow
요약
FunkSec 그룹과 관련된 Funklocker 랜섬웨어는 Windows 환경을 겨냥하며, AI 지원 코드 생성을 활용하여 새로운 변종을 생성합니다. PowerShell, taskkill, sc, vssadmin과 같은 도구를 악용하여 보안 통제를 차단하고, 그림자 복사를 제거하며, 데이터를 .funksec 확장자로 암호화하는 ‘living-off-the-land’ 기술에 의존합니다. 이 글에서는 Sysmon과 맞춤 Wazuh 규칙을 사용하여 이 행동을 감지하는 방법과 통합된 YARA 스캔을 통해 정리를 자동화하는 방법을 설명합니다.
조사
분석은 Funklocker가 Windows 보안 및 애플리케이션 이벤트 로깅을 억제하고, Windows Defender 실시간 보호를 비활성화하며, PowerShell 실행 정책을 우회하고, 프로세스를 종료하고, 중요한 서비스를 중지하며, 볼륨 섀도 복사본을 지우는 방법을 설명합니다. 테스트 샘플은 Wazuh 에이전트가 설치되어 있고 모든 관련 텔레메트리를 캡처하기 위해 Sysmon이 조정된 Windows 11 랩 호스트에서 실행되었습니다.
Funlocker 랜섬웨어 완화
권장 완화 단계에는 PowerShell 실행 정책을 강화하고, 서비스 관리에 대한 최소 권한을 시행하며, 그림자 복사본이 사용 가능하도록 자주 백업을 유지하고, Funklocker의 명령 패턴에 대한 알림을 제공하기 위해 맞춤 Sysmon 규칙과 결합된 Wazuh 같은 EDR 도구를 배포하는 것이 포함됩니다. YARA 서명은 자동으로 식별된 랜섬웨어 실행 파일을 격리하거나 삭제하기 위해 적용될 수 있습니다.
대응
Funklocker 활동이 감지되면 Wazuh 서버가 경고를 올리고 그 Active Response 구성 요소가 랜섬웨어 바이너리와 새롭게 생성된 암호화 파일을 제거하는 YARA 스캔을 실행시킵니다. 제시된 대응 프로세스는 수동 검증, 감염 시스템의 격리 및 신뢰할 수 있는 안전한 백업으로부터 데이터 복구도 포함됩니다.
graph TB %% 클래스 정의 classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 %% 노드 action_phishing[“<b>행동</b> – <b>T1204.004 사용자 실행: 악성 파일</b><br />피해자에게 악성 첨부파일이 포함된 피싱 이메일 전송”] class action_phishing action action_execute_payload[“<b>행동</b> – <b>T1218.007 서명된 바이너리 프록시 실행: Msiexec</b><br />시스템 유틸리티를 사용하여 악성 .exe 또는 .msi 페이로드 실행”] class action_execute_payload action action_install_rat[“<b>행동</b> – <b>T1219 원격 접근 도구</b><br />감염된 호스트에 원격 접근 도구 설치”] class action_install_rat action malware_rat[“<b>악성코드</b> – <b>이름</b>: 원격 접근 도구<br /><b>설명</b>: 지속적인 원격 제어 가능”] class malware_rat malware action_c2[“<b>행동</b> – <b>T1104 명령 및 제어</b><br />명령을 수신하기 위해 C2 채널 설정”] class action_c2 action action_recon[“<b>행동</b> – 정찰<br /><b>T1082 시스템 정보 탐색</b>, <b>T1592.002 소프트웨어 식별</b>, <b>T1590.004 네트워크 토폴로지 탐색</b><br />시스템, 소프트웨어 및 네트워크 정보 수집”] class action_recon action action_credential_dump[“<b>행동</b> – <b>T1555.003 파일 내 자격 증명: 웹 브라우저</b><br />WebBrowserPassView를 사용하여 저장된 웹 자격 증명 추출”] class action_credential_dump action tool_webbrowserpassview[“<b>도구</b> – <b>이름</b>: WebBrowserPassView<br /><b>설명</b>: 브라우저에 저장된 비밀번호를 검색”] class tool_webbrowserpassview tool action_valid_accounts[“<b>행동</b> – <b>T1078 유효 계정</b><br />수집한 자격 증명을 사용하여 인증”] class action_valid_accounts action action_lateral_movement[“<b>행동</b> – <b>T1021.006 원격 서비스: WinRM</b><br />Windows 원격 관리를 사용하여 측면 이동”] class action_lateral_movement action %% 연결 action_phishing –>|이어짐| action_execute_payload action_execute_payload –>|실행| action_install_rat action_install_rat –>|설치| malware_rat malware_rat –>|통신| action_c2 action_c2 –>|활성화| action_recon action_recon –>|데이터 제공| action_credential_dump action_credential_dump –>|사용| tool_webbrowserpassview action_credential_dump –>|이어짐| action_valid_accounts action_valid_accounts –>|가능하게 함| action_lateral_movement
공격 흐름
시뮬레이션 실행
전제 조건: 텔레메트리 및 기준선 사전 점검이 통과되어야 합니다.
이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적 대기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령과 내러티브는 식별된 TTP를 직접 반영해야 하며 탐지 로직이 기대하는 정확한 텔레메트리를 생성하는 것을 목표로 합니다.
-
공격 내러티브 및 명령:
공격자는 각 명령을 높은 권한의 PowerShell 프롬프트에서 직접 실행하여 보안 이벤트 로깅을 비활성화하고, Microsoft Defender 실시간 보호를 비활성화하며, 애플리케이션 로그를 비활성화하고, PowerShell 실행 정책을 바이패스 상태로 설정하여 랜섬웨어가 끊임없이 실행되고 숨겨질 수 있도록 합니다. Sigma 규칙이 일치하는 정확한 문자열을 미러링합니다. -
회귀 테스트 스크립트:
# Funklocker 스타일 로깅 및 수비자 명령 비활성화 # 1. 보안 이벤트 로그 비활성화 powershell -Command "wevtutil sl Security /e:false" # 2. Microsoft Defender 실시간 모니터링 비활성화 powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true" # 3. 애플리케이션 이벤트 로그 비활성화 powershell -Command "wevtutil sl Application /e:false" # 4. 현재 프로세스를 위한 PowerShell 실행 정책 우회 powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force" -
정리 명령:
# 보안 이벤트 로그 다시 활성화 wevtutil sl Security /e:true # Microsoft Defender 실시간 모니터링 다시 활성화 Set-MpPreference -DisableRealtimeMonitoring $false # 애플리케이션 이벤트 로그 다시 활성화 wevtutil sl Application /e:true # 기본 PowerShell 실행 정책 복원 (제한됨) Set-ExecutionPolicy Restricted -Scope Process -Force