Follow
Akira 랜섬웨어: CISA 권고문 AA24-109A에 대한 대응 요약
이 권고문은 Akira 랜섬웨어 운영을 프로파일링합니다. 이는 데이터 암호화 전 데이터를 탈취하는 랜섬웨어-서비스(RaaS) 위협입니다. 2023년 3월 처음 관찰된 Akira는 빠르게 주목을 받았으며 Conti 랜섬웨어 패밀리와 코드 혈통을 공유하는 것으로 믿어집니다. 문서는 RDP에 대한 무차별 공격, 자격 증명 덤핑, TOR-호스팅 누출 포털 의존 포함한 그룹의 전술, 기술 및 절차를 상세히 설명합니다. 피해자는 일반적으로 암호 해독 키 또는 도난 데이터 삭제 약속을 위해 지불하도록 압력을 받습니다.
조사
CISA, FBI, NCSC-NL, 여러 유럽 법 집행 파트너의 협력 조사로 2025년 11월까지 Akira의 위협 프로파일이 갱신되었습니다. 기술적 발견 사항은 새로운 로컬 계정 생성을 통한 지속성, 본래의 Windows API 사용을 통한 광범위한 탐색, Mimikatz, LaZagne, Rubeus 등의 자격 증명 탈취 유틸리티 사용을 강조합니다. 파일 암호화는 ChaCha20 알고리즘으로 구현되며, 키는 RSA-4096을 사용하여 보호됩니다.
Akira 랜섬웨어 완화
방어 우선 사항에는 강력하고 고유한 RDP 자격 증명의 집행, 비정상적인 계정 생성 및 권한 열거 활동 모니터링, 일반적으로 남용되는 공격 도구 차단이 포함됩니다. 조직은 정기적으로 테스트된 백업을 유지하고, 비필요한 서비스를 비활성화하며, LSASS 메모리 덤프를 방지하기 위해 호스트 기반 제어를 배포해야 합니다. 추가적인 안전장치는 네트워크 경계에서 TOR 트래픽 필터링과 .onion 인프라로의 잠재적 데이터 탈출 추적을 포함합니다.
대응
Akira 활동이 의심될 경우, 즉시 감염된 호스트를 격리하고 메모리 및 디스크 이미지를 획득하며 모든 관련 침해 지표를 보존하십시오. 노출된 자격 증명을 재설정하고, 승인되지 않은 계정을 제거하며 신뢰할 수 있고 검증된 백업에서 시스템을 복원하세요. 철저한 포렌식 검토는 횡적 이동 경로와 피벗 지점을 매핑해야 하며, 결과는 관련 당국 및 정보 공유 파트너에게 보고되어야 합니다.
mermaid graph TB %% Class Definitions classDef technique fill:#e6f5ff %% Nodes – Techniques tech_bruteforce[“<b>기법</b> – <b>T1110.004 무차별 대입 – 자격 증명 채우기</b><br /><b>설명</b>: 공격자가 이전에 손상되었던 많은 자격 증명으로 원격 서비스 로그인을 시도합니다.”] class tech_bruteforce technique tech_rdp[“<b>기법</b> – <b>T1021.001 원격 서비스: RDP</b><br /><b>설명</b>: 원격 데스크톱 프로토콜을 사용하여 원격 대화형 세션을 설정합니다.”] class tech_rdp technique tech_createacct[“<b>기법</b> – <b>T1136.001 계정 만들기: 로컬 계정</b><br /><b>설명</b>: 적이 지속성 또는 권한 상승을 위해 새로운 로컬 사용자 계정을 생성합니다.”] class tech_createacct technique tech_localgroup[“<b>기법</b> – <b>T1069.001 권한 그룹 발견: 로컬 그룹</b><br /><b>설명</b>: 특권 계정을 식별하기 위해 로컬 그룹 회원을 열거합니다.”] class tech_localgroup technique tech_domaingroup[“<b>기법</b> – <b>T1069.002 권한 그룹 발견: 도메인 그룹</b><br /><b>설명</b>: 추가 특권 그룹 위치를 찾기 위해 도메인 그룹 회원을 열거합니다.”] class tech_domaingroup technique tech_processdisc[“<b>기법</b> – <b>T1057 프로세스 발견</b><br /><b>설명</b>: 호스트에서 실행 중인 프로세스를 나열하기 위해 tasklist와 같은 유틸리티를 사용합니다.”] class tech_processdisc technique tech_remotesysdisc[“<b>기법</b> – <b>T1018 원격 시스템 발견</b><br /><b>설명</b>: 예를 들어 nltest를 사용하여 도메인 컨트롤러와 같은 원격 시스템을 식별합니다.”] class tech_remotesysdisc technique tech_trustdisc[“<b>기법</b> – <b>T1482 도메인 신뢰 발견</b><br /><b>설명</b>: nltest trusted_domains를 사용하여 신뢰 도메인 관계를 쿼리합니다.”] class tech_trustdisc technique tech_kerberoast[“<b>기법</b> – <b>T1558.003 Kerberoasting</b><br /><b>설명</b>: 서비스 티켓을 추출하고 종종 Rubeus와 같은 도구를 사용하여 오프라인으로 크래킹합니다.”] class tech_kerberoast technique tech_lsassdump[“<b>기법</b> – <b>T1003.001 OS 자격 증명 덤핑</b><br /><b>설명</b>: comsvcs.dll과 Mimikatz 등을 통해 LSASS 메모리를 덤프하여 평문 자격 증명을 얻습니다.”] class tech_lsassdump technique tech_regdump[“<b>기법</b> – <b>T1003.002 레지스트리 하이브 덤프</b><br /><b>설명</b>: 오프라인 분석을 위해 SYSTEM 레지스트리 하이브를 저장합니다 (예: reg save 사용).”] class tech_regdump technique tech_wmiexec[“<b>기법</b> – <b>T1047 Windows 관리 계측</b><br /><b>설명</b>: wmiexec와 같은 유틸리티를 사용하여 원격으로 명령을 실행합니다.”] class tech_wmiexec technique tech_rdp_lateral[“<b>기법</b> – <b>T1021.001 원격 서비스: RDP (Lateral)</b><br /><b>설명</b>: 원격 데스크톱 프로토콜 연결을 통해 추가 호스트로 횡적 이동합니다.”] class tech_rdp_lateral technique tech_ssh[“<b>기법</b> – <b>T1021.004 원격 서비스: SSH</b><br /><b>설명</b>: RDP가 사용할 수 없는 경우 보안 셸에 의존하여 횡적 이동합니다.”] class tech_ssh technique tech_sysinfo[“<b>기법</b> – <b>T1082 시스템 정보 발견</b><br /><b>설명</b>: GetSystemInfo와 같은 명령을 사용하여 운영 체제 및 하드웨어 세부 정보를 수집합니다.”] class tech_sysinfo technique tech_queryreg[“<b>기법</b> – <b>T1012 레지스트리 쿼리</b><br /><b>설명</b>: MachineGUID와 같은 레지스트리 값을 읽어 호스트를 고유하게 식별합니다.”] class tech_queryreg technique tech_filedisc[“<b>기법</b> – <b>T1083 파일 및 디렉터리 발견</b><br /><b>설명</b>: FindFirstFile/FindNextFile API 호출을 사용하여 파일 및 디렉터리를 열거합니다.”] class tech_filedisc technique tech_logdrive[“<b>기법</b> – <b>T1680 논리 드라이브 발견</b><br /><b>설명</b>: GetLogicalDriveStringsW 및 GetDriveTypeW을 통해 논리 드라이브 문자 및 유형을 검색합니다.”] class tech_logdrive technique tech_permmod[“<b>기법</b> – <b>T1222.001 파일 및 디렉터리 권한 수정</b><br /><b>설명</b>: icacls를 사용하여 파일 또는 디렉터리에 대한 ACL을 변경하여 추가 접근을 가능하게 합니다.”] class tech_permmod technique tech_inhibitrec[“<b>기법</b> – <b>T1490 시스템 복구 억제</b><br /><b>설명</b>: 복원을 방지하기 위해 WMI를 통해 볼륨 섀도 복사본을 삭제합니다.”] class tech_inhibitrec technique tech_encrypt[“<b>기법</b> – <b>T1486 충격을 위한 데이터 암호화</b><br /><b>설명</b>: ChaCha20 대칭 암호화를 사용하여 피해자 데이터를 암호화하며, 키 보호를 위해 RSA-4096을 사용합니다.”] class tech_encrypt technique %% Connections – Attack Flow tech_bruteforce u002du002d>|leads_to| tech_rdp tech_rdp u002du002d>|leads_to| tech_createacct tech_createacct u002du002d>|leads_to| tech_localgroup tech_localgroup u002du002d>|leads_to| tech_domaingroup tech_domaingroup u002du002d>|leads_to| tech_processdisc tech_processdisc u002du002d>|leads_to| tech_remotesysdisc tech_remotesysdisc u002du002d>|leads_to| tech_trustdisc tech_trustdisc u002du002d>|leads_to| tech_kerberoast tech_kerberoast u002du002d>|leads_to| tech_lsassdump tech_lsassdump u002du002d>|leads_to| tech_regdump tech_regdump u002du002d>|leads_to| tech_wmiexec tech_wmiexec u002du002d>|leads_to| tech_rdp_lateral tech_rdp_lateral u002du002d>|leads_to| tech_ssh tech_ssh u002du002d>|leads_to| tech_sysinfo tech_sysinfo u002du002d>|leads_to| tech_queryreg tech_queryreg u002du002d>|leads_to| tech_filedisc tech_filedisc u002du002d>|leads_to| tech_logdrive tech_logdrive u002du002d>|leads_to| tech_permmod tech_permmod u002du002d>|leads_to| tech_inhibitrec tech_inhibitrec u002du002d>|leads_to| tech_encrypt
공격 흐름
탐지
파일 권한 수정용 Icacls 유틸리티 사용 탐지 [Windows 파일 이벤트]
보기
의심스러운 로컬 계정 생성 및 프로세스 열거 [Windows 프로세스 생성]
보기
IOC (HashSha256)를 통한 탐지: CISA 권고문 (AA24-109A) 대응: Akira 랜섬웨어
보기
SAM/SYSTEM/보안 덤핑 가능성 (cmdline 통해)
보기
Comsvcs.dll을 통한 자격 증명 덤핑 가능성 (cmdline 통해)
보기
시뮬레이션 실행
전제 조건: Telemetry & Baseline Pre-flight Check가 통과했어야 합니다.
근거: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적의 기술(TTP)의 정확한 실행을 설명합니다. 명령과 내러티브는 식별된 TTP를 직접 반영하며 탐지 논리가 예상하는 정확한 텔레메트리를 생성합니다.
-
공격 내러티브 및 명령:
랜섬웨어 운영자는 사용자 문서 디렉토리를 암호화할 준비를 합니다. 먼저, 파일이 랜섬웨어 프로세스에서 완전히 접근 가능하도록 모두에icacls.exe를 사용하여 전체 제어 권한을 부여합니다. 이것은 MITER 기술 T1222.001과 일치하는 고전적인 “암호화 전 전체 접근 권한 부여” 단계입니다. 공격자는 낮은 권한 컨텍스트에서 명령을 실행하지만icacls.exe프로세스가 충분한 권한을 가지고 있으면 (예: 스케줄된 작업을 통해 SYSTEM으로 실행 중일 때) ACL을 수정할 수 있다는 사실에 기대고 있습니다.# 대상 디렉터리 경로 $target = "C:UsersPublicDocumentsSensitiveData" # 모두에게 전체 제어를 재귀적으로 부여 icacls.exe "$target*" /grant *S-1-1-0:F /T /C위 명령은
이미지가 끝나는 Sysmon ProcessCreate 이벤트를 생성하며, 탐지 규칙을 만족합니다.icacls.exe, satisfying the detection rule. -
회귀 테스트 스크립트:
# --------------------------------------------------------------- # 회귀 테스트 – Icacls 권한 수정 (T1222.001) # --------------------------------------------------------------- # 임시 테스트 디렉터리 생성 $testDir = "$env:TEMPIcaclsTest" New-Item -Path $testDir -ItemType Directory -Force | Out-Null # 더미 파일로 채우기 1..5 | ForEach-Object { New-Item -Path "$testDirFile$_ .txt" -ItemType File -Force | Out-Null } # icacls를 실행하여 모두에게 전체 제어를 부여 (이것은 규칙을 유발해야 함) icacls.exe "$testDir*" /grant *S-1-1-0:F /T /C # SIEM 수집을 위해 일시 중지 Start-Sleep -Seconds 10 # 스크립트 종료 -
정리 명령:
# --------------------------------------------------------------- # 정리 – 테스트 ACL 변경 사항 제거 및 테스트 데이터 삭제 # --------------------------------------------------------------- $testDir = "$env:TEMPIcaclsTest" # 기본값으로 권한 재설정 (모두의 권한 해제) icacls.exe "$testDir*" /reset /T /C # 테스트 디렉터리 삭제 Remove-Item -Path $testDir -Recurse -Force