SOC Prime Bias: 높음

21 11월 2025 19:30
newspaper icon cybereason.com

암호화 라이센스: ‘신사들’이 공격을 감행할 때

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
암호화 라이센스: ‘신사들’이 공격을 감행할 때
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


요약

The Gentlemen 랜섬웨어 집단은 2025년 7월에 등장하여 피해자의 데이터를 암호화하고 민감 정보를 유출하는 이중 협박 작전을 수행했습니다. 이 악성 소프트웨어는 Windows, Linux 및 ESXi 환경을 대상으로 하며, 자가 재시작 기능, 부팅 시 실행 지속성, 구성 가능한 암호화 스로틀링을 포함합니다. WMI, PowerShell 리모팅, SCHTASKS 및 기타 내장된 Windows 관리 도구에 의존하여 확산됩니다. 운영자는 The Gentlemen을 RaaS(서비스형 랜섬웨어)로 제공하여 지사에게 광범위한 튜닝 및 사용자 정의 옵션을 제공합니다.

The Gentlemen 랜섬웨어 공격 분석

Cybereason의 64비트 Golang Windows 샘플 분석은 명령줄 스위치, 내장 랜섬 메모 텍스트, 광범위한 반 법의학 PowerShell 루틴을 문서화했습니다. 연구자들은 지속성을 위한 레지스트리 위치, 중요한 프로세스를 비활성화하기 위한 서비스 “살해 목록”, 권한 상승 및 횡단 이동을 위한 기본 Windows 바이너리에 대한 의존성을 지적했습니다. 암호화 파이프라인은 XChaCha20 및 Curve25519에 기반합니다.

완화

추천되는 방어 조치는 다중 인증을 강제하고, 자주 오프라인 백업을 유지하고, 보안 패치를 신속하게 적용하며, PowerShell 및 WMI 실행 제어를 강화하는 것 포함합니다. 엔드포인트 보호 스택은 실시간 악성 코드 방지, 랜섬웨어 방지 및 VSS 그림자 복사본 보호를 가능하게 해야 합니다. 보안 팀은 비정상적인 레지스트리 수정, 새로 생성된 예약 작업 및 특징적인 PowerShell 명령 패턴도 모니터링해야 합니다.

대응

The Gentlemen 랜섬웨어 활동이 식별되면, 즉시 영향을 받은 시스템을 격리하고, 휘발성 메모리를 캡처하며, 레지스트리 항목, 예약 작업, PowerShell 이벤트 로그와 같은 주요 아티팩트를 수집하십시오. 랜섬 노트와 암호화된 파일의 법의학 수집을 수행한 후, 근절이 확인되면 신뢰할 수 있는 백업에서 영향을 받은 시스템을 복원하십시오. 횡단 이동 경로와 데이터 유출의 증거를 조사하기 위해 사건 대응 팀에 참여하십시오.

ngraph TB %% 클래스 정의 classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#e6e6fa classDef action fill:#99ccff classDef operator fill:#ff9900 %% 노드 – 액션 / 기술 initial_access[“<b>액션</b> – 기존 발판을 통한 초기 접근”] class initial_access action dll_sideload[“<b>기술</b> – <b>T1574.001 실행 흐름 가로채기: DLL</b><br />OneDrive.exe가 DLL 사이드로딩을 통해 악성 SSPICLI.dll 로드”] class dll_sideload technique powershell[“<b>기술</b> – <b>T1059.001 명령 및 스크립트 인터프리터: PowerShell</b><br />네트워크 확인 및 파일 복사를 위해 Base64로 인코딩된 PowerShell 명령 실행”] class powershell technique office_macro[“<b>기술</b> – <b>T1137.001 Office 애플리케이션 시작: Office 템플릿 매크로</b><br />VBA 매크로가 %APPDATA%\Microsoft\Outlook\VbaProject.OTM에 배치됨”] class office_macro technique vba_stomping[“<b>기술</b> – <b>T1564.007 아티팩트 숨기기: VBA Stomping</b><br />매크로가 수신 메일(Application_NewMailEx)을 모니터링하여 C2 트리거를 확인하고 데이터 유출”] class vba_stomping technique vb_interpreter[“<b>기술</b> – <b>T1059.005 명령 및 스크립트 인터프리터: Visual Basic</b><br />VBA 코드가 명령을 실행하고 Outlook을 통해 통신”] class vb_interpreter technique %% 노드 – 파일 / 객체 file_oneDrive[“<b>파일</b> – OneDrive.exe”] class file_oneDrive file file_sspicli[“<b>파일</b> – SSPICLI.dll”] class file_sspicli file file_vba[“<b>파일</b> – VbaProject.OTM”] class file_vba file email_monitor[“<b>객체</b> – Outlook 애플리케이션<br />수신 메일(Application_NewMailEx) 모니터링”] class email_monitor action outlook_comm[“<b>객체</b> – Outlook<br />C2 통신 및 데이터 유출”] class outlook_comm action %% 공격 흐름 연결 initial_access –>|연결| dll_sideload dll_sideload –>|사용| file_oneDrive dll_sideload –>|로드| file_sspicli dll_sideload –>|트리거| powershell powershell –>|연결| office_macro office_macro –>|배치| file_vba office_macro –>|활성화| vba_stomping office_macro –>|활성화| vb_interpreter vba_stomping –>|모니터링| email_monitor vb_interpreter –>|통신| outlook_comm

공격 흐름

시뮬레이션 실행

전제조건: 원격 측정 및 기준선 사전 점검이 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적대적 기술(TTP)의 정확한 실행을 상세히 설명합니다. 명령 및 내용은 식별된 TTP를 직접 반영해야 하며 탐지 논리가 기대하는 정확한 원격 측정을 생성하는 것을 목표로 합니다. 추상적이거나 관련 없는 예는 오진을 초래합니다.

  • 공격 서사 및 명령:

    1. 목표: Windows Defender 실시간 보호를 비활성화하고 랜섬웨어 페이로드가 방해받지 않고 암호화된 파일을 작성할 수 있도록 예외 경로를 추가합니다.
    2. 방법: PowerShell 사용하기Invoke‑Command 두 가지 Defender 설정 명령을 실행하는 인라인 스크립트 블록과 함께 합니다. 이는 “The Gentlemen” 랜섬웨어 샘플에서 관찰된 정확한 구문을 반영합니다.
    3. 단계:
      • 승격된 권한으로 PowerShell 세션을 엽니다.
      • 악성 스크립트 블록을 포함하는 Invoke‑Command을(를) 실행합니다.
      • Defender의 실시간 모니터링이 비활성화되고 에 대한 예외가 추가되었는지 확인합니다.C:만듭니다.
      • (선택 사항) 랜섬웨어 활동을 모방하여 더미 암호화 파일을 생성합니다.

  • 회귀 테스트 스크립트: 다음의 자체 포함형 PowerShell 스크립트는 규칙이 예상하는 대로 공격을 정확하게 재현합니다.

    # ------------------------------------------------------------------
# Test script to trigger Sigma rule "Detect PowerShell Commands Used by
# 'The Gentlemen' Ransomware"
# ------------------------------------------------------------------
# Ensure script runs as Administrator
if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator))
{
    Write-Error "Run this script with elevated (Administrator) privileges."
    exit 1
}

# 1️⃣ Disable real‑time monitoring
Invoke-Command -ScriptBlock {
    Set-MpPreference -DisableRealtimeMonitoring $true
}

# 2️⃣ Add exclusion for the C: drive
Invoke-Command -ScriptBlock {
    Add-MpPreference -ExclusionPath 'C:'
}

# 3️⃣ (Optional) Simulate ransomware file creation
$dummyPath = "C:RansomTestencrypted.txt"
New-Item -ItemType Directory -Path (Split-Path $dummyPath) -Force | Out-Null
"This is a mock encrypted payload." | Set-Content -Path $dummyPath -Encoding UTF8

Write-Host "Simulation completed. Defender should now be disabled and exclusion added."

  • 정리 명령: Defender를 기본 상태로 복원하고 테스트 아티팩트를 제거합니다.

    # ------------------------------------------------------------------
# Cleanup script – re‑enable Defender and delete test files
# ------------------------------------------------------------------
# Re‑enable real‑time monitoring
Invoke-Command -ScriptBlock {
    Set-MpPreference -DisableRealtimeMonitoring $false
}

# Remove the C: exclusion
Invoke-Command -ScriptBlock {
    Remove-MpPreference -ExclusionPath 'C:'
}

# Delete dummy encrypted file and folder
$dummyPath = "C:RansomTestencrypted.txt"
if (Test-Path $dummyPath) { Remove-Item $dummyPath -Force }
$folder = Split-Path $dummyPath
if (Test-Path $folder) { Remove-Item $folder -Recurse -Force }

Write-Host "Cleanup completed. Defender settings restored."

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

무료 가입하기