SOC Prime Bias: 심각

20 11월 2025 18:32
newspaper icon AttackIQ

랜섬 이야기: 제5권 — REvil, DarkSide, BlackMatter 랜섬웨어 에뮬레이션

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
랜섬 이야기: 제5권 — REvil, DarkSide, BlackMatter 랜섬웨어 에뮬레이션
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


요약

이 글은 AttackIQ의 Ransom Tales 시리즈의 다섯 번째 권에 대해 다루며, REvil, DarkSide, BlackMatter라는 세 악명 높은 랜섬웨어 가족의 전술, 기술, 절차를 재현합니다. 각 시나리오는 실행, 지속성, 탐색, 방어 회피, 영향 단계로 진행되어 방어자가 탐지 및 대응 플레이북을 확인할 수 있도록 합니다. 이 에뮬레이션은 DLL 검색 순서 가로채기, 레지스트리 남용, 지속성을 위한 예약된 작업, VSS 쉐도우 복사본 삭제, 강력한 암호화 파일 암호화 등의 대표적인 행동을 재현합니다. 이 글은 또한 주요 공급망 침입을 다시 보고하고, 랜섬웨어를 서비스로 제공하는 방식이 시간이 지남에 따라 어떻게 성숙해졌는지를 추적합니다.

Ransomware Attack Analysis

AttackIQ의 적 연구 팀은 공개된 위협 인텔리전스 보고서와 악성코드 샘플을 활용하여 각 랜섬웨어 가족에 대한 현실적인 공격 그래프를 만들었습니다. 연구원들은 개별 단계들을 MITRE ATT&CK 기술 ID에 맵핑하였으며, 페이로드를 가져오고, 지속성을 확립하고, 호스트 및 도메인 정보를 열거하고, 파일을 암호화하는 실행 경로를 설계했습니다. 팀은 또한 DarkSide가 초기에 액세스를 얻기 위해 활용한 알려진 CVE 익스플로잇 사용을 모델링했습니다. 이 조사는 REvil, DarkSide, BlackMatter 랜섬웨어 가족이 공유하는 도구, 중첩되는 인프라, 코드 재사용을 강조합니다.

완화

권장되는 완화 조치는 최소 권한 원칙을 집행하고, 필요하지 않은 서비스를 비활성화하며, 노출된 시스템, 특히 알려진 VMware ESXi 취약점을 신속하게 패치하는 것에 초점을 맞춥니다. 팀은 원격 데스크톱 액세스를 제한하고, 의심스러운 레지스트리 변경 및 새로 만들어진 예약된 작업을 면밀하게 모니터링하며, 강력한 애플리케이션 제어를 배포할 것을 권장합니다. 지침은 또한 랜섬웨어 사건의 폭발 반경을 제한하기 위한 엔드포인트 탐지 기술과 백업의 정기 검증의 역할을 강조합니다.

대응

랜섬웨어 스타일의 활동이 탐지되면, 대응자는 즉시 영향을 받는 시스템을 격리하고, 휘발성 메모리를 수집하고, 관련 레지스트리 하이브를 수집하며, 로그 소스를 보존해야 합니다. 법의학 리뷰는 REvil, DarkSide, BlackMatter 기술의 징후를 찾기 위해 쉐도우 복사본, 예약된 작업 및 레지스트리 키를 검사해야 합니다. 복구는 깨끗하고 검증된 백업에서 데이터를 복원하고, SMB 및 LDAP 자격 증명을 사용한 횡적 이동 시도를 사냥하는 것을 포함합니다. 마지막으로 팀은 이해 관계자에게 브리핑하고, 사건을 문서화하며, 위협 인텔리전스를 통해 발견된 내용을 강화하여 귀속 및 향후 방어 개선을 지원해야 합니다.

graph TB %% 클래스 정의 classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#ffb6c1 classDef process fill:#d9d9ff classDef operator fill:#ffeb99 %% 노드 – 초기 실행 및 설정 tech_initial_exec[“<b>기술</b> – <b>T1574.001 DLL 검색 순서 가로채기</b><br />Windows DLL 검색 순서를 가로채 악성 DLL 로드”] tech_anti_analysis[“<b>기술</b> – <b>T1497 가상화/샌드박스 회피</b><br />IsDebuggerPresent API 호출로 디버깅 또는 샌드박스 환경 감지”] tech_registry_query[“<b>기술</b> – <b>T1012 레지스트리 조회</b><br />HKLM\SOFTWARE\WOW6432Node\BlackLivesMatter 생성 및 MachineGUID 값 조회로 시스템 고유 식별자 확인”] tech_persistence[“<b>기술</b> – <b>T1053 예약 작업/잡</b><br />schtasks 유틸리티를 사용하여 지속성 확보를 위한 예약 작업 설정”] tool_schtasks[“<b>도구</b> – <b>이름</b>: schtasks<br /><b>목적</b>: 예약 작업 생성 및 관리”] %% 노드 – 탐지 단계 nop_discovery((“탐지”)) tech_sys_info[“<b>기술</b> – <b>T1082 시스템 정보 수집</b><br />GetSystemInfo를 통해 OS 및 하드웨어 정보 수집”] tech_user_discovery[“<b>기술</b> – <b>T1033 시스템 소유자/사용자 정보 수집</b><br />GetUserNameW를 통해 현재 사용자 이름 확인”] tech_process_discovery[“<b>기술</b> – <b>T1057 프로세스 수집</b><br />Toolhelp 스냅샷 API로 실행 중인 프로세스 열거”] tech_service_discovery[“<b>기술</b> – <b>T1007 시스템 서비스 탐지</b><br />EnumServicesStatusW를 통해 서비스 조회”] tech_file_dir_discovery[“<b>기술</b> – <b>T1083 파일 및 디렉터리 탐지</b><br />FindFirstFileW / FindNextFileW를 통해 파일 시스템 탐색”] tech_software_discovery[“<b>기술</b> – <b>T1518 소프트웨어 탐지</b><br />WMI(wmic)를 통해 설치된 백신, 안티스파이웨어, 방화벽 제품 목록 확인”] tech_location_discovery[“<b>기술</b> – <b>T1614 시스템 위치 탐지</b><br />GetLocaleInfoW를 통해 로케일 정보 수집”] %% 노드 – 방어 회피 nop_defense_evasion((“방어 회피”)) tech_impair_defenses[“<b>기술</b> – <b>T1562 방어 기능 약화</b><br />netsh 명령을 사용하여 Windows 방화벽 비활성화”] tool_netsh[“<b>도구</b> – <b>이름</b>: netsh<br /><b>목적</b>: Windows 방화벽 구성 및 비활성화”] tech_inhibit_recovery[“<b>기술</b> – <b>T1490 시스템 복구 방해</b><br />vssadmin, wmic, PowerShell을 사용하여 볼륨 섀도 복사본 삭제”] tool_vssadmin[“<b>도구</b> – <b>이름</b>: vssadmin<br /><b>목적</b>: 섀도 복사본 삭제”] tool_wmic[“<b>도구</b> – <b>이름</b>: wmic<br /><b>목적</b>: WMI를 통해 섀도 복사본 삭제”] tool_powershell[“<b>도구</b> – <b>이름</b>: PowerShell<br /><b>목적</b>: Get‑WMIObject로 섀도 복사본 삭제”] tech_clear_eventlogs[“<b>기술</b> – <b>T1070.001 Windows 이벤트 로그 삭제</b><br />OpenEventLogW 및 ClearEventLogW API 사용”] tool_eventlog[“<b>도구</b> – <b>이름</b>: Windows API<br /><b>목적</b>: Windows 이벤트 로그 삭제”] %% 노드 – 영향 malware_ransom[“<b>악성코드</b> – <b>이름</b>: DarkSide/REvil<br /><b>영향</b>: 디스크에 있는 파일 암호화”] node_files[“<b>대상</b>: 디스크 파일”] %% 실행 흐름 연결 tech_initial_exec –>|연결| tech_anti_analysis tech_anti_analysis –>|연결| tech_registry_query tech_registry_query –>|활성화| tech_persistence tech_persistence –>|사용| tool_schtasks %% 탐지 흐름 연결 tech_initial_exec –>|트리거| nop_discovery nop_discovery –>|사용| tech_sys_info nop_discovery –>|사용| tech_user_discovery nop_discovery –>|사용| tech_process_discovery nop_discovery –>|사용| tech_service_discovery nop_discovery –>|사용| tech_file_dir_discovery nop_discovery –>|사용| tech_software_discovery nop_discovery –>|사용| tech_location_discovery %% 방어 회피 흐름 연결 tech_initial_exec –>|준비| op_defense_evasion nop_defense_evasion –>|사용| tech_impair_defenses tech_impair_defenses –>|사용| tool_netsh nop_defense_evasion –>|사용| tech_inhibit_recovery tech_inhibit_recovery –>|사용| tool_vssadmin tech_inhibit_recovery –>|사용| tool_wmic tech_inhibit_recovery –>|사용| tool_powershell nop_defense_evasion –>|사용| tech_clear_eventlogs tech_clear_eventlogs –>|사용| tool_eventlog %% 영향 흐름 연결 nop_discovery –>|데이터 제공| malware_ransom nop_defense_evasion –>|환경 준비| malware_ransom malware_ransom –>|암호화| node_files %% 클래스 지정 class tech_initial_exec,tech_anti_analysis,tech_registry_query,tech_persistence,tech_sys_info,tech_user_discovery,tech_process_discovery,tech_service_discovery,tech_file_dir_discovery,tech_software_discovery,tech_location_discovery,tech_impair_defenses,tech_inhibit_recovery,tech_clear_eventlogs technique class tool_schtasks,tool_netsh,tool_vssadmin,tool_wmic,tool_powershell,tool_eventlog tool class malware_ransom malwar class node_files process class nop_discovery, nop_defense_evasion operator

공격 흐름

시뮬레이션

시뮬레이션 실행

필수 조건: 텔레메트리 및 기본 라인 사전 비행 점검이 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 작동시키도록 설계된 적의 기술(TTP)의 정밀한 실행을 상세히 설명합니다. 명령어와 설명은 식별된 TTP를 직접 반영해야 하며, 탐지 논리에 의해 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다.

  • 공격 설명 및 명령어:
    REvil 운영자는 피해자 기계가 재부팅 후 랜섬웨어 페이로드가 자동으로 실행되도록 표적으로 삼습니다. PowerShell 드로퍼를 사용하여 공격자는 규칙이 모니터링하는 세 가지 레지스트리 수정을 만듭니다:

    1. “BlackLivesMatter”라는 기만적인 키 생성Wow6432Node 브랜치 아래 – 알려진 REvil 지표.
    2. AutoAdminLogon 활성화재부팅 후 특권 있는 계정의 자동 로그온을 강제하여 랜섬웨어 실행을 용이하게 합니다.
    3. RunOnce 키에 페이로드 추가시스템 시작 시 악성 실행 파일이 한 번 실행됩니다.

    이 세 가지 작업은 모두 상승된 권한으로 수행되며, Sigma 규칙의선택필터와 일치하는 보안 이벤트 ID 13 항목을 생성합니다.

  • 회귀 테스트 스크립트:

    # -------------------------------------------------
# REvil 레지스트리 조작 시뮬레이션 (TC-20251114-3Z7XQ)
# -------------------------------------------------
# 1. BlackLivesMatter 키 (HKLMSOFTWAREWOW6432NodeBlackLivesMatter)
$blmKey = 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter'
New-Item -Path $blmKey -Force | Out-Null
New-ItemProperty -Path $blmKey -Name 'Command' -Value 'C:Temprevil_payload.exe' -PropertyType String -Force

# 2. AutoAdminLogon 활성화
$autoAdminKey = 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon'
Set-ItemProperty -Path $autoAdminKey -Name 'AutoAdminLogon' -Value '1' -Force

# 3. RunOnce 지속성을 위한 페이로드
$runOnceKey = 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce'
New-Item -Path $runOnceKey -Force | Out-Null
New-ItemProperty -Path $runOnceKey -Name 'RevilStart' -Value 'C:Temprevil_payload.exe /quiet' -PropertyType String -Force

Write-Host "REvil 레지스트리 시뮬레이션 완료. SIEM에서 경고를 확인하십시오."

  • 정리 명령어:

    # -------------------------------------------------
# REvil 레지스트리 시뮬레이션 아티팩트 정리
# -------------------------------------------------
# BlackLivesMatter 키 제거
Remove-Item -Path 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' -Recurse -Force -ErrorAction SilentlyContinue

# AutoAdminLogon 재설정 (0으로 설정하거나 제거)
Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' `
    -Name 'AutoAdminLogon' -Value '0' -Force

# RunOnce 항목 제거
Remove-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' `
    -Name 'RevilStart' -Force -ErrorAction SilentlyContinue

Write-Host "정리 완료."

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

무료 가입하기