Follow
요약
FunkSec는 2024년 후반에 등장한 서비스형 랜섬웨어 그룹으로, 많은 피해자를 보고하고 소규모의 몸값을 요구했습니다. 이들의 러스트 기반 악성코드는 ChaCha20 암호를 사용하여 데이터를 암호화하고, 영향받은 파일에 .funksec 확장자를 추가합니다. 랜섬웨어 외에도 DDoS, 원격 데스크톱 액세스 및 자격 증명 생성을 위한 보조 도구를 배포합니다. FunkSec는 해커 활동의 수사적 수단과 금전적 강탈을 결합합니다.
조사
분석에서는 운영자가 대형 언어 모델을 사용하여 코드와 통신을 초안잡고, 권한 상승을 위해 PowerShell를 사용하며, 암호화 전에 보안 제어를 무력화하는 방법을 설명합니다. 종료된 프로세스와 서비스를 나열하고, 암호화 작업 흐름을 설명하며, 비트코인 결제 주소를 포함한 몸값 요구 구조를 요약합니다. 추가 구성 요소로는 FDDOS, JQRAXY_HVNC, funkgenerate가 광범위한 도구 모음의 일부로 문서화되어 있습니다.
완화
수호자는 PowerShell 실행 정책을 강화하고, Windows Defender의 비활성화 또는 그림자 복사본 제거 시도를 주시하며, 알려진 악성 프로세스 실행을 방지해야 합니다. 보안 검증 플랫폼에서 FunkSec 시뮬레이션을 실행하면 통제 격차를 노출하는 데 도움이 됩니다. 앞서 언급된 프로세스 및 서비스 종료에 대한 탐지 내용을 최신 상태로 유지하여 더 빠른 식별을 가능하게 합니다.
대응
활동이 감지되면 영향을 받은 호스트를 격리하고, .funksec 확장자를 확인하며, 휘발성 증거를 수집합니다. 사고 대응 플레이북을 실행하고 백업에서 복구하며, 특이한 PowerShell 명령 및 몸값 메모 텍스트와 같은 지표를 검색합니다. 위협 인텔리전스를 사용하여 관련 인프라를 모니터링하고 상관관계 분석을 수행합니다.
“graph TB %% Class Definitions classDef action fill:#99ccff classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Nodes action_check_privileges[“<b>액션</b> – 권한 확인 (net session)<br /><b>기술</b> – T1087 (계정 발견)<br />현재 사용자가 관리자 권한을 가지고 있는지 확인”] class action_check_privileges action action_elevate[“<b>액션</b> – PowerShell로 권한 상승<br /><b>기술</b> – T1548.002<br />사용자 계정 컨트롤을 우회하여 관리자 권한 획득”] class action_elevate action action_disable_defender[“<b>액션</b> – Windows Defender 비활성화<br /><b>기술</b> – T1562.001<br />내장 안티바이러스를 끄는 것으로 방어를 약화시킴”] class action_disable_defender action action_disable_logging[“<b>액션</b> – 이벤트 로깅 비활성화 및 로그 삭제<br /><b>기술</b> – T1562.002, T1070.001<br />Windows 이벤트 로그 서비스를 중지하고 기존 로그 항목 삭제”] class action_disable_logging action action_delete_shadow[“<b>액션</b> – 볼륨 그림자 복사본 삭제<br /><b>기술</b> – T1490<br />시스템 복원을 막기 위해 복구 지점 제거”] class action_delete_shadow action action_terminate_processes[“<b>액션</b> – 보안/오피스 프로세스 종료<br /><b>기술</b> – T1059.001, T1059.003<br />PowerShell과 Windows 명령 셸을 사용하여 Defender 및 Office 바이너리 종료”] class action_terminate_processes action action_encrypt[“<b>액션</b> – 파일 암호화 (ChaCha20)<br /><b>기술</b> – T1486<br />몸값을 요구하기 위해 피해자 데이터를 암호화”] class action_encrypt action action_exfiltrate[“<b>액션</b> – C2를 통한 데이터 외부 전송<br /><b>기술</b> – T1041<br />수집된 파일을 명령 및 제어 채널을 통해 전송”] class action_exfiltrate action action_drop_note[“<b>액션</b> – 몸값 메모 남기기”] class action_drop_note action action_ddos[“<b>액션</b> – FDDOS를 사용한 선택적 DDoS<br /><b>기술</b> – T1498, T1499.002<br />대상 네트워크에 대한 플러드 공격 시작”] class action_ddos action %% Connections action_check_privileges u002du002d>|관리자 아님| action_elevate action_elevate u002du002d>|사용| action_disable_defender action_disable_defender u002du002d>|로 이어짐| action_disable_logging action_disable_logging u002du002d>|로 이어짐| action_delete_shadow action_delete_shadow u002du002d>|로 이어짐| action_terminate_processes action_terminate_processes u002du002d>|로 이어짐| action_encrypt action_encrypt u002du002d>|로 이어짐| action_exfiltrate action_exfiltrate u002du002d>|로 이어짐| action_drop_note action_drop_note u002du002d>|선택적| action_ddos “
공격 흐름
탐지
암호화 전 PowerShell 준비활동 가능성 (RunAs + 복구 억제) (PowerShell 통해)
보기
계정 또는 그룹 열거 가능성 (cmdline 통해)
보기
Wevtutil의 의심스러운 사용에 의한 방어 회피 활동 가능성 (cmdline 통해)
보기
Windows Defender 설정 의심스러운 변경 (powershell 통해)
보기
VSSADMIN의 의심스러운 활동 (cmdline 통해)
보기
Windows Defender 실시간 모니터링 비활성화 (powershell 통해)
보기
IOC(이메일)를 통해 FunkSec RaaS 작전을 감지: 해커주의가 사이버범죄와 만나다
보기
FunkSec 랜섬웨어: 시스템 방어 명령 비활성화 [Windows Powershell]
보기
FunkSec 랜섬웨어 권한 상승 및 그림자 복사본 삭제 감지 [Windows 프로세스 생성]
보기
시뮬레이션 실행
사전 요구 사항: 텔레메트리 및 기준선 사전 비행 검사가 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 유도하기 위해 설계된 적의 기법(TTP)의 정확한 실행을 자세히 설명합니다. 명령어와 서술은 식별된 TTP를 직접 반영하고 탐지 논리에 의해 예상되는 정확한 텔레메트리를 생성하는 것을 목표로 합니다.
-
공격 내러티브 및 명령어:
- 랜섬웨어 페이로드 상승: 공격자는 PowerShell의
Start-Process -Verb runas를 사용해 악성 스크립트(FunkSec.exe)를 관리자 권한으로 다시 실행하여, 규칙이 감시하는 명령어-라인 패턴과 일치시킵니다. - 모든 그림자 복사본 삭제: 권한 상승 직후, 공격자는
vssadmin delete shadows /all /quiet를 실행하여 시스템 복원 지점을 삭제하며, 규칙의 두 번째 조건을 충족합니다. - 두 명령은 동일한 사용자 컨텍스트에서 빠르게 연속적으로 실행되며, Sigma 규칙의 상관 관계 창 내에 나타나도록 보장됩니다.
- 랜섬웨어 페이로드 상승: 공격자는 PowerShell의
-
회귀 테스트 스크립트: 아래 스크립트는 동일한 동작을 재현합니다. 앞서 설명한 로깅 설정이 된 Windows 호스트에서 실행합니다.
# ============================== # FunkSec 랜섬웨어 권한 상승 및 그림자 복사본 삭제 시뮬레이션 # ============================== # 1. (더미) 악성 바이너리의 경로 정의. $maliciousExe = "$env:ProgramDataFunkSec.exe" # 랜섬웨어 페이로드로 작동할 더미 파일 생성. New-Item -Path $maliciousExe -ItemType File -Force | Out-Null # 2. 더미 페이로드를 권한 상승하여 다시 실행. $elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''" Write-Host "권한 상승 실행 중..." Invoke-Expression $elevatedCmd # 3. 모든 볼륨 그림자 복사본 삭제. Write-Host "모든 그림자 복사본 삭제 중..." vssadmin delete shadows /all /quiet # 더미 페이로드 정리 (옵션, 테스트 정제 목적) Remove-Item -Path $maliciousExe -Force -
정리 명령어: 시뮬레이션 중 생성된 아티팩트를 제거합니다.
# 더미 실행 파일이 없는지 확인 $maliciousExe = "$env:ProgramDataFunkSec.exe" if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force } # 남아 있는 그림자 복사 삭제 조각이 없도록 확인 – (vssadmin은 무상태이므로 조치 필요 없음) Write-Host "정리 완료."