팔로우 
요약
Tengu는 랜섬웨어-서비스(Ransomware-as-a-Service) 운영으로, 이중 협박 모델을 따릅니다. 암호화를 수행하기 전에 공격자들은 Living Off the Land Binaries를 사용하여 페이로드를 실행하고 민감한 데이터를 MEGA 클라우드 스토리지로 유출합니다. 피해자 통신 및 지불 협상은 Tor 기반 포털을 통해 처리됩니다.
조사
이 보고서는 피싱 또는 도난당한 자격 증명을 통한 초기 접근부터 데이터 암호화에 이르는 전체 Tengu 침투 체인을 설명합니다. PowerShell 및 Rclone과 같은 합법적인 관리 유틸리티의 사용을 강조하며, 이는 공격자들이 정상적인 활동에 섞여들고 탐지 가능성을 줄이는 데 도움을 줍니다.
완화
보안 팀은 자격 증명 남용의 위험을 줄이기 위해 RDP 및 VPN 서비스에 강력한 다중 인증을 적용해야 합니다. 또한 조직은 의심스러운 LOLBin 활동을 모니터링하고, 클라우드 스토리지 플랫폼의 비인가 사용을 제한하며, 복구를 지원할 수 있는 정기적인 오프라인 백업을 유지해야 합니다.
대응
Tengu 활동이 감지되면 즉시 영향을 받은 시스템을 격리하여 측면 확산 및 추가 데이터 유출을 방지하십시오. 윈도우 이벤트 로그와 서비스 구성을 검토해 비인가 변경 사항을 확인하고, 데이터 노출 및 암호화 활동의 범위를 파악하기 위한 사고 대응 절차를 활성화하십시오.
graph TB %% 클래스 정의 섹션 classDef initial_access fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#bbf,stroke:#333,stroke-width:2px classDef defense_impairment fill:#fbb,stroke:#333,stroke-width:2px classDef exfiltration fill:#bfb,stroke:#333,stroke-width:2px classDef impact fill:#f96,stroke:#333,stroke-width:2px classDef tool fill:#ccc,stroke:#333,stroke-width:1px %% 초기 접근 노드 access_phishing[“<b>행위</b> – <b>T1566.002 피싱: 스피어피싱 링크</b><br/>설명: 대상 피해자에게 링크를 전송하여 접근 권한을 획득.”] class access_phishing initial_access access_exploit[“<b>행위</b> – <b>T1190 공개 애플리케이션 악용</b><br/>설명: 인터넷에 노출된 소프트웨어의 취약점을 악용.”] class access_exploit initial_access access_accounts[“<b>행위</b> – <b>T1078 유효 계정</b><br/>설명: 탈취한 자격 증명을 사용하여 RDP 또는 VPN 엔드포인트에 접근.”] class access_accounts initial_access op_initial_access((“AND”)) class op_initial_access operator %% 실행 및 권한 상승 노드 exec_powershell[“<b>행위</b> – <b>T1059.001 명령 및 스크립트 인터프리터: PowerShell</b><br/>설명: PowerShell을 통해 악성 페이로드 실행.”] class exec_powershell execution exec_cmd[“<b>행위</b> – <b>T1059.003 명령 및 스크립트 인터프리터: Windows 명령 셸</b><br/>설명: cmd.exe를 통해 명령 실행.”] class exec_cmd execution exec_rundll32[“<b>행위</b> – <b>T1218.011 Rundll32</b><br/>설명: Rundll32.exe를 통해 악성 코드를 실행.”] class exec_rundll32 execution priv_esc_lsass[“<b>행위</b> – <b>T1003.001 OS 자격 증명 덤핑: LSASS 메모리</b><br/>설명: LSASS 메모리에서 관리자 자격 증명 수집.”] class priv_esc_lsass execution %% 방어 기능 저하 노드 def_disable_tools[“<b>행위</b> – <b>T1562.001 방어 약화: 도구 비활성화 또는 수정</b><br/>설명: sc config를 사용하여 Windows Security Center와 Windows Update 비활성화.”] class def_disable_tools defense_impairment def_clear_logs[“<b>행위</b> – <b>T1070.001 흔적 제거: Windows 이벤트 로그 삭제</b><br/>설명: wevtutil cl * 명령으로 포렌식 증거 제거.”] class def_clear_logs defense_impairment %% 유출 노드 exfil_cloud[“<b>행위</b> – <b>T1567.002 클라우드 저장소로 유출</b><br/>설명: 민감한 데이터를 클라우드 제공업체로 이동.”] class exfil_cloud exfiltration tool_rclone[“<b>도구</b> – <b>이름</b>: Rclone / WinSCP<br/>설명: MEGA로 데이터를 전송하는 데 사용되는 정상 도구.”] class tool_rclone tool %% 영향 노드 impact_recovery[“<b>행위</b> – <b>T1490 시스템 복구 방해</b><br/>설명: vssadmin delete shadows /all /quiet 명령으로 섀도 복사본 삭제.”] class impact_recovery impact impact_encryption[“<b>행위</b> – <b>T1486 영향 목적 데이터 암호화</b><br/>설명: 파일을 .tengu 확장자로 암호화하고 TENGU_README.txt 생성.”] class impact_encryption impact %% 연결 access_phishing –>|연결됨| op_initial_access access_exploit –>|연결됨| op_initial_access access_accounts –>|연결됨| op_initial_access op_initial_access –>|연결됨| exec_powershell op_initial_access –>|연결됨| exec_cmd op_initial_access –>|연결됨| exec_rundll32 exec_powershell –>|활성화| priv_esc_lsass exec_cmd –>|활성화| priv_esc_lsass priv_esc_lsass –>|연결됨| def_disable_tools priv_esc_lsass –>|연결됨| def_clear_logs def_disable_tools –>|선행| exfil_cloud def_clear_logs –>|선행| exfil_cloud exfil_cloud –>|사용| tool_rclone tool_rclone –>|연결됨| impact_recovery impact_recovery –>|연결됨| impact_encryption
공격 흐름
시뮬레이션 실행
전제조건: 텔레메트리 및 기준선 사전 비행 검사가 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 촉발하기 위해 고안된 적대적 기술(TTP)의 구체적인 실행을 자세히 설명합니다. 명령과 서술은 식별된 TTP를 직접 반영해야 하며, 탐지 논리에 의해 예상되는 정확한 텔레메트리를 생성하는 것을 목표로 합니다. 추상적이거나 관련 없는 예는 오진으로 이어질 수 있습니다.
-
공격 서사 및 명령: 공격자는 Tengu 랜섬웨어 배포 단계를 시작하려고 합니다. 간단한 안티바이러스 서명에 의한 탐지를 피하기 위해 “Living-off-the-Land” (LotL) 기법을 사용합니다. 공격자는 먼저
powershell.exe로 스테이징 페이로드를 다운로드한 후rundll32.exe를 사용하여 악성 DLL을 실행합니다. 이는 Tengu 공격 체인에서 설명된 행동을 모방하며, 합법적인 Windows 바이너리를 악용하여 악성 작업을 수행하고 이에 따라 일반 관리 활동에 혼합되려고 시도합니다. -
회귀 테스트 스크립트:
# Tengu 랜섬웨어 실행 시뮬레이션 스크립트 # 이 스크립트는 탐지 규칙을 촉발하기 위해 LOLBin을 사용하는 것을 시뮬레이션합니다. Write-Host "[*] Tengu 랜섬웨어 실행 시뮬레이션 시작..." -ForegroundColor Cyan # 1. PowerShell 기반 페이로드 스테이징 시뮬레이션 (T1059.001) Write-Host "[*] PowerShell 페이로드 스테이징 시뮬레이션 중..." -ForegroundColor Yellow powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output '악성 페이로드 다운로드 시뮬레이션 중...'" # 2. CMD 기반 정찰 시뮬레이션 (T1059.003) Write-Host "[*] CMD 기반 정찰 시뮬레이션 중..." -ForegroundColor Yellow cmd.exe /c "whoami /all" # 3. Rundll32 실행 시뮬레이션 (T1218.011) Write-Host "[*] Rundll32 악성 DLL 실행 시뮬레이션 중..." -ForegroundColor Yellow rundll32.exe javascript:"alert('시뮬레이션된 Tengu 페이로드 실행');" Write-Host "[+] 시뮬레이션 완료. SIEM에서 경고를 확인하십시오." -ForegroundColor Green -
정리 명령:
# 이 시뮬레이션에서는 영구적인 파일 또는 레지스트리 키가 수정되지 않았습니다. # 실행된 명령은 휘발성 프로세스 실행입니다. Write-Host "[*] 영구적인 아티팩트가 생성되지 않았기 때문에 정리가 필요하지 않습니다." -ForegroundColor Cyan