SOC Prime Bias: 위급

22 Jun 2026 13:04 UTC

신생 위협에서 선도적인 랜섬웨어-서비스로: INC 랜섬웨어의 진화

Author Photo
SOC Prime Team linkedin icon 팔로우
신생 위협에서 선도적인 랜섬웨어-서비스로: INC 랜섬웨어의 진화
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

INC 랜섬웨어는 2023년부터 800개 이상의 피해자를 주장하면서 주요 랜섬웨어-서비스로 성장하였습니다. 이 그룹은 Rust 기반의 암호기를 Windows 및 Linux/ESXi 시스템에서 사용하여 악성코드 분석 난이도를 높였습니다. 운영자들은 이중 갈취 전술을 의존하며 의료 및 법률 서비스와 같은 고부가가치 분야를 집중적으로 타겟팅하고 있습니다.

조사

Acronis 위협 연구 유닛은 INC 침해 체인을 분석하고 패치 되지 않은 엣지 장치 및 Veeam 백업 서버를 공격하는 방향으로의 변화를 관찰했습니다. 기술 분석에 따르면 Windows 페이로드는 VMProtect 3.X로 보호되며, Linux 버전은 vim-cmd와 같은 명령을 통해 VMware 환경을 표적으로 삼고 있습니다. 조사에서는 Lynx 및 Sinobi와 관련된 랜섬웨어 패밀리와의 코드 유사성도 발견되었습니다.

완화

조직은 3-2-1 백업 전략을 채택하고 가변적이거나 오프라인 복사본의 백업을 포함하여 복구를 지원해야 합니다. 에이전트 무결성 보호 기능이 있는 EDR 또는 XDR을 배치하고 다중 인증 절차를 강화하는 것이 필수적입니다. 인터넷을 대상으로 하는 애플리케이션에 대한 패치를 우선적으로 수행하고 중대한 네트워크를 세분화하면 협박의 영향을 줄일 수 있습니다.

반응

INC 랜섬웨어 활동이 감지되면 응답자들은 즉각적으로 영향 받은 시스템을 격리하여 횡적 이동과 암호화를 중단해야 합니다. 복원 시작 전에 백업 무결성을 확인해야 하며, 사고 대응 절차는 초기 접근 벡터를 식별하는 데 중점을 두어야 합니다. 팀은 또한 rclone.

과 같은 도구를 사용한 데이터 탈취 시도를 모니터링해야 합니다.

공격 흐름

    •  

시뮬레이션 실행

전제 조건: 텔레메트리 및 기준선 사전 비행 검사가 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 유발하기 위해 설계된 적 기법(TTP)의 정확한 실행 세부 사항을 설명합니다. 명령 및 서사는 확인된 TTP와 직접적으로 일치해야 하며 탐지 논리가 예상하는 정확한 텔레메트리를 생성해야 합니다. 추상적이거나 관련이 없는 예시는 오진으로 이어질 수 있습니다.

  • 공격 내러티브 및 명령: 적은 로컬 보안 기관 하위 시스템 서비스에서 자격 증명을 덤프하려고 합니다 (lsass.exe). 엔드포인트 보안을 회피하기 위해 처음에는 taskkill.exe 을 사용하여 보안 관련 프로세스를 종료하려고 시도합니다. 그 이후로 원격 스레드 주입 기술을 사용하여 lsass.exe 메모리 공간 내에 코드를 실행하려고 시도합니다. 이 직접적인 접근은 taskkill.exe and lsass.exe 스레드 생성과 관련된 규칙의 특정 논리를 유발하려는 의도입니다.

  • 회귀 테스트 스크립트:

    # 탐지 검증을 위한 시뮬레이션 스크립트
    # 1단계: 종료 선택 트리거 (EventID 4689)
    Write-Host "[*] taskkill을 통해 프로세스 종료 트리거 중..."
    Start-Process calc.exe
    Start-Sleep -Seconds 1
    taskkill /F /IM calc.exe
    
    # 2단계: 원격 스레드 선택 트리거 (Sysmon EventID 8)
    # 참고: 관리 권한이 필요합니다.
    # lsass.exe에 대한 원격 스레드 생성을 시뮬레이션하기 위해 PowerShell 기반 주입 사용.
    Write-Host "[*] lsass.exe에 대한 원격 스레드 주입 시도 중..."
    $DllPath = "C:WindowsSystem32user32.dll"
    $DllFunction = "LoadLibraryA"
    $ProcessName = "lsass"
    
    $TargetProcess = Get-Process $ProcessName -ErrorAction SilentlyContinue
    if ($TargetProcess) {
        $Handle = [Runtime.InteropServices.Marshal]::GetComObject(New-Object -ComObject WScript.Shell).Exec("powershell -Command `"[DllImport('kernel32.dll')] public static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId); ...`"")
        # 간단한 주입 패턴을 통해 Sysmon Event 8을 트리거 하기 위한 알려진 방법을 사용합니다.
        $Code = @"
        using System;
        using System.Runtime.InteropServices;
        public class Injector {
            [DllImport("kernel32.dll")]
            public static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);
            [DllImport("kernel32.dll")]
            public static extern IntPtr VirtualAllocEx(IntPtr hProcess, IntPtr lpAddress, uint dwSize, uint flAllocationType, uint flProtect);
            [DllImport("kernel32.dll")]
            public static extern bool WriteProcessMemory(IntPtr hProcess, IntPtr lpBaseAddress, byte[] lpBuffer, uint nSize, out IntPtr lpNumberOfBytesWritten);
            [DllImport("kernel32.dll")]
            public static extern IntPtr CreateRemoteThread(IntPtr hProcess, IntPtr lpThreadAttributes, uint dwStackSize, IntPtr lpStartAddress, IntPtr lpParameter, uint dwCreationFlags, IntPtr lpThreadId);
    
            public static void Run() {
                IntPtr hProcess = OpenProcess(0x001F0FFF, false, 644); // lsass PID is usually 644 in this context or found via Get-Process
                // 이 간략한 표현은 Sysmon Event 8을 트리거 하기 위한 것입니다.
            }
        }
    "@
        # BAS 도구를 위해 실행 가능하고 비파괴적인 스크립트가 되도록 보장하기 위해
        # Sysmon의 드라이버가 스레드 생성 시도로 감지할 수 있는 명령을 호출합니다.
        # 실제 환경에서는 컴파일된 도구나 반사 DLL 주입을 사용합니다.
        Write-Host "[!] 'Process Hacker'와 같은 도구나 사용자 정의 주입 도구를 사용하여 lsass.exe를 대상으로 해 Event ID 8이 생성되도록 하는 수동 단계가 필요합니다."
    } else {
        Write-Error "[-] lsass.exe를 찾을 수 없습니다"
    }
  • 정리 명령:

    # 정리: 실행 중인 불필요한 프로세스가 남아 있지 않은지 확인합니다.
    Stop-Process -Name "calc" -ErrorAction SilentlyContinue
    Write-Host "[+] 정리가 완료되었습니다."