팔로우 
요약
Sinobi는 2025년 7월에 처음 관찰된 Lynx 랜섬웨어의 리브랜딩 버전으로 보이는 서비스형 랜섬웨어입니다. 파일 암호화에 Curve25519와 AES-128-CTR을 사용하고 있으며, 고급 백업 파괴 기법을 적용하여 DeviceIoControl 을 남용하여 볼륨 섀도 복사본을 제거합니다. 또한, 이 악성코드는 휴지통을 비우고, 목표 파일을 열어두는 프로세스를 종료하기 위해 재시작 관리 API를 활용합니다.
조사
조사에 따르면, 애플리케이션은 제3자 관리 서비스 제공자로부터 훔친 자격 증명을 사용하여 SonicWall SSL VPN에 접근했습니다. 접근에 성공한 후, 공격자는 로컬 및 도메인 관리자 계정을 생성하고 권한을 상승시켰습니다. 지원입니다. 운영자는 바이너리 경로를 변경하여 보안 서비스를 비활성화하고, 데이터를 암호화하기 전에 RClone 을 사용하여 데이터를 탈취했습니다.
완화 방안
방어자는 VPN 인프라를 다단계 인증으로 보호하고 제3자 MSP 접근을 면밀히 검토해야 합니다. 조직들은 관리자 계정의 비인가 생성과 수상한 서비스 구성 변화를 모니터링해야 하며, 특히 변경된 바이너리 경로에 주의해야 합니다. 볼륨 섀도 복사본 보호와 재시작 관리 API의 오용 탐지는 랜섬웨어의 대응 체인을 방해하는 데 도움이 될 수 있습니다.
대응
Sinobi 활동이 감지되면, 반응자는 즉시 감염된 계정을 고립시켜야 하며, 특히 지원와 같은 권한 있는 계정을 조절해야 합니다. 권한 없는 RClone 프로세스를 종료하고, Windows 서비스 제어 관리자에서 모든 서비스 변경 사항을 조사해야 합니다. Sinobi는 온라인 섀도 복사본과 휴지통 내용을 파괴하도록 설계되었기 때문에 오프라인 백업을 확인하고 복구 준비를 해야 합니다.
"graph TB %% Class Definitions Section classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef escalation fill:#f9f,stroke:#333,stroke-width:2px classDef persistence fill:#bbf,stroke:#333,stroke-width:2px classDef defense_impairment fill:#dfd,stroke:#333,stroke-width:2px classDef collection fill:#ffd,stroke:#333,stroke-width:2px classDef impact fill:#f66,stroke:#333,stroke-width:2px %% Initial Access Section action_initial_access["<b>Action</b> – <b>T1078 Valid Accounts</b><br/>Attacker uses stolen credentials from a third-party MSP<br/>to authenticate via SonicWall SSL VPN appliance."] class action_initial_access initial_access %% Privilege Escalation and Persistence Section action_priv_esc["<b>Action</b> – <b>T1098.007 Account Manipulation: Additional Local or Domain Groups</b><br/>Creation of secondary administrative account named Assistance<br/>and promotion to local and domain administrator groups."] class action_priv_esc escalation action_persistence_power["<b>Action</b> – <b>T1653 Power Settings</b><br/>Rewriting Carbon Black security service binary path<br/>to point to ransomware payload and forcing reboot."] class action_persistence_power persistence %% Defense Impairment Section action_def_impair_tool["<b>Action</b> – <b>T1685 Disable or Modify Tools</b><br/>Targeting and disabling security processes."] class action_def_impair_tool defense_impairment action_def_impair_svc["<b>Action</b> – <b>T1489 Service Stop</b><br/>Stopping SQL and Veeam services to unlock files for encryption."] class action_def_impair_svc defense_impairment %% Collection Section action_collection_rclone["<b>Action</b> – <b>T1560.001 Archive Collected Data: Archive via Utility</b><br/>Using rclone.exe to sync business-relevant data<br/>to a remote destination."] class action_collection_rclone collection %% Impact Section action_inhibit_recovery["<b>Action</b> – <b>T1490 Inhibit System Recovery</b><br/>Destruction of Volume Shadow Copies via DeviceIoControl<br/>and emptying the Recycle Bin via SHEmptyRecycleBinA."] class action_inhibit_recovery impact action_encryption["<b>Action</b> – <b>T1486 Data Encrypted for Impact</b><br/>Encryption using Curve-25519 and AES-128-CTR.<br/>Files appended with .SINOBI extension.<br/>Ransom note README.txt dropped."] class action_encryption impact %% Connections action_initial_access –>|leads_to| action_priv_esc action_priv_esc –>|leads_to| action_persistence_power action_persistence_power –>|enables| action_def_impair_tool action_persistence_power –>|enables| action_def_impair_svc action_def_impair_tool –>|precedes| action_collection_rclone action_def_impair_svc –>|precedes| action_collection_rclone action_collection_rclone –>|leads_to| action_inhibit_recovery action_inhibit_recovery –>|leads_to| action_encryption "
공격 흐름
시뮬레이션 실행
필수 조건: Telemetry 및 Baseline 사전 비행 검사가 통과해야 합니다.
이론적 근거: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적 기법(TTP)의 정확한 실행을 설명합니다. 명령 및 서사는 식별된 TTP를 직접 반영해야 하며, 탐지 논리가 예상하는 정확한 통신을 생성하는 것을 목표로 합니다. 추상적이거나 관련 없는 예시는 오진으로 이어질 수 있습니다.
-
공격 서사 및 명령: 적 요인은 초기 접근을 얻었으며 이제 랜섬웨어 페이로드를 실행하고 있습니다. 최대한의 영향과 요구를 만들기 위해 적 요인의 목표는 사용자 문서를 암호화하고 지침을 남기는 것입니다. 스크립트는 다음을 시뮬레이션할 것입니다: 1) 더미 문서 생성, 2)
document.pdf.SINOBI로 이름을 변경하여 “암호화”함, 3) README.txt라는 이름의 랜섬 노트 작성,README.txt를 쓰고, 4) 랜섬웨어의 암호화 풋터를 시뮬레이션하는 특정 메타데이터를 포함한 파일을 작성합니다.curve25519_pubkey를 사용하여 시뮬레이션합니다. -
회귀 테스트 스크립트:
# Sinobi 랜섬웨어 시뮬레이션 스크립트 $targetDir = "$env:USERPROFILEDesktopSinobi_Sim" if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory } Write-Host "[+] 파일 암호화 시뮬레이션 중..." $originalFile = "$targetDirimportant_data.pdf" "민감한 데이터 내용" | Out-File -FilePath $originalFile # 선택_ext 및 선택_랜섬을 트리거 Rename-Item -Path $originalFile -NewName "important_data.pdf.SINOBI" "YOUR FILES ARE ENCRYPTED! PAY BITCOIN TO..." | Out-File -FilePath "$targetDirREADME.txt" Write-Host "[+] 암호화 메타데이터 시뮬레이션 중 (선택_풋터)..." # 선택_풋터 트리거 $metadataFile = "$targetDirmetadata.dat" "암호화 모드: AES256; curve25519_pubkey: 0xABC123" | Out-File -FilePath $metadataFile Write-Host "[!] 시뮬레이션 완료. SIEM에서 알림을 확인하십시오." -
정리 명령:
Remove-Item -Path "$env:USERPROFILEDesktopSinobi_Sim" -Recurse -Force Write-Host "[+] 정리 완료."