에베레스트 랜섬웨어, 암호화 및 접근, 내부 위협 결합
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
에베레스트는 2020년 12월부터 활동 중인 Windows 기반 랜섬웨어 작전으로, 암호화, 초기 접근 중개, 내부자 모집을 기반으로 하는 다중 수익 모델을 따릅니다. 이 그룹은 암호화에 AES-128-CBC를 사용하며, Tor 기반 유출 사이트에 도난 데이터를 공개하겠다고 위협하여 이중 갈취 전략을 적용합니다. 또한 BlackByte 랜섬웨어와 기술적 겹침을 보여주는데, 특히 로컬 키 생성 행동에 있어 유사합니다.
조사
보고서는 RDP 또는 VPN을 통한 초기 액세스에서 방어 회피 및 최종 암호화에 이르는 에베레스트 실행 체인을 설명합니다. ConfuserEx를 사용한 .NET 난독화와 쉐도우 복사본 및 시스템 복원 지점을 비활성화하는 방법을 분석합니다. 기술 검토에서는 SoftPerfect Network Scanner 사용을 포함한 네트워크 탐색 활동도 조사합니다.
완화 방안
조직은 초기 접근의 위험을 줄이기 위해 모든 RDP 및 VPN 진입점에 다중 인증을 강제해야 합니다. 보안 팀은 Windows Defender Controlled Folder Access의 무단 변경 및 쉐도우 복사본 비활성화 시도를 모니터링해야 합니다. 관리 권한을 제한하고 netscan.exe 와 같은 네트워크 스캐닝 도구 실행을 감지해 노출을 줄일 수 있습니다.
대응
에베레스트 활동이 감지되면, 영향을 받은 시스템을 즉시 격리하여 횡적 이동 및 추가 암호화를 차단해야 합니다. 대응자는 보안 서술자를 변경하거나 대규모로 백업 데이터를 삭제하려는 프로세스를 식별하고 종료해야 합니다. 사고 대응 팀은 격리 및 복구 절차를 진행하기 전에 Tor 기반 채널을 통해 데이터 유출이 발생했는지 확인해야 합니다.
공격 흐름
탐지
네트워크 공유 발견 가능성 (명령줄 사용)
보기
의심스러운 VSSADMIN 활동 (명령줄 사용)
보기
WMI를 통한 쉐도우 복사본 삭제 가능성 (파워셸 사용)
보기
Windows Defender 설정 변경 의심스러운 사항 (파워셸 사용)
보기
에베레스트 랜섬웨어 암호화 전 방어 회피 기법 탐지 [Windows Powershell]
보기
에베레스트 랜섬웨어 네트워크 발견 및 방어 회피 [Windows 프로세스 생성]
보기
시뮬레이션 실행
전제 조건: 테러메트리 및 베이스라인 프리플라이트 검사를 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 유발하기 위한 적 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령어와 내러티브는 반드시 식별된 TTP를 직접 반영하고 탐지 논리에 의해 예상되는 정확한 테러메트리를 생성하도록 해야 합니다. 추상적이거나 관련 없는 예는 오진을 초래할 수 있습니다.
-
공격 내러티브 및 명령어: 공격자는 Windows 워크스테이션에 초기 접근권을 획득했습니다. 랜섬웨어 배포 단계를 준비하기 위해 로컬 네트워크를 매핑하여 고가치 목표를 식별하고 랜섬웨어 방지 도구가 활성화되지 않았는지 확인해야 합니다. 공격자는
netscan.exe(SoftPerfect Network Scanner)를 실행하여 활성 호스트를 발견하려 시도하고mountvol.exe를 사용하여 드라이브 문자로 할당되지 않은 볼륨을 포함한 모든 가용 볼륨을 나열하여 잠재적 백업 및 쉐도우 복사본을 식별합니다. -
회귀 테스트 스크립트:
# 에베레스트 랜섬웨어 탐지 규칙 논리를 유발하기 위한 시뮬레이션 스크립트입니다. # 참고: 이 명령어들은 파일이 현재 디렉토리 또는 시스템 경로에 존재한다고 가정합니다. # 시뮬레이션 목적으로, 파일이 없으면 'echo'로 실행을 시뮬레이트하지만, # 실제 규칙을 유발하려면 파일이 존재해야 합니다. Write-Host "[+] 에베레스트 랜섬웨어 TTP 시뮬레이션 시작..." -ForegroundColor Cyan # 1. mountvol.exe 사용 시뮬레이션 (기본 Windows 도구) Write-Host "[*] mountvol.exe 실행 중..." -ForegroundColor Yellow mountvol.exe # 2. NetScan 시뮬레이션(경로/디렉토리에 netscan.exe가 있어야 함) # 검증을 위해 진짜 도구가 없을 때 이름을 모방하기 위해 더미 파일을 만듭니다. Write-Host "[*] netscan.exe 실행 시뮬레이션 중..." -ForegroundColor Yellow if (Test-Path ".netscan.exe") { Start-Process ".netscan.exe" } else { Write-Host "[!] netscan.exe를 찾을 수 없습니다. 탐지를 유발하려면 이 폴더에 더미 netscan.exe를 배치하세요." -ForegroundColor Red } # 3. Raccine 제거 시뮬레이션 Write-Host "[*] Raccine.exe 실행 시뮬레이션 중..." -ForegroundColor Yellow if (Test-Path ".Raccine.exe") { Start-Process ".Raccine.exe" } else { Write-Host "[!] Raccine.exe를 찾을 수 없습니다. 탐지를 유발하려면 이 폴더에 더미 Raccine.exe를 배치하세요." -ForegroundColor Red } Write-Host "[+] 시뮬레이션 완료." -ForegroundColor Cyan -
정리 명령어:
# 시뮬레이션 중 생성된 모든 더미 파일 제거. Remove-Item ".netscan.exe" -ErrorAction SilentlyContinue Remove-Item ".netscanpack.exe" -ErrorAction SilentlyContinue Remove-Item ".Raccine.exe" -ErrorAction SilentlyContinue Write-Host "[+] 정리 완료." -ForegroundColor Green