SOC Prime Bias: 높음

26 Nov 2025 14:30 UTC

펑크로커 랜섬웨어: Wazuh로 탐지 및 대응

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
펑크로커 랜섬웨어: Wazuh로 탐지 및 대응
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

FunkSec 그룹과 관련된 Funklocker 랜섬웨어는 Windows 환경을 겨냥하며, AI 지원 코드 생성을 활용하여 새로운 변종을 생성합니다. PowerShell, taskkill, sc, vssadmin과 같은 도구를 악용하여 보안 통제를 차단하고, 그림자 복사를 제거하며, 데이터를 .funksec 확장자로 암호화하는 ‘living-off-the-land’ 기술에 의존합니다. 이 글에서는 Sysmon과 맞춤 Wazuh 규칙을 사용하여 이 행동을 감지하는 방법과 통합된 YARA 스캔을 통해 정리를 자동화하는 방법을 설명합니다.

조사

분석은 Funklocker가 Windows 보안 및 애플리케이션 이벤트 로깅을 억제하고, Windows Defender 실시간 보호를 비활성화하며, PowerShell 실행 정책을 우회하고, 프로세스를 종료하고, 중요한 서비스를 중지하며, 볼륨 섀도 복사본을 지우는 방법을 설명합니다. 테스트 샘플은 Wazuh 에이전트가 설치되어 있고 모든 관련 텔레메트리를 캡처하기 위해 Sysmon이 조정된 Windows 11 랩 호스트에서 실행되었습니다.

Funlocker 랜섬웨어 완화

권장 완화 단계에는 PowerShell 실행 정책을 강화하고, 서비스 관리에 대한 최소 권한을 시행하며, 그림자 복사본이 사용 가능하도록 자주 백업을 유지하고, Funklocker의 명령 패턴에 대한 알림을 제공하기 위해 맞춤 Sysmon 규칙과 결합된 Wazuh 같은 EDR 도구를 배포하는 것이 포함됩니다. YARA 서명은 자동으로 식별된 랜섬웨어 실행 파일을 격리하거나 삭제하기 위해 적용될 수 있습니다.

대응

Funklocker 활동이 감지되면 Wazuh 서버가 경고를 올리고 그 Active Response 구성 요소가 랜섬웨어 바이너리와 새롭게 생성된 암호화 파일을 제거하는 YARA 스캔을 실행시킵니다. 제시된 대응 프로세스는 수동 검증, 감염 시스템의 격리 및 신뢰할 수 있는 안전한 백업으로부터 데이터 복구도 포함됩니다.

공격 흐름

시뮬레이션 실행

전제 조건: 텔레메트리 및 기준선 사전 점검이 통과되어야 합니다.

이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적 대기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령과 내러티브는 식별된 TTP를 직접 반영해야 하며 탐지 로직이 기대하는 정확한 텔레메트리를 생성하는 것을 목표로 합니다.

  • 공격 내러티브 및 명령:
    공격자는 각 명령을 높은 권한의 PowerShell 프롬프트에서 직접 실행하여 보안 이벤트 로깅을 비활성화하고, Microsoft Defender 실시간 보호를 비활성화하며, 애플리케이션 로그를 비활성화하고, PowerShell 실행 정책을 바이패스 상태로 설정하여 랜섬웨어가 끊임없이 실행되고 숨겨질 수 있도록 합니다. Sigma 규칙이 일치하는 정확한 문자열을 미러링합니다.

  • 회귀 테스트 스크립트:

    # Funklocker 스타일 로깅 및 수비자 명령 비활성화
    # 1. 보안 이벤트 로그 비활성화
    powershell -Command "wevtutil sl Security /e:false"
    
    # 2. Microsoft Defender 실시간 모니터링 비활성화
    powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
    
    # 3. 애플리케이션 이벤트 로그 비활성화
    powershell -Command "wevtutil sl Application /e:false"
    
    # 4. 현재 프로세스를 위한 PowerShell 실행 정책 우회
    powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"
  • 정리 명령:

    # 보안 이벤트 로그 다시 활성화
    wevtutil sl Security /e:true
    
    # Microsoft Defender 실시간 모니터링 다시 활성화
    Set-MpPreference -DisableRealtimeMonitoring $false
    
    # 애플리케이션 이벤트 로그 다시 활성화
    wevtutil sl Application /e:true
    
    # 기본 PowerShell 실행 정책 복원 (제한됨)
    Set-ExecutionPolicy Restricted -Scope Process -Force