Riddle Spider Avaddon 랜섬웨어 분석 및 기술 개요

graph TB %% 클래스 정의 classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc %% 노드 action_valid_accounts[“<b>행동</b> – <b>T1078 유효 계정</b><br />공격자는 탈취되거나 추측한 자격 증명을 사용하여 초기 접근을 획득하며, 종종 손상된 RDP 자격 증명을 활용함.”] class action_valid_accounts action action_rdp[“<b>행동</b> – <b>T1021.001 원격 서비스: 원격 데스크톱 프로토콜</b><br />유효한 자격 증명을 획득한 이후, 측면 이동 및 원격 명령 실행을 위해 RDP를 사용함.”] class action_rdp action malware_web_shell[“<b>악성코드</b> – <b>T1505.003 서버 소프트웨어 구성 요소: 웹 셸</b><br />지속적인 접근 유지 및 손상된 서버에서 명령 실행을 위해 사용자 정의 웹 셸(예: BLACKCROW, DARKRAVEN)을 배포함.”] class malware_web_shell malware action_c2_comm[“<b>행동</b> – <b>T1102.002 웹 서비스: 양방향 통신</b><br />웹 셸이 양방향 명령 및 제어(C2) 통신 채널을 제공함.”] class action_c2_comm action tool_powershell[“<b>도구</b> – <b>T1059.001 명령 및 스크립트 인터프리터: PowerShell</b><br />Empire 또는 PowerSploit과 같은 침투 후 프레임워크를 통해 PowerShell 스크립트를 실행함.”] class tool_powershell tool action_auto_collection[“<b>행동</b> – <b>T1119 자동화된 수집</b><br />유출 전에 파일 및 데이터를 자동으로 수집함.”] class action_auto_collection action tool_7zip[“<b>도구</b> – <b>T1560.001 수집된 데이터 아카이브: 유틸리티를 통한 아카이브</b><br />7Zip을 사용하여 수집된 데이터를 압축함.”] class tool_7zip tool action_exfil_cloud[“<b>행동</b> – <b>T1567.002 웹 서비스를 통한 유출: 클라우드 스토리지로 유출</b><br />MEGAsync와 같은 클라우드 서비스로 아카이브된 데이터를 업로드함.”] class action_exfil_cloud action action_gather_info[“<b>행동</b> – <b>T1592 호스트 정보 수집</b><br />랜섬 노트 작성을 위해 하드웨어, 소프트웨어, 펌웨어 및 클라이언트 구성 정보를 수집함.”] class action_gather_info action action_service_stop[“<b>행동</b> – <b>T1489 서비스 중지</b><br />암호화 과정 중 간섭을 방지하기 위해 보안 관련 서비스 및 프로세스를 중지 및 삭제함.”] class action_service_stop action action_exclusive_control[“<b>행동</b> – <b>T1668 독점적 제어</b><br />섀도 복사본을 삭제하고 복구를 방지하기 위해 시스템에 대한 독점적 제어를 획득함.”] class action_exclusive_control action action_inhibit_recovery[“<b>행동</b> – <b>T1490 시스템 복구 방해</b><br />복구 메커니즘(vssadmin, wbadmin, bcdedit)을 비활성화하고 섀도 복사본을 삭제함.”] class action_inhibit_recovery action action_obfuscation[“<b>행동</b> – <b>T1027 난독화된 파일 또는 정보</b><br />구성 문자열을 Base64로 인코딩하고 산술 연산을 추가하여 추가 난독화를 수행함.”] class action_obfuscation action action_data_encryption[“<b>행동</b> – <b>T1486 영향 목적의 데이터 암호화</b><br />AES-256을 사용하여 피해자 파일을 암호화하며, 파일별 키를 사용하고 중요 시스템 디렉터리는 제외함.”] class action_data_encryption action action_hide_artifacts[“<b>행동</b> – <b>T1564.012 아티팩트 은닉: 파일/경로 제외</b><br />시스템 안정성을 유지하기 위해 특정 디렉터리와 확장자를 암호화 대상에서 제외함.”] class action_hide_artifacts action %% 흐름 연결 action_valid_accounts u002du002d>|이후 단계| action_rdp action_rdp u002du002d>|활성화| malware_web_shell malware_web_shell u002du002d>|제공| action_c2_comm action_c2_comm u002du002d>|사용| tool_powershell tool_powershell u002du002d>|실행| action_auto_collection action_auto_collection u002du002d>|전달| tool_7zip tool_7zip u002du002d>|아카이브 생성| action_exfil_cloud action_exfil_cloud u002du002d>|완료| action_gather_info action_gather_info u002du002d>|선행| action_service_stop action_service_stop u002du002d>|활성화| action_exclusive_control action_exclusive_control u002du002d>|이후 단계| action_inhibit_recovery action_inhibit_recovery u002du002d>|준비 단계| action_obfuscation action_obfuscation u002du002d>|선행| action_data_encryption action_data_encryption u002du002d>|동반| action_hide_artifacts %% 스타일링 class action_valid_accounts,action_rdp,action_c2_comm,action_auto_collection,action_exfil_cloud,action_gather_info,action_service_stop,action_exclusive_control,action_inhibit_recovery,action_obfuscation,action_data_encryption,action_hide_artifacts action class tool_powershell,tool_7zip tool class malware_web_shell malware

공격 흐름