Riddle Spider Avaddon 랜섬웨어 분석 및 기술 개요
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
Avaddon은 범죄 단체 Riddle Spider가 운영하는 서비스형 랜섬웨어(RaaS)입니다. C++ 기반의 악성 코드로 로컬 및 네트워크 접근 가능한 데이터를 암호화하고, 섀도 복사본을 제거하며, 유출된 정보를 공개하겠다고 위협하는 이중 갈취 모델을 활용합니다. 이 악성 코드는 도난된 자격 증명, 노출된 RDP 서비스, 맞춤형 웹 쉘을 통해 배포되며 다중 분석 방지 기술을 주로 활용합니다.
Avaddon 랜섬웨어 분석
이 분석에서는 Avaddon의 코드 기반, 구성 저장 방식, 지리적 검사 수행 방법, 서비스 중지, 프로세스 종료, AES-256을 통한 암호화 기능(파일별 고유 키 사용) 등을 자세히 다룹니다. 또한 종료를 위해 선택된 서비스 및 프로세스를 열거하고 복구 메커니즘을 무력화하기 위해 사용된 특정 명령도 설명합니다.
완화 방안
방어자들은 강력한 자격 증명 위생을 유지하고, RDP 노출을 제한하거나 강화하며, 알려진 웹 쉘 패턴을 모니터링하고 섀도 복사본 제거 명령 실행을 탐지해야 합니다. 애플리케이션 화이트리스트를 작성하고 정기적인 오프라인 백업을 유지하면 랜섬웨어의 영향을 크게 줄일 수 있습니다.
대응
Avaddon 활동이 탐지되면, 침해된 시스템을 격리하고, 휘발성 증거를 수집하고, 관련 명령줄 동작을 차단하며 전체 포렌식 이미징으로 사고 대응을 시작해야 합니다. 신뢰할 수 있는 오프라인 백업에서 데이터를 복구하고 이중 갈취 전술 때문에 법 집행 기관을 고려할 수도 있습니다.
공격 흐름
탐지
침해된 자격 증명을 통한 횡적 이동용 RDP 사용 탐지 [Windows 네트워크 연결]
보기
Avaddon 랜섬웨어가 사용하는 복구 방지 명령 탐지 [Windows 프로세스 생성]
보기
BLACKCROW 및 DARKRAVEN 웹 셸 또는 SystemBC RAT 탐지 [Windows 프로세스 생성]
보기
IOCs(이메일) 감지: Riddle Spider Avaddon 랜섬웨어 분석 및 기술 개요
보기
의심스러운 Wbadmin 도구 활동 (cmdline 사용)
보기
시뮬레이션
경영 요약
테스트 케이스 ID: TC-20251104-A7B9Z
TTPs: T1219, T1566.001
탐지 규칙 논리 요약: “load”라는 단어를 포함한 이메일 제목과 “exe” 및 “.msi” 문자열을 포함하는 본문을 탐지하여 악성 다운로드 링크를 나타냅니다.
탐지 규칙 언어/형식: sigma
대상 보안 환경: Windows OS – 네트워크 연결 로그(예: Windows 방화벽, 프록시, DNS 로그) – Sigma 규칙을 수용하는 SIEM 플랫폼(예: Splunk, Elastic, Azure Sentinel)
탄력성 점수 (1-5): 2
정당성: 규칙은…
전체 시뮬레이션 보기