SOC Prime Bias: 높음

17 Dec 2025 13:49 UTC

FunkSec RaaS 작전: 해킹티즘과 사이버 범죄의 융합

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
FunkSec RaaS 작전: 해킹티즘과 사이버 범죄의 융합
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

FunkSec는 2024년 후반에 등장한 서비스형 랜섬웨어 그룹으로, 많은 피해자를 보고하고 소규모의 몸값을 요구했습니다. 이들의 러스트 기반 악성코드는 ChaCha20 암호를 사용하여 데이터를 암호화하고, 영향받은 파일에 .funksec 확장자를 추가합니다. 랜섬웨어 외에도 DDoS, 원격 데스크톱 액세스 및 자격 증명 생성을 위한 보조 도구를 배포합니다. FunkSec는 해커 활동의 수사적 수단과 금전적 강탈을 결합합니다.

조사

분석에서는 운영자가 대형 언어 모델을 사용하여 코드와 통신을 초안잡고, 권한 상승을 위해 PowerShell를 사용하며, 암호화 전에 보안 제어를 무력화하는 방법을 설명합니다. 종료된 프로세스와 서비스를 나열하고, 암호화 작업 흐름을 설명하며, 비트코인 결제 주소를 포함한 몸값 요구 구조를 요약합니다. 추가 구성 요소로는 FDDOS, JQRAXY_HVNC, funkgenerate가 광범위한 도구 모음의 일부로 문서화되어 있습니다.

완화

수호자는 PowerShell 실행 정책을 강화하고, Windows Defender의 비활성화 또는 그림자 복사본 제거 시도를 주시하며, 알려진 악성 프로세스 실행을 방지해야 합니다. 보안 검증 플랫폼에서 FunkSec 시뮬레이션을 실행하면 통제 격차를 노출하는 데 도움이 됩니다. 앞서 언급된 프로세스 및 서비스 종료에 대한 탐지 내용을 최신 상태로 유지하여 더 빠른 식별을 가능하게 합니다.

대응

활동이 감지되면 영향을 받은 호스트를 격리하고, .funksec 확장자를 확인하며, 휘발성 증거를 수집합니다. 사고 대응 플레이북을 실행하고 백업에서 복구하며, 특이한 PowerShell 명령 및 몸값 메모 텍스트와 같은 지표를 검색합니다. 위협 인텔리전스를 사용하여 관련 인프라를 모니터링하고 상관관계 분석을 수행합니다.

공격 흐름

시뮬레이션 실행

사전 요구 사항: 텔레메트리 및 기준선 사전 비행 검사가 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 유도하기 위해 설계된 적의 기법(TTP)의 정확한 실행을 자세히 설명합니다. 명령어와 서술은 식별된 TTP를 직접 반영하고 탐지 논리에 의해 예상되는 정확한 텔레메트리를 생성하는 것을 목표로 합니다.

  • 공격 내러티브 및 명령어:

    1. 랜섬웨어 페이로드 상승: 공격자는 PowerShell의 Start-Process -Verb runas 를 사용해 악성 스크립트(FunkSec.exe)를 관리자 권한으로 다시 실행하여, 규칙이 감시하는 명령어-라인 패턴과 일치시킵니다.
    2. 모든 그림자 복사본 삭제: 권한 상승 직후, 공격자는 vssadmin delete shadows /all /quiet 를 실행하여 시스템 복원 지점을 삭제하며, 규칙의 두 번째 조건을 충족합니다.
    3. 두 명령은 동일한 사용자 컨텍스트에서 빠르게 연속적으로 실행되며, Sigma 규칙의 상관 관계 창 내에 나타나도록 보장됩니다.
  • 회귀 테스트 스크립트: 아래 스크립트는 동일한 동작을 재현합니다. 앞서 설명한 로깅 설정이 된 Windows 호스트에서 실행합니다.

    # ==============================
    # FunkSec 랜섬웨어 권한 상승 및 그림자 복사본 삭제 시뮬레이션
    # ==============================
    # 1. (더미) 악성 바이너리의 경로 정의.
    $maliciousExe = "$env:ProgramDataFunkSec.exe"
    # 랜섬웨어 페이로드로 작동할 더미 파일 생성.
    New-Item -Path $maliciousExe -ItemType File -Force | Out-Null
    
    # 2. 더미 페이로드를 권한 상승하여 다시 실행.
    $elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''"
    Write-Host "권한 상승 실행 중..."
    Invoke-Expression $elevatedCmd
    
    # 3. 모든 볼륨 그림자 복사본 삭제.
    Write-Host "모든 그림자 복사본 삭제 중..."
    vssadmin delete shadows /all /quiet
    
    # 더미 페이로드 정리 (옵션, 테스트 정제 목적)
    Remove-Item -Path $maliciousExe -Force
  • 정리 명령어: 시뮬레이션 중 생성된 아티팩트를 제거합니다.

    # 더미 실행 파일이 없는지 확인
    $maliciousExe = "$env:ProgramDataFunkSec.exe"
    if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force }
    
    # 남아 있는 그림자 복사 삭제 조각이 없도록 확인 – (vssadmin은 무상태이므로 조치 필요 없음)
    Write-Host "정리 완료."