팔로우 
요약
The Gentlemen 랜섬웨어 그룹은 2025년 7월부터 활동을 시작했으며, 파일 암호화에 데이터 탈취 및 유출 사이트 공갈을 결합한 이중 공갈 모델을 따릅니다. 이 악성코드는 Go로 작성되었으며, Windows, Linux, ESXi 환경을 지원하며, 암호화 과정에서 하드코딩된 암호 인수를 사용합니다. 운영자는 또한 광범위한 조사, 그룹 정책 개체 남용, WinSCP와 같은 합법적인 도구를 이용해 데이터를 암호화된 형태로 이동 및 유출시킵니다.
조사
AttackIQ는 여러 보안 공급업체가 설명한 초기 접근, 지속성, 방어 회피, 발견, 측면 이동 및 영향을 포함하는 전술, 기술 및 절차를 재현하는 시뮬레이션을 발표했습니다. 이 시뮬레이션에는 예약된 작업 생성, 레지스트리 실행 키, 악성 서비스, 방화벽 규칙 변경 및 볼륨 섀도 복사본 삭제와 같은 행동이 포함됩니다.
완화
방어자는 의심스러운 PowerShell 활동, 예기치 않은 예약된 작업 생성, null 세션 및 Microsoft Defender 제외 항목과 관련된 레지스트리 변경 및 SMBv1 활성화 시도에 주의해야 합니다. 네트워크 세분화와 최소 권한 액세스 제어는 서로 공유 자원을 통해 그룹의 측면 이동 능력을 제한하는 데 기여할 수 있습니다.
대응
Gentlemen 관련 활동이 감지되면, 영향을 받은 시스템을 즉시 격리하고 휘발성 증거를 수집하며, 랜섬웨어 샘플 및 관련 레지스트리 아티팩트를 보존하고 가능한 경우 백업에서 섀도 복사본 및 이벤트 로그를 복구하기 위한 사고 대응 절차를 시작해야 합니다. 환경 전반에 걸쳐 자격 증명 탈취 및 측면 이동을 식별하기 위한 전체 포렌식 조사가 또한 수행되어야 합니다.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef builtin fill:#dddddd %% Action nodes act_system_info[“<b>행위</b> – <b>T1082 시스템 정보 탐색</b><br/>OS 버전, 호스트 이름 및 기타 시스템 정보 수집”] class act_system_info action act_persistence[“<b>행위</b> – 지속성”] class act_persistence action act_scheduled_task[“<b>행위</b> – <b>T1053.005 예약 작업</b><br/>부팅 시 실행되는 작업 생성”] class act_scheduled_task action act_registry_run[“<b>행위</b> – <b>T1547.001 레지스트리 Run 키 / 시작 프로그램</b><br/>HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run에 Run 키 추가”] class act_registry_run action act_windows_service[“<b>행위</b> – <b>T1543.003 Windows 서비스</b><br/>sc.exe를 통해 새 서비스 생성”] class act_windows_service action act_defense_evasion[“<b>행위</b> – 방어 회피”] class act_defense_evasion action act_disable_defender[“<b>행위</b> – <b>T1562.001 보안 도구 비활성화/변경</b><br/>Windows Defender 실시간 보호 비활성화”] class act_disable_defender action act_add_exclusions[“<b>행위</b> – <b>T1562.001 보안 도구 비활성화/변경</b><br/>Set-MpPreference로 예외 추가”] class act_add_exclusions action act_enable_firewall[“<b>행위</b> – 제한 없는 네트워크 탐색 활성화”] class act_enable_firewall action act_discovery[“<b>행위</b> – 정찰 단계”] class act_discovery action act_ad_domain[“<b>행위</b> – <b>T1482 도메인 신뢰 탐색</b><br/>Get-ADDomain으로 AD 정보 조회”] class act_ad_domain action act_ad_computers[“<b>행위</b> – <b>T1018 원격 시스템 탐색</b><br/>Get-ADComputer로 도메인 컴퓨터 열거”] class act_ad_computers action act_wmi_info[“<b>행위</b> – <b>T1082 시스템 정보 탐색</b><br/>WMI를 통한 시스템 정보 수집”] class act_wmi_info action act_file_enum[“<b>행위</b> – <b>T1083 파일 및 디렉터리 탐색</b><br/>FindFirstFileW/FindNextFileW로 파일 열거”] class act_file_enum action act_volume_disc[“<b>행위</b> – <b>T1680 로컬 저장소 탐색</b><br/>Win32_Volume 및 Get-PSDrive로 볼륨 열거”] class act_volume_disc action act_network_share[“<b>행위</b> – <b>T1049 네트워크 공유 탐색</b><br/>WNetOpenEnum/WNetEnumResource로 공유 탐색”] class act_network_share action act_lateral_movement[“<b>행위</b> – 측면 이동”] class act_lateral_movement action act_create_share[“<b>행위</b> – <b>T1021 원격 서비스</b><br/>net share로 숨겨진 SMB 공유 생성”] class act_create_share action act_modify_acls[“<b>행위</b> – <b>T1222.001 권한 그룹 탐색</b><br/>icacls로 익명 전체 권한 부여”] class act_modify_acls action act_null_session[“<b>행위</b> – <b>T1556.009 액세스 토큰 조작</b><br/>NullSessionShares 및 익명 설정 변경”] class act_null_session action act_copy_payload[“<b>행위</b> – 랜섬웨어 페이로드 원격 복사”] class act_copy_payload action act_execute_wmi[“<b>행위</b> – <b>T1047 WMI 실행</b><br/>WMI/WMIC를 통한 원격 실행”] class act_execute_wmi action act_impact[“<b>행위</b> – 영향 단계”] class act_impact action act_delete_shadow[“<b>행위</b> – <b>T1490 시스템 복구 방해</b><br/>vssadmin 및 wmic로 섀도 복사본 삭제”] class act_delete_shadow action act_clear_logs[“<b>행위</b> – <b>T1070.001 Windows 이벤트 로그 삭제</b><br/>wevtutil.exe로 로그 삭제”] class act_clear_logs action act_encrypt_files[“<b>행위</b> – <b>T1486 데이터 암호화</b><br/>XChaCha20으로 파일 암호화 및 Curve25519로 키 보호”] class act_encrypt_files action %% Connections act_system_info –>|진행| act_persistence act_persistence –>|생성| act_scheduled_task act_persistence –>|생성| act_registry_run act_persistence –>|생성| act_windows_service act_persistence –>|진행| act_defense_evasion act_defense_evasion –>|사용| act_disable_defender act_defense_evasion –>|사용| act_add_exclusions act_defense_evasion –>|사용| act_enable_firewall act_defense_evasion –>|진행| act_discovery act_discovery –>|포함| act_ad_domain act_discovery –>|포함| act_ad_computers act_discovery –>|포함| act_wmi_info act_discovery –>|포함| act_file_enum act_discovery –>|포함| act_volume_disc act_discovery –>|포함| act_network_share act_discovery –>|진행| act_lateral_movement act_lateral_movement –>|생성| act_create_share act_lateral_movement –>|변경| act_modify_acls act_lateral_movement –>|변경| act_null_session act_lateral_movement –>|복사| act_copy_payload act_lateral_movement –>|실행| act_execute_wmi act_execute_wmi –>|진행| act_impact act_impact –>|포함| act_delete_shadow act_impact –>|포함| act_clear_logs act_impact –>|포함| act_encrypt_files
공격 흐름
탐지
가능한 지속성 지점 [ASEPs – Software/NTUSER Hive] (via registry_event)
보기
가능한 원격 데스크톱 서비스 쉐도잉 (via registry_event)
보기
가능한 시스템 열거 (via cmdline)
보기
가능한 네트워크 공유 발견 (via cmdline)
보기
가능한 관리자 계정 또는 그룹 열거 (via cmdline)
보기
의심스러운 VSSADMIN 활동 (via cmdline)
보기
Powershell, CMD 또는 WMI를 통한 섀도 복사본 생성 또는 삭제 (via cmdline)
보기
Windows Defender 설정 의심스러운 변경 (via powershell)
보기
가능한 회피 검사 (via powershell)
보기
IOCs (HashSha256) 감지: Gentlemen 랜섬웨어 에뮬레이션
보기
The Gentlemen 랜섬웨어 활동 탐지 [Windows Powershell]
보기
시뮬레이션 실행
전제 조건: 텔레메트리 & 기준선 비행 전 점검이 통과했어야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적의 기술(TTP)의 정확한 실행을 설명합니다. 명령과 서사는 식별된 TTP를 직접 반영하고 탐지 로직에 의해 예상되는 정확한 텔레메트리를 생성하려고 합니다.
공격 서사 및 명령어
도메인에 조인된 Windows 서버에 대한 낮은 권한 실행 권한을 얻은 적은 랜섬웨어 배포를 위한 환경 준비를 원합니다. 이들은 기본 PowerShell cmdlet을 사용하여:
- 실시간 보호 비활성화 (
Set-MpPreference). - 방화벽 포트 개방 (
Enable-NetFirewallRule). - 추가 Windows 기능 활성화 (
Import-Module ServerManager+Enable-WindowsOptionalFeature). - 도메인 정보 수집 (
Get-ADDomain,Get-ADComputer). - 시스템 세부 정보 열거 (
Get-WmiObject Win32_ComputerSystem,Get-PSDrive). - 악성 페이로드를 원격 공유에 복사 (
Copy-Item).
각 단계는 별도의 PowerShell 프로세스에서 실행되어 각각의 프로세스가 Sigma 규칙이 감시하는 문자열 중 하나를 포함하여 필수 텔레메트리를 생성하도록 보장합니다.
회귀 테스트 스크립트
# -------------------------------------------------
# 시뮬레이션 스크립트 – The Gentlemen 랜섬웨어 탐지 규칙을 트리거
# -------------------------------------------------
# 주의: 이는 비생산, 격리된 Windows 호스트에서 실행하십시오.
# 1. Windows Defender 실시간 모니터링 비활성화
powershell.exe -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
# 2. 방화벽 규칙 활성화 (예: SMB 수신 허용)
powershell.exe -Command "Enable-NetFirewallRule -DisplayGroup 'File and Printer Sharing'"
# 3. 서버 관리자 모듈 설치 및 Windows 기능 활성화
powershell.exe -Command "Import-Module ServerManager; Enable-WindowsOptionalFeature -Online -FeatureName TelnetClient -NoRestart"
# 4. AD 도메인 정보 열거
powershell.exe -Command "Get-ADDomain | Out-Null"
# 5. AD 컴퓨터 목록 (발견)
powershell.exe -Command "Get-ADComputer -Filter * | Select-Object Name | Out-Null"
# 6. 시스템 세부 정보에 대해 WMI 쿼리
powershell.exe -Command "Get-WmiObject Win32_ComputerSystem | Out-Null"
# 7. 현재 PS 드라이브 보기
powershell.exe -Command "Get-PSDrive | Out-Null"
# 8. 측면 이동을 시뮬레이션하기 위해 원격 공유에 더미 파일 복사
# (실험실 내에서 접근 가능한 SMB 공유로 REMOTE-SERVERShare를 대체하세요)
$dummy = "$env:TEMPdummy.txt"
"test" | Out-File -FilePath $dummy -Encoding ASCII
powershell.exe -Command "Copy-Item -Path '$dummy' -Destination '\REMOTE-SERVERSharedummy.txt'"
# 로컬에서 더미 파일 정리
Remove-Item $dummy -Force정리 명령
# -------------------------------------------------
# 정리 스크립트 – 테스트 이전 상태로 호스트 복원
# -------------------------------------------------
# Windows Defender 실시간 보호 다시 활성화
Set-MpPreference -DisableRealtimeMonitoring $false
# 위에서 추가한 방화벽 규칙 비활성화 (아직 존재하는 경우)
Disable-NetFirewallRule -DisplayGroup 'File and Printer Sharing'
# 원격 공유에서 더미 파일 제거 (쓰기 권한 필요)
Remove-Item -Path 'REMOTE-SERVERSharedummy.txt' -Force -ErrorAction SilentlyContinue