Follow
요약
Makop 랜섬웨어는 Phobos 계열의 변종으로, 노출된 원격 데스크톱 프로토콜(RDP) 서비스를 악용하고, 탐색, 수평 이동 및 권한 상승을 위해 상용화된 유틸리티를 활용하여 조직을 공격하고 있습니다. 이 캠페인은 GuLoader 다운로더와 여러 로컬 권한 상승 취약점 악용을 포함한 새로운 요소를 포함하고 있습니다. 공격자는 사용자 디렉토리에 오도성 있는 파일 이름으로 랜섬웨어 바이너리를 배포합니다. 주로 인도 기업을 대상으로 하며, 브라질과 독일에서도 활동이 관찰되었습니다.
조사
Acronis 위협 연구부는 최근 Makop 사례를 조사하고, RDP 무차별 대입 시도로 시작되어 네트워크 스캐닝, 인증 정보 덤핑, 여러 CVE 기반 권한 상승 취약점 실행으로 이어지는 반복 가능한 공격 체인을 매핑했습니다. GuLoader는 AgentTesla와 FormBook과 같은 추가 페이로드를 전달하는 데 사용되었습니다. 조사관들은 또한 보안 솔루션을 무력화하는 데 사용된 AV 킬링 도구, 취약한 드라이버, 사용자 정의 제거 도구도 문서화했습니다.
완화
권장 방어 전략에는 RDP에서 다중 인증 강제 적용, 인터넷에 노출된 모든 RDP 엔드포인트 제거, 모든 참조된 CVE에 대한 패치 적용, 알려진 로더 바이너리 및 AV 킬러 유틸리티 모니터링, 수상한 스크립트 실행을 차단하기 위한 엔드포인트 탐지 사용 등이 포함됩니다. Windows Defender 서명을 최신 상태로 유지하고 서명되지 않았거나 신뢰할 수 없는 드라이버 사용을 제한하면 관찰된 기술에 대한 노출을 더욱 줄일 수 있습니다.
대응
활동이 감지되면 즉시 영향을 받은 호스트를 격리하고, GuLoader 또는 수상한 다운로더 프로세스를 종료하며, 분석을 위해 휘발성 메모리를 캡처하십시오. 잠재적인 인증 정보 덤핑을 종합적으로 검토하고, 알려진 악성 파일 해시와 파일 이름을 차단하며, 악용된 CVE를 보안하십시오. 가능할 경우 인증된 백업에서 암호화된 데이터를 복구하고, 적절한 사건 대응 및 관리 팀에 경고하십시오.
graph TB %% 클래스 정의 섹션 classDef action fill:#99ccff %% 노드 정의 initial_access_rdp[“<b>행동</b> – <b>T1021.001 원격 서비스: RDP</b><br /><b>설명</b>: NLBrute를 사용한 RDP 로그인 무차별 대입 공격”] class initial_access_rdp action defense_evasion_impair[“<b>행동</b> – <b>T1562 방어 약화</b><br /><b>설명</b>: disable-defender.exe를 사용하여 Windows Defender 비활성화 및 취약한 드라이버 악용”] class defense_evasion_impair action priv_esc_exploit[“<b>행동</b> – <b>T1068 권한 상승을 위한 취약점 악용</b><br /><b>설명</b>: CVE-2017-0213, CVE-2018-8639, CVE-2021-41379, CVE-2016-0099 악용”] class priv_esc_exploit action discovery_remote[“<b>행동</b> – <b>T1018 원격 시스템 탐색</b><br /><b>설명</b>: NetScan, Advanced IP Scanner, Masscan을 사용하여 내부 네트워크 스캔”] class discovery_remote action lateral_movement_rdp[“<b>행동</b> – <b>T1021 원격 서비스</b><br /><b>설명</b>: 탈취한 자격 증명을 사용하여 RDP 및 SMB 기반 측면 이동 수행”] class lateral_movement_rdp action credential_dumping[“<b>행동</b> – <b>T1003 운영체제 자격 증명 덤핑</b><br /><b>설명</b>: Mimikatz, LaZagne, NetPass를 통해 자격 증명 추출”] class credential_dumping action execution_vbs[“<b>행동</b> – <b>T1059.005 비주얼 베이직</b><br /><b>설명</b>: GuLoader가 드롭한 VBS 스크립트 실행”] class execution_vbs action impact_encrypt[“<b>행동</b> – <b>T1486 영향 목적 데이터 암호화</b><br /><b>설명</b>: Makop 랜섬웨어 암호화 모듈을 사용하여 파일 암호화”] class impact_encrypt action %% 공격 흐름을 나타내는 연결 initial_access_rdp u002du002d>|이후 단계| defense_evasion_impair defense_evasion_impair u002du002d>|이후 단계| priv_esc_exploit priv_esc_exploit u002du002d>|이후 단계| discovery_remote discovery_remote u002du002d>|이후 단계| lateral_movement_rdp lateral_movement_rdp u002du002d>|이후 단계| credential_dumping credential_dumping u002du002d>|이후 단계| execution_vbs execution_vbs u002du002d>|이후 단계| impact_encrypt
공격 흐름
탐지
Makop 랜섬웨어 RDP 착취 및 수평 이동을 위한 Masscan 사용 [Windows 네트워크 연결]
보기
ThrottleStop.sys 의 권한 상승을 위한 악용 탐지 [Windows Sysmon]
보기
NLBrute, Mimikatz, GuLoader 실행 탐지 [Windows 프로세스 생성]
보기
IOCs (HashSha256) 탐지: Makop 랜섬웨어: GuLoader와 인도기업을 겨냥한 공격에서 권한 상승 3부
보기
IOCs (HashSha256) 탐지: Makop 랜섬웨어: GuLoader와 인도기업을 겨냥한 공격에서 권한 상승 1부
보기
시뮬레이션 실행
전제 조건: Telemetry & Baseline Pre‑flight Check가 통과되어야 합니다.
합리성: 이 섹션은 탐지 규칙을 촉발하기 위해 설계된 적대 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령어와 서사는 식별된 TTP를 직접 반영해야 하며, 탐지 논리에서 기대하는 정확한 텔레메트리를 생성하는 것을 목표로 합니다.
-
공격 서사 및 명령어:
- 준비:공격자는 악성 버전의
ThrottleStop.sys을 입수하여, CVE‑2025‑7771을 악용하여 권한 상승을 시도합니다. - 배포:드라이버는 시스템 드라이버 디렉토리(
C:WindowsSystem32drivers). - 실행:을 사용하여
sc.exe로 악성 드라이버를 로드하는 서비스를 만들어 프로세스를 SYSTEM으로 상승시킵니다. - 포스트 에스컬레이션:상승된 토큰으로 공격자는 고급 권한 계정을 사칭할 수 있지만(T1134.005), 이 단계는 이 규칙의 범위를 벗어납니다.
- 준비:공격자는 악성 버전의
-
회귀 테스트 스크립트:
# ---------------------------------------------------------------- # ThrottleStop.sys 악용 시뮬레이션 (CVE-2025-7771) # ---------------------------------------------------------------- $driverPath = "$env:SystemRootSystem32driversThrottleStop.sys" # 1. 악성 드라이버 드롭 (여기서는 플레이스홀더 복사본 사용) Write-Host "[*] $driverPath에 악성 ThrottleStop.sys 복사 중" # 실제 테스트에서는 소스를 실제 악성 바이너리로 교체하십시오. Copy-Item -Path ".malicious_ThrottleStop.sys" -Destination $driverPath -Force # 2. 커널 서비스로 드라이버 등록 Write-Host "[*] 드라이버를 위한 서비스 생성 중" sc.exe create ThrottleStopSvc binPath= "$driverPath" type= kernel start= demand | Out-Null # 3. 드라이버 시작 (Sysmon ImageLoad 트리거) Write-Host "[*] 드라이버 서비스 시작 중" sc.exe start ThrottleStopSvc | Out-Null Write-Host "[+] 드라이버 로드 완료 – 탐지 규칙 트리거될 수 있습니다." # ---------------------------------------------------------------- -
정리 명령어:
# 악성 드라이버 서비스를 중지하고 삭제합니다. sc.exe stop ThrottleStopSvc | Out-Null sc.exe delete ThrottleStopSvc | Out-Null # 드라이버 파일 제거 Remove-Item -Path "$env:SystemRootSystem32driversThrottleStop.sys" -Force Write-Host "[*] 정리 완료."