팔로우 
요약
Payload는 ChaCha20을 사용하여 파일을 암호화하고, 각 파일마다 Curve25519 ECDH 교환을 사용한 후 영향을 받은 데이터에 .payload 확장자를 추가하는 Windows 랜섬웨어 패밀리입니다. 이 악성코드는 RECOVER_payload.txt 랜섬 노트를 떨어뜨리고 자체 로그 파일을 생성하며, ETW 패칭, VSS 섀도우 복사본 삭제, 이벤트 로그 지우기, 선택된 프로세스와 서비스의 종료를 포함한 몇 가지 반포렌식 조치를 적용합니다. 2026년 2월에 처음 발견된 이 그룹은 몇 개 대륙에서 피해자 기반을 빠르게 확장하여 특히 물류, 부동산, 제조 조직에 중점을 두었습니다. 운영자들은 또한 피해자와의 커뮤니케이션 및 데이터 유출 공개를 위해 Tor 양파 사이트를 의존합니다.
조사
이 분석은 새로운 32바이트 피해자 개인 키 생성, Curve25519를 통한 공유 비밀 키 도출, 그리고 그 공유 비밀 키를 ChaCha20 암호화 키로 직접 사용하는 등 랜섬웨어의 암호화 워크플로를 설명합니다. 파일 암호화는 입출력 완료 포트를 통해 수행되며 피해자 공개 키와 일정한 FBI 마커를 포함한 56바이트의 RC4 암호화된 풋터로 종료됩니다. 반포렌식 행동에는 메모리 내 ETW 패칭, vssadmin을 통해 섀도우 복사본 삭제, Windows 이벤트 로그 제거가 포함됩니다. 연구자들은 또한 랜섬웨어가 암호화를 시작하기 전에 멈추는 프로세스와 서비스의 사전 정의된 종료 목록을 발견했습니다.
완화
방어자들은 MakeAmericaGreatAgain 뮤텍스, 새로 생성된 .payload 파일, 그리고 RECOVER_payload.txt 랜섬 노트의 존재를 모니터링해야 합니다. vssadmin.exe 의 실행을 제한하고 이 그룹과 연관된 알려진 Tor 양파 주소를 차단하는 것은 반포렌식 및 커뮤니케이션 방법의 효과를 줄일 수 있습니다. 엔드포인트 보호는 ETW 패칭, 의심스러운 NT API 파일 I/O 활동, 중요한 서비스의 강제 종료도 감지해야 합니다. 정기적인 오프라인 백업을 유지하고 섀도우 복사본에 대한 의존도를 줄이면 비즈니스 영향을 더욱 감소시킬 수 있습니다.
응답
Payload 랜섬웨어가 감지되면, 즉시 네트워크에서 영향을 받은 호스트를 격리하고, 휘발성 메모리를 보존하며 분석을 위한 관련 로그를 수집하세요. 조사자들은 남아있는 모든 악성 프로세스를 식별하고 종료하며, 검증된 깨끗한 백업으로부터의 복구를 우선시해야 합니다. 백업이 없는 경우, 제공된 복호화 키와 내장된 RC4 풋터를 사용하여 파일 복구 시도를 할 수 있습니다. 관련 지표는 위협 인텔리전스 팀과 공유되어야 하고, 관련된 Tor 양파 인프라 및 모든 연결된 C2 자산을 차단해야 합니다.
"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef process fill:#c2f0c2 classDef tool fill:#cccccc classDef malware fill:#ffb3b3 classDef operator fill:#ff9900 %% Nodes action_initial_execution["<b>Action</b> – <b>T1059 Command-Line Execution</b>: Ransomware launched with commandu2011line arguments controlling logging, encryption algorithm selection, thread count, background mode, mutex handling, ransomu2011note generation, process/service termination, ETW bypass, and eventu2011log clearing."] class action_initial_execution action op_and1(("AND")) class op_and1 operator tech_T1059["<b>Technique</b> – T1059: Commandu2011Line Interface. Executes programs via commandu2011line arguments."] class tech_T1059 technique tech_T1027["<b>Technique</b> – T1027: Obfuscated Files or Information. Uses doubleu2011Base64 encoding, RC4u2011encrypted footer, and dynamic resolution of NT APIs to avoid static detection."] class tech_T1027 technique tech_T1490["<b>Technique</b> – T1490: Inhibit System Recovery. Deletes all Volume Shadow Copy snapshots via vssadmin.exe."] class tech_T1490 technique tech_T1070_001["<b>Technique</b> – T1070.001: Clear Windows Event Logs. Utilises wevtapi.dll to clear all eventu2011log channels."] class tech_T1070_001 technique tech_T1070["<b>Technique</b> – T1070: Indicator Removal on Host (ETW Bypass). Patches ETW functions in memory to suppress event tracing."] class tech_T1070 technique tech_T1486["<b>Technique</b> – T1486: Data Encrypted for Impact. Generates peru2011file ChaCha20 keys via Curve25519 ECDH, encrypts files in 1u202fMB chunks, appends .payload extension and adds an RC4u2011encrypted footer containing victim public key and nonce."] class tech_T1486 technique tech_T1489["<b>Technique</b> – T1489: Service Stop. Terminates backup, database, security services and processes such as sql.exe and firefox.exe."] class tech_T1489 technique tech_T1564_012["<b>Technique</b> – T1564.012: Exclude Files/Directories. Skips encryption of system, browser and recovery directories and files."] class tech_T1564_012 technique process_vssadmin["<b>Process</b> – vssadmin.exe: Deletes shadow copies to remove recovery points."] class process_vssadmin process process_wevtapi["<b>Process</b> – wevtapi.dll: Clears Windows Event Log channels."] class process_wevtapi process process_etw["<b>Process</b> – ETW Bypass Module: Patches ETW functions to suppress tracing."] class process_etw process process_termination["<b>Process</b> – Service/Process Termination: Kills sql.exe, firefox.exe and other backup, database and security services."] class process_termination process malware_ransomware["<b>Malware</b> – Ransomware Payload: Performs encryption, ransomu2011note generation and cleanup activities."] class malware_ransomware malware %% Connections action_initial_execution –>|leads_to| op_and1 op_and1 –>|uses| tech_T1059 op_and1 –>|uses| tech_T1027 op_and1 –>|uses| tech_T1490 op_and1 –>|uses| tech_T1070_001 op_and1 –>|uses| tech_T1070 op_and1 –>|uses| tech_T1486 op_and1 –>|uses| tech_T1489 op_and1 –>|uses| tech_T1564_012 tech_T1490 –>|executes| process_vssadmin tech_T1070_001 –>|executes| process_wevtapi tech_T1070 –>|executes| process_etw tech_T1486 –>|implemented_by| malware_ransomware tech_T1489 –>|executes| process_termination "
공격 흐름
탐지
의심스러운 VSSADMIN 활동 (명령줄 통해)
보기
.payload 뒤에 오는 IOC들 (HashSha256): Payload 랜섬웨어의 심층 기술 분석
보기
.payload 뒤에 오는 IOC들 (HashSha1): Payload 랜섬웨어의 심층 기술 분석
보기
.payload 뒤에 오는 IOC들 (HashMd5): Payload 랜섬웨어의 심층 기술 분석
보기
Payload 랜섬웨어 활동 탐지 [Windows 파일 이벤트]
보기
Payload 랜섬웨어 활동 탐지 [Windows 프로세스 생성]
보기
시뮬레이션 실행
전제 조건: 텔레메트리 및 기준선 사전 비행 검사가 통과해야 합니다.
이유: 이 섹션에서 탐지 규칙을 유도하도록 설계된 적 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령과 내러티브는 식별된 TTP에 직접 반영되어야 하며, 탐지 논리에 의해 예상되는 정확한 텔레메트리를 생성하는 것을 목표로 합니다.
-
공격 내러티브 및 명령:
- 섀도우 복사본 삭제 (T1561.001): 공격자는 모든 이전 복원 지점을 삭제하여 피해자가 암호화된 파일을 복구할 수 없도록 하는 조용한 VSS 삭제 명령을 실행합니다.
- 뮤텍스 생성 (T1203 – 간접): Payload는 단일 인스턴스만 실행되도록 보장하기 위해 “MakeAmericaGreatAgain”이라는 글로벌 뮤텍스를 생성합니다.
- 프로세스 종료 (T1203): 랜섬웨어는
TerminateProcessAPI를 사용하여 보안 관련 프로세스를 종료합니다. - ETW 우회 (T1562.001): 공격자는
--bypass-etw플래그를 사용하여 Windows의 이벤트 추적을 침묵시키는 하위 프로세스를 시작합니다.
모든 네 가지 작업은 정확히 Sigma 규칙이 검색하는 문자열들과 함께
cmd.exe /c를 호출하는 단일 PowerShell 스크립트를 통해 실행됩니다. -
회귀 테스트 스크립트:
# PayloadRansomwareSimulation.ps1 # 목적: Sigma 규칙이 일치하는 정확한 명령줄 문자열을 생성. # 1. 모든 VSS 섀도우 복사본 삭제 (조용히) $vssCmd = 'cmd.exe /c vssadmin.exe delete shadows /all /quiet' Write-Host "VSS 삭제 실행..." Invoke-Expression $vssCmd # 2. "MakeAmericaGreatAgain"이라는 글로벌 뮤텍스 생성 $mutexName = 'MakeAmericaGreatAgain' $mutex = New-Object System.Threading.Mutex($false, $mutexName) if ($mutex.WaitOne(0)) { Write-Host "뮤텍스 [$mutexName] 생성됨." } # 3. 프로세스 종료를 시뮬레이션하기 위해 더미 프로세스 (예: 메모장) 종료 Start-Process notepad Start-Sleep -Seconds 2 $proc = Get-Process -Name notepad -ErrorAction SilentlyContinue if ($proc) { $terminateCmd = "cmd.exe /c taskkill /PID $($proc.Id) /F" Write-Host "명령어로 프로세스 종료: $terminateCmd" Invoke-Expression $terminateCmd } # 4. ETW 우회 플래그가 있는 무해한 프로세스 시작 $etwBypassCmd = 'cmd.exe /c powershell.exe -NoProfile -WindowStyle Hidden --bypass-etw' Write-Host "ETW 우회 프로세스 시작 중..." Invoke-Expression $etwBypassCmd Write-Host "시뮬레이션 완료. 모든 지표 문자열이 이제 Sysmon 로그에 있어야 합니다." -
정리 명령:
# CleanupPayloadRansomwareSimulation.ps1 # 뮤텍스 해제 $mutexName = 'MakeAmericaGreatAgain' $mutex = [System.Threading.Mutex]::OpenExisting($mutexName) -ErrorAction SilentlyContinue if ($null -ne $mutex) { $mutex.ReleaseMutex() $mutex.Close() Write-Host "뮤텍스 [$mutexName] 해제됨." } # 남은 메모장 프로세스가 없는지 확인 Get-Process -Name notepad -ErrorAction SilentlyContinue | Stop-Process -Force # VSS 삭제 추가 정리가 필요 없습니다 (취소 불가) – 이는 파괴적이며 격리된 실험실에서만 실행해야 합니다. Write-Host "정리 완료."
보고서 종료