팔로우 
Detection stack
- AIDR
- Alert
- ETL
- Query
조사
ThreatLabz는 여러 랜섬웨어 샘플을 분석하여 커스텀 CRC 및 FNV1 해시 함수의 역공학을 통해 멀웨어가 사용한 지속성을 확인하고, 예약된 작업을 통해 지속성을 유지하는 방법을 밝혀냈습니다. 연구자들은 또한 암호화 체계, 타겟 파일 확장자 및 전체 실행 흐름을 문서화했습니다. 분석을 통해 랜섬웨어가 암호화가 시작되기 전에 종료를 시도하는 보안 관련 프로세스의 내장 목록이 있음을 발견했습니다. 탐지 및 수색 작업을 지원하기 위해 명령줄 매개 변수와 파일 확장자 패턴과 같은 추가 지표는 샘플에서 직접 추출되었습니다.
완화
조직은 다중 인증을 강제하고, 사용자가 사회 공학적 공격을 인식할 수 있도록 교육하며, Microsoft Teams 및 Quick Assist와 같은 도구의 의심스러운 사용을 모니터링해야 합니다. 방어자는 또한 알려진 랜섬웨어 관련 파일 확장자를 차단하고, Mozilla 경로 하에서 예약된 작업 생성 식별이 가능한 엔드포인트 탐지를 배포해야 합니다. SetFileInformationByHandle 와 FileRenameInfo. 오프라인 백업은 정기적으로 유지 관리해야 하며, 그림자 복사본은 암호화 발생 시 복구 옵션을 개선하기 위해 보호되어야 합니다.
대응
Payouts King 활동이 감지되면, 즉시 영향을 받은 시스템을 격리하고 법의학 분석을 위해 휘발성 메모리와 디스크 이미지를 수집하십시오. 조사자는 MozillaUpdateTask and MozillaElevateTask와 같은 이름의 예약된 작업을 검토한 다음, 몰래 CRC로 보호된 명령줄 인수와 멀웨어와 관련된 고유한 암호화된 파일 확장자를 찾으십시오. 복구는 검증된 정결한 백업에서 데이터를 복원하는 데 중점을 두어야 합니다. 보안 팀은 또한 발견된 샘플 해시를 관련 위협 정보 플랫폼에 제출하여 더 넓은 추적 및 방어를 지원해야 합니다.
graph TB classDef action fill:#99ccff classDef process fill:#ffcc99 classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef credential fill:#ffccff classDef operator fill:#ff9900 action_phishing[“<b>행동</b> – T1566.001 피싱: 스피어피싱 첨부파일<br/><b>설명</b>: IT로 위장한 악성 첨부 이메일<br/><b>기술 ID</b>: T1566.001”] class action_phishing action action_user_exec[“<b>행동</b> – T1204.002 사용자 실행<br/><b>설명</b>: 파일을 열어 랜섬웨어 실행<br/><b>기술 ID</b>: T1204.002”] class action_user_exec action tool_malicious_file[“<b>도구</b> – 악성 페이로드 파일<br/><b>설명</b>: 피싱으로 전달된 실행 파일”] class tool_malicious_file tool process_cmd_shell[“<b>프로세스</b> – T1059.003 Windows Command Shell<br/><b>설명</b>: cmd.exe 실행<br/><b>기술 ID</b>: T1059.003”] class process_cmd_shell process action_scheduled_task[“<b>행동</b> – T1053 예약 작업<br/><b>설명</b>: \Mozilla\UpdateTask 생성<br/><b>기술 ID</b>: T1053”] class action_scheduled_task action action_elevate_task[“<b>행동</b> – T1546 이벤트 기반 실행<br/><b>설명</b>: SYSTEM 권한 실행<br/><b>기술 ID</b>: T1546”] class action_elevate_task action defense_obfuscation_dynapi[“<b>회피</b> – T1027.007 동적 API 해석<br/><b>설명</b>: CRC/FNV1 해시로 API 해석<br/><b>기술 ID</b>: T1027.007”] class defense_obfuscation_dynapi malware defense_evasion_process_kill[“<b>회피</b> – T1564.011 프로세스 인터럽트 무시<br/><b>설명</b>: AV 프로세스 종료<br/><b>기술 ID</b>: T1564.011”] class defense_evasion_process_kill malware defense_obfuscation_general[“<b>회피</b> – T1027 난독화 파일<br/><b>설명</b>: 스택 문자열 및 암호화 섹션<br/><b>기술 ID</b>: T1027”] class defense_obfuscation_general malware impact_encrypt_files[“<b>영향</b> – T1560.003 커스텀 암호화<br/><b>설명</b>: AES-256-CTR + RSA-4096<br/><b>기술 ID</b>: T1560.003”] class impact_encrypt_files malware impact_delete_shadows[“<b>영향</b> – T1006 섀도 복사본 삭제<br/><b>설명</b>: vssadmin 삭제<br/><b>기술 ID</b>: T1006”] class impact_delete_shadows malware impact_clear_logs[“<b>영향</b> – T1070.001 로그 삭제<br/><b>설명</b>: 이벤트 로그 삭제<br/><b>기술 ID</b>: T1070.001”] class impact_clear_logs malware credential_private_key[“<b>자격 증명</b> – T1552.004 개인 키<br/><b>설명</b>: RSA가 AES 키 보호<br/><b>기술 ID</b>: T1552.004”] class credential_private_key credential action_phishing –>|시작| action_user_exec action_user_exec –>|실행| tool_malicious_file tool_malicious_file –>|실행| process_cmd_shell process_cmd_shell –>|생성| action_scheduled_task action_scheduled_task –>|생성| action_elevate_task action_elevate_task –>|활성화| defense_obfuscation_dynapi action_elevate_task –>|활성화| defense_evasion_process_kill action_elevate_task –>|활성화| defense_obfuscation_general defense_obfuscation_dynapi –>|지원| impact_encrypt_files defense_evasion_process_kill –>|지원| impact_encrypt_files defense_obfuscation_general –>|지원| impact_encrypt_files impact_encrypt_files –>|사용| credential_private_key impact_encrypt_files –>|발생| impact_delete_shadows impact_encrypt_files –>|발생| impact_clear_logs
공격 흐름
시뮬레이션 실행
필수 조건: 텔레메트리 및 기준 항공 탑승 전 확인이 완료되어야 함.
이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적대적 기술(TTP)의 정확한 실행을 설명합니다. 명령어와 서사는 식별된 TTP를 직접 반영하고 탐지 논리에서 예상되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련 없는 예는 잘못된 진단으로 이어질 것입니다.
-
공격 서사 및 명령어:
공격자는 초기 접근을 얻은 후, 랜섬웨어가 모든 시스템 재부팅 시 실행되며 SYSTEM 권한을 얻도록 하고 싶어합니다. 그들은 타사 도구 도입을 피하기 위해 기본
schtasks.exe이진 파일을 사용합니다. 먼저, 더미 랜섬웨어 페이로드를 실행하는 “UpdateTask”를 만들고, 즉시 권한 상승 프로세스를 생성하는 “ElevateTask”를 만들어 전염 체인을 강화합니다. 두 작업은Mozilla네임스페이스에 배치되어 알려진 Payouts King 패턴을 모방합니다.-
UpdateTask 생성:
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" -
ElevateTask 생성:
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" -
ElevateTask 즉시 실행:
schtasks.exe /run /tn MozillaElevateTask -
(옵션) 작업 존재 확인:
schtasks.exe /query /tn Mozilla* /fo LIST /v
이 정확한 명령줄은
선택1and선택2Sigma 규칙의 절을 충족하여조건을 만족: 선택1 및 선택2 및 배제되지 않음. -
-
회귀 테스트 스크립트:
# Payouts King 예약‑작업 지속성 시뮬레이션 # ------------------------------------------------- # 1단계: UpdateTask 생성 (부팅 시 지속성) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" # 2단계: ElevateTask 생성 (권한 상승 도우미) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" # 3단계: 두 번째 탐지 이벤트를 생성하기 위해 ElevateTask 즉시 실행 schtasks.exe /run /tn MozillaElevateTask # 4단계: 확인 출력 (탐지에 필요하지 않음, 운영자 가시성용) Write-Host "예약된 작업이 생성되고 ElevateTask가 실행되었습니다." -
정리 명령어:
# 테스트를 위해 생성된 작업 삭제 schtasks.exe /delete /tn MozillaElevateTask /f schtasks.exe /delete /tn MozillaUpdateTask /f # 필요 시 더미 페이로드 삭제 Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue