Payouts King Takes Aim at the Ransomware Throne
Detection stack
- AIDR
- Alert
- ETL
- Query
조사
ThreatLabz는 여러 랜섬웨어 샘플을 분석하여 커스텀 CRC 및 FNV1 해시 함수의 역공학을 통해 멀웨어가 사용한 지속성을 확인하고, 예약된 작업을 통해 지속성을 유지하는 방법을 밝혀냈습니다. 연구자들은 또한 암호화 체계, 타겟 파일 확장자 및 전체 실행 흐름을 문서화했습니다. 분석을 통해 랜섬웨어가 암호화가 시작되기 전에 종료를 시도하는 보안 관련 프로세스의 내장 목록이 있음을 발견했습니다. 탐지 및 수색 작업을 지원하기 위해 명령줄 매개 변수와 파일 확장자 패턴과 같은 추가 지표는 샘플에서 직접 추출되었습니다.
완화
조직은 다중 인증을 강제하고, 사용자가 사회 공학적 공격을 인식할 수 있도록 교육하며, Microsoft Teams 및 Quick Assist와 같은 도구의 의심스러운 사용을 모니터링해야 합니다. 방어자는 또한 알려진 랜섬웨어 관련 파일 확장자를 차단하고, Mozilla 경로 하에서 예약된 작업 생성 식별이 가능한 엔드포인트 탐지를 배포해야 합니다. SetFileInformationByHandle 와 FileRenameInfo. 오프라인 백업은 정기적으로 유지 관리해야 하며, 그림자 복사본은 암호화 발생 시 복구 옵션을 개선하기 위해 보호되어야 합니다.
대응
Payouts King 활동이 감지되면, 즉시 영향을 받은 시스템을 격리하고 법의학 분석을 위해 휘발성 메모리와 디스크 이미지를 수집하십시오. 조사자는 MozillaUpdateTask and MozillaElevateTask와 같은 이름의 예약된 작업을 검토한 다음, 몰래 CRC로 보호된 명령줄 인수와 멀웨어와 관련된 고유한 암호화된 파일 확장자를 찾으십시오. 복구는 검증된 정결한 백업에서 데이터를 복원하는 데 중점을 두어야 합니다. 보안 팀은 또한 발견된 샘플 해시를 관련 위협 정보 플랫폼에 제출하여 더 넓은 추적 및 방어를 지원해야 합니다.
공격 흐름
시뮬레이션 실행
필수 조건: 텔레메트리 및 기준 항공 탑승 전 확인이 완료되어야 함.
이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적대적 기술(TTP)의 정확한 실행을 설명합니다. 명령어와 서사는 식별된 TTP를 직접 반영하고 탐지 논리에서 예상되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련 없는 예는 잘못된 진단으로 이어질 것입니다.
-
공격 서사 및 명령어:
공격자는 초기 접근을 얻은 후, 랜섬웨어가 모든 시스템 재부팅 시 실행되며 SYSTEM 권한을 얻도록 하고 싶어합니다. 그들은 타사 도구 도입을 피하기 위해 기본
schtasks.exe이진 파일을 사용합니다. 먼저, 더미 랜섬웨어 페이로드를 실행하는 “UpdateTask”를 만들고, 즉시 권한 상승 프로세스를 생성하는 “ElevateTask”를 만들어 전염 체인을 강화합니다. 두 작업은Mozilla네임스페이스에 배치되어 알려진 Payouts King 패턴을 모방합니다.-
UpdateTask 생성:
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" -
ElevateTask 생성:
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" -
ElevateTask 즉시 실행:
schtasks.exe /run /tn MozillaElevateTask -
(옵션) 작업 존재 확인:
schtasks.exe /query /tn Mozilla* /fo LIST /v
이 정확한 명령줄은
선택1and선택2Sigma 규칙의 절을 충족하여조건을 만족: 선택1 및 선택2 및 배제되지 않음. -
-
회귀 테스트 스크립트:
# Payouts King 예약‑작업 지속성 시뮬레이션 # ------------------------------------------------- # 1단계: UpdateTask 생성 (부팅 시 지속성) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" # 2단계: ElevateTask 생성 (권한 상승 도우미) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" # 3단계: 두 번째 탐지 이벤트를 생성하기 위해 ElevateTask 즉시 실행 schtasks.exe /run /tn MozillaElevateTask # 4단계: 확인 출력 (탐지에 필요하지 않음, 운영자 가시성용) Write-Host "예약된 작업이 생성되고 ElevateTask가 실행되었습니다." -
정리 명령어:
# 테스트를 위해 생성된 작업 삭제 schtasks.exe /delete /tn MozillaElevateTask /f schtasks.exe /delete /tn MozillaUpdateTask /f # 필요 시 더미 페이로드 삭제 Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue