팔로우 
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
프린츠 오이겐은 새롭게 확인된 Go 기반 랜섬웨어 패밀리로, 재귀 암호화를 사용하고 피해자에게 압박을 가하기 위해 최근 수정된 파일을 우선적으로 타겟팅합니다. 파일 암호화에는 ChaCha20-Poly1305를 사용하며, 메모리에서 암호화 키를 지우고 실행 후 자체 삭제하는 등의 반포렌식 기능을 포함하고 있습니다. 이 운영은 시스템에 랜섬 노트를 남기지 않고 대역 외 협박 모델을 따릅니다.
조사
조사 결과, 침입은 손상된 RDP 자격 증명을 통해 시작되었을 가능성이 있으며, 이후 servertool.exe 페이로드가 Chrome을 통해 전달된 것으로 보입니다. 연구자들은 또한 RemotePC 원격 관리 도구를 통한 측면 이동과 PowerShell 기반의 스테이징을 관찰했습니다. 협박 정체성과 이전의 침해 활동을 공유했음을 근거로 ROOTBOY 행위자에게 귀속되었습니다.
대응 방안
조직은 다중 요소 인증을 통해 RDP 접근을 강화하고 원격 관리 도구의 비인가 사용을 모니터링해야 합니다. 미확인 Go 기반 실행 파일을 차단하고 의심스러운 PowerShell 동작을 탐지할 수 있는 강력한 엔드포인트 보호도 중요합니다. 주기적인 오프라인 백업을 유지하고 자주 수정되는 데이터를 보호하는 것은 이 고압력 암호화 접근의 영향을 줄이는 데 도움이 될 수 있습니다.
응답
프린츠 오이겐 활동이 감지되면, 영향을 받은 시스템을 즉시 격리하여 RMM 도구 또는 RDP 세션을 통한 추가 이동을 중지해야 합니다. 메모리 포렌식을 수행하여 인코딩 재료를 회수할 수 있는 최상의 기회를 제공하십시오. 인시던트 대응은 또한 공격자가 사용한 가능한 데이터 유출 및 대역 외 통신 채널을 추적하는 데 집중해야 합니다.
"그래프 TB %% 클래스 정의 섹션 classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef persistence fill:#f66,stroke:#333,stroke-width:2px classDef lateral_movement fill:#6cf,stroke:#333,stroke-width:2px classDef collection fill:#9f9,stroke:#333,stroke-width:2px classDef impact fill:#f33,stroke:#333,stroke-width:2px classDef evasion fill:#ccc,stroke:#333,stroke-width:2px classDef tool fill:#eee,stroke:#333,stroke-width:2px %% 초기 접근 및 실행 access_rdp["<b>동작</b> – <b id='T1133'>외부 원격 서비스</b><br/><b>설명</b>: 손상된 RDP 자격 증명을 통한 접근."] class access_rdp initial_access exec_chrome["<b id='T1204.002'>사용자 실행: 악성 파일</b><br/><b>동작</b>: Chrome 브라우저를 통해 다운로드됨<br/><b>파일</b>: servertool.exe<br/><b>경로</b>: 사용자 음악 폴더"] class exec_chrome initial_access %% 지속성과 권한 상승 persist_user["<b id='T1136.001'>계정 생성: 로컬 계정</b><br/><b>동작</b>: 새로운 로컬 관리자 계정 생성<br/><b>명령어</b>: net user admin germania /add"] class persist_user persistence priv_esc_rmm["<b id='T1543'>지속성: 시스템 프로세스 생성 또는 수정</b><br/><b>도구</b>: RemotePC RMM<br/><b>동작</b>: 페이로드 배포를 위한 PowerShell 스테이저 실행"] class priv_esc_rmm persistence %% 측면 이동 lat_move_rmm["<b id='T1021'>원격 서비스</b><br/><b>동작</b>: 키보드 작업<br/><b>도구</b>: RemotePC RMM<br/><b>설명</b>: 환경 내 측면 이동 가능하게 함"] class lat_move_rmm lateral_movement %% 수집 및 탈취 coll_data["<b id='T1213'>정보 저장소로부터 데이터 수집</b><br/><b>동작</b>: 대량의 데이터 수집<br/><b>세부 사항</b>: Standard Bank에서 약 1.2 TB 수집됨"] class coll_data collection exfil_leak["<b id='T1041'>C2 채널을 통한 탈취</b><br/><b>동작</b>: 전용 유출 포털을 통한 이중 협박<br/><b>설명</b>: 도난 데이터 외부 포털로 이동"] class exfil_leak collection %% 영향 impact_enc["<b id='T1486'>영향을 위한 데이터 암호화</b><br/><b>악성코드</b>: servertool.exe<br/><b>유형</b>: Go 기반 암호화기<br/><b>방법</b>: ChaCha20-Poly1305 재귀 암호화<br/><b>확장자</b>: .prinzeugen"] class impact_enc impact %% 방어 회피 evasion_mem["<b id='T1027'>혼동된 파일 또는 정보</b><br/><b>동작</b>: 반포렌식 메모리 지우기<br/><b>설명</b>: 하드코딩된 암호화 키를 0으로 채우고 가비지 컬렉터 실행"] class evasion_mem evasion evasion_del["<b id='T1070.004'>지표 제거: 파일 삭제</b><br/><b>동작</b>: cmd.exe를 통한 자체 삭제<br/><b>기술</b>: 디스크에서 파일 삭제를 보장하기 위한 핑 지연 트릭 사용"] class evasion_del evasion %% 연결 access_rdp –>|leads_to| exec_chrome exec_chrome –>|triggers| persist_user persist_user –>|enables| priv_esc_rmm priv_esc_rmm –>|facilitates| lat_move_rmm lat_move_rmm –>|leads_to| coll_data coll_data –>|leads_to| exfil_leak coll_data –>|leads_to| impact_enc impact_enc –>|triggers| evasion_mem impact_enc –>|triggers| evasion_del "
공격 흐름
탐지
숨겨진 PowerShell 명령줄을 통한 실행 가능성 (cmdline에서)
보기
Powershell을 통한 다운로드 또는 업로드 (cmdline에서)
보기
지속성을 위한 가능한 계정 [Windows] (cmdline에서)
보기
지연 실행을 위한 가능한 PING 사용 (cmdline에서)
보기
PowerShell에서 의심스러운 .NET 메서드 호출 (powershell에서)
보기
의심스러운 파일 다운로드 직접 IP (프록시 통해)
보기
RemotePC를 통한 잠재적인 PowerShell 스테이저 감지됨 [Windows Powershell]
보기
프린츠 오이겐 랜섬웨어 암호화 및 자체 삭제 동작 탐지 [Windows 프로세스 생성]
보기
시뮬레이션 실행
필수 조건: Telemetry & Baseline Pre-flight Check가 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적이 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령어와 서사는 식별된 TTP를 직접 반영해야 하며, 탐지 논리에 의해 예상되는 정확한 텔레메트리를 생성하는 것을 목표로 합니다. 추상적이거나 관련 없는 예시는 오진으로 이어질 수 있습니다.
-
공격 서사 및 명령어: 적은 프린츠 오이겐 랜섬웨어를 배포했습니다. 영향을 최대화하고 포렌식 흔적을 최소화하기 위해, 악성코드는 암호화 후 원본 파일을 삭제하도록 구성되어 있습니다
--delete플래그. 자체 삭제 시, “사용 중” 상태가 되지 않도록 하기 위해, 악성코드는핑을 통해 짧은 지연을 생성하고 자신의 바이너리에del명령어를 실행합니다. 이 특정한servertool --delete의 연쇄는cmd.exe /C ping -n 2 > nul & del /F /Q와 결합되어 있으며, 이는 우리가 시뮬레이션하는 주요 지표입니다. -
회귀 테스트 스크립트:
# 프린츠 오이겐 랜섬웨어 명령줄 동작 시뮬레이션 # 이 스크립트는 탐지 규칙이 기대하는 정확한 명령 문자열을 시뮬레이션합니다. # 1. 악성코드를 나타내는 더미 'servertool.exe' 생성 $dummyExe = "$env:TEMPservertool.exe" New-Item -Path $dummyExe -ItemType File -Force # 2. 특정 명령줄 인수를 사용하여 랜섬웨어 실행을 시뮬레이션 # 주의: 실제 환경에서 이는 실제 프로세스 실행이 될 것입니다. # Start-Process를 사용하여 대상 명령줄로 새로운 프로세스 생성을 시뮬레이션합니다. $ransomwareCommand = "servertool --delete" $selfDeleteCommand = "cmd.exe /C ping -n 2 > nul & del /F /Q `"$dummyExe`"" Write-Host "랜섬웨어 프로세스 생성 시뮬레이션 중..." # 프로세스 생성 이벤트를 시뮬레이션하여 탐지를 트리거 # 정확한 문자열 패턴을 모방하기 위해 cmd를 호출 Start-Process "cmd.exe" -ArgumentList "/C `"$ransomwareCommand & $selfDeleteCommand`"" -
정리 명령어:
# 시뮬레이션 아티팩트 정리 Remove-Item -Path "$env:TEMPservertool.exe" -ErrorAction SilentlyContinue