SQL 무차별 공격, 블루스카이 랜섬웨어의 문을 열다
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
위협 행위자가 SEO 포이저닝을 사용하여 트로이 목마화된 ManageEngine OpManager 설치 프로그램을 통해 BumbleBee 멀웨어를 배포했습니다. 초기 접속 획득 후, 공격자는 지휘 및 제어를 위한 AdaptixC2를 배포하고, RDP 및 SSH 터널링을 통해 횡적으로 이동하며, 75GB 이상의 민감한 데이터를 탈취했습니다. 침입은 Akira 랜섬웨어를 배포하여 도메인 인프라를 암호화하면서 끝났습니다.
조사
포렌식 분석을 통해 초기 감염 벡터로 식별된 것은 유사한 도메인, opmanager.pro으로, 악성 MSI 설치 프로그램을 제공했습니다. 조사관들은 msimg32.dll 의 DLL 사이드로딩 실행 체인을 AdaptixC2 쉘코드가 Windows 주소록 유틸리티로 주입된 것까지 추적했습니다. 네트워크 텔레메트리와 파일 시스템 아티팩트 검토에서도 FileZilla를 통한 대규모 데이터 탈취와 RDP 접근을 프록시하는 리버스 SSH 터널 사용이 밝혀졌습니다.
완화
조직은 신규 등록 또는 유사 도메인을 차단하기 위해 엄격한 웹 필터링을 시행하고 의심스러운 DLL 사이드로딩 동작을 모니터링해야 합니다. 관리 권한 제한 및 도메인 계정 또는 서비스의 무단 생성 탐지도 중요합니다. 또한 강력한 출력 필터링 및 무단 SSH 또는 RDP 터널링 모니터링은 횡적 이동과 데이터 탈취를 방지하는 데 도움이 될 수 있습니다.
대응
이 활동이 탐지되면, 추가 랜섬웨어 확산을 중지하기 위해 즉시 영향을 받는 시스템을 격리하고 특히 도메인 컨트롤러와 백업 서버를 격리하세요. SSH 터널 및 RustDesk 인스턴스를 포함한 모든 무단 원격 접근 세션을 종료하고, Enterprise Admins에 특별히 주의하며 모든 도메인 계정의 인증 정보를 완전히 재설정하며, 오프라인 및 변조 불가능한 백업을 사용하여 복구를 시작하세요.
공격 흐름
탐지
의심스러운 WMIC 사용 (cmdline 통해)
보기
의심스러운 Powershell 셰도우카피 참조 (cmdline 통해)
보기
WMI를 통한 셰도우 카피 삭제 가능성 (powershell 통해)
보기
비정상적인 프로세스에 의한 의심스러운 아웃바운드 연결 (network_connection 통해)
보기
비정상적인 프로세스에 의해 수행된 DNS 요청 (dns_query 통해)
보기
의심스러운 SSH 포트 포워딩 [Windows] (cmdline 통해)
보기
시스템 열거 가능성 (cmdline 통해)
보기
의심스러운 도메인 트러스트 발견 (cmdline 통해)
보기
Comsvcs.dll을 사용한 인증 정보 덤핑 가능성 (cmdline 통해)
보기
의심스러운 PSQL 실행 (cmdline 통해)
보기
의심스러운 Wbadmin 도구 활동 (cmdline 통해)
보기
BYOVD 가능성 – 취약한 드라이버 공격 (audit 통해)
보기
가능한 Bits 전송 활동 (powershell 통해)
보기
짧은 스크립트 이름 사용하여 실행 가능성 (cmdline 통해)
보기
Lolbin을 포함하는 가능한 Powershell 스크립트 (powershell 통해)
보기
원격 접근 / 관리 소프트웨어 서비스 생성 (system 통해)
보기
대체 원격 접근 / 관리 소프트웨어 (process_creation 통해)
보기
계정 또는 그룹 열거 / 조작 가능성 (cmdline 통해)
보기
비정형 경로에서 실행되는 시스템 프로세스 (process_creation 통해)
보기
비정상 디렉터리에서 파일을 실행하는 Msiexec 가능성 (cmdline 통해)
보기
RustDesk 및 Akira 랜섬웨어 활동 탐지 [Windows 시스템]
보기
BumbleBee 및 AdaptixC2 실행 및 주입 탐지 [Windows 프로세스 생성]
보기
총괄 요약
- 테스트 케이스 ID: TC-20250522-K9L2P
- TTPs: T1003.001, T1003.003, T1018, T1021.001, T1021.003, T1027.010, T1033, T1036, T1039, T1041, T1046, T1047, T1048.001, T1055, T1059.001, T1059.003, T1069.001, T1069.002, T1070.004, T1071.001, T1082, T1083, T1087.001, T1087.002, T1090, T1135, T1136, T1189, T1204.002, T1219, T1482, T1486, T1490, T1543.003, T1555, T1568.002, T1569.002, T1574.001
- 탐지 규칙 논리 요약: 해당 규칙은
rustdesk.exe가services.exe에 의해 생성되거나locker.exe가 “볼륨 셰도우 카피”를 포함하는 명령 줄과 함께 실행될 때 트리거됩니다. - 탐지 규칙 언어/형식: yaml
- 대상 보안 환경: Sysmon이 활성화된 Windows OS, Sysmon 이벤트 ID 1(프로세스 생성) 텔레메트리를 처리할 수 있는 SIEM
- 회복탄력성 점수 (1-5): 2
- 정당화: 규칙은 특정, 하드코딩된 파일 이름(와)에 크게 의존합니다.
rustdesk.exeandlocker.exeadversary는 이 파일들의 이름을 변경하여 쉽게 우회할 수 있습니다. 게다가 Akira 탐지는 명령 라인의 특정 문자열에 제한되어 있어 가독화를 통해 우회될 수 있습니다. - 주요 발견 사항: 룰은 이러한 도구들을 “박스 밖에서” 효과적으로 탐지하지만, 바이너리 이름 바꾸기나 명령줄 인수 조작 같은 기본적인 회피 기술에는 실패합니다.
- 권장 사항: 파일 이름 기반 탐지에서 무단 서비스 설치 모니터링, 원격 데스크톱 도구의 예상치 못한 네트워크 연결, 및
를 통한 섀도우 카피 삭제와 같은 행동 지표로의 전환을 권장합니다.orwmic부모 프로세스 이름과 관계없이.
## 시뮬레이션 환경 및 컨텍스트
- 테스트 중인 TTPs:
- T1003.001: OS 인증 정보 덤핑: LSASS 메모리
- T1059.001: 명령 및 스크립트 인터프리터: PowerShell
- T1490: 시스템 복구 억제 (섀도우 카피 삭제)
- T1543.003: 시스템 프로세스 생성 또는 수정: Windows 서비스
- TTP 컨텍스트 및 관련성: 이 시뮬레이션은 지속적인 원격 접근을 위한 RustDesk 사용 및 볼륨 섀도우 카피를 목표로 하여 시스템 복구를 억제하기 위해 Akira 랜섬웨어 스타일 명령을 실행하는 이중 위협 프로필을 복제하는 것을 목표로 합니다.
- 대상 환경:
- OS: Windows 10/11 또는 Windows 서버
- 로깅: Sysmon (특히 이벤트 ID 1: 프로세스 생성)
- 보안 스택: SIEM (예: Splunk, Sentinel 또는 ELK)
## 텔레메트리 및 기준 사전 비행 점검
이유: 공격을 시뮬레이션하기 전에 대상 호스트가 필요한 로그를 생성하고, 이 로그들이 SIEM에 수집되며 탐지 규칙이 정상적인 활동에 대해 작동하지 않는지를 확인해야 합니다. 이 확인 없이는 테스트 결과가 신뢰할 수 없습니다.
-
1. 텔레메트리 구성 지침:
-
- 설치 Sysmon 대상 Windows 머신에.
-
- 전체 명령줄 인수가 캡처되도록 하는 구성 파일(예: SwiftOnSecurity의 설정)을 적용하여 프로세스 생성(이벤트 ID 1)을 보장합니다.
-
- Winlogbeat, Splunk Universal Forwarder 또는 유사 에이전트를 통해 Sysmon 이벤트 로그가 SIEM으로 전달되는지 확인하세요.
-
-
2. 수집 및 기준 검증:
-
행동 (양성 텔레메트리): 시스템 정보를 확인하기 위해 표준 PowerShell 명령을 실행하여, 랜섬웨어 관련 패턴을 트리거하지 않고도 프로세스 생성 텔레메트리를 생성합니다.
Get-ComputerInfo | Select-Object CsName, OsArchitecture -
검증 쿼리 (수집):
// Sysmon 이벤트 ID 1 수집을 확인하는 KQL 쿼리 Sysmon | where EventID == 1 and Image contains "powershell.exe" | take 10
-
## 시뮬레이션 실행
전제 조건: 텔레메트리 및 기준 사전 비행 점검이 통과해야 합니다.
이유: 이 섹션에서는 탐지 규칙을 트리거하기 위해 설계된 적 기법 (TTP)의 정확한 실행을 자세히 설명합니다. 명령과 내러티브 MUST는 식별된 TTP와 직접적으로 일치해야 하며 탐지 논리가 기대한 정확한 텔레메트리를 생성하려고 합니다. 추상적이거나 관련 없는 예는 오진으로 이어질 수 있습니다.
-
공격 내러티브 및 명령: 적은 지속성과 원격 접근을 확립하기 위해 RustDesk를 사용하여 시작합니다. 서비스 설치를 시뮬레이션하기 위해 적은 서비스 관리자가 (
services.exe)는 원격 접근 바이너리를 생성시킵니다. 그 후, 적은 Akira 랜섬웨어 페이로드를 실행합니다. 이 페이로드의 목표는 시스템 백업을 파괴하여 복구를 방지하는 것이며, 명령 줄 명령으로 ‘볼륨 셰도우 카피’를 삭제하는 특정 명령을 호출하여 이 작업을 모방합니다. 이는 강탈 공격의 높은 영향 단계에 해당합니다.locker.exewith a specific command-line instruction to delete ‘Volume Shadow Copies’. This mimics the high-impact phase of an extortion attack. -
회귀 테스트 스크립트:
# --- 시뮬레이션 시작 --- # 부분 1: RustDesk 서비스 실행 시뮬레이션 # 서비스를.exe가 rustdesk.exe를 생성하는 행위를 시뮬레이트합니다. # 커널 드라이버 없이 services.exe의 ParentProcessID를 쉽게 속일 수 없기 때문에, # 우리는 아티팩트를 생성하고 'Process Hacker'와 같은 도구 # 또는 스크립트를 사용하여 특텔레메트리를 가능하면 시뮬레이트할 것입니다, # 하지만 이 스크립트의 경우, 우리는 파일을 생성하고 프로세스를 트리거할 것입니다. $rustdeskPath = "$env:TEMPrustdesk.exe" New-Item -Path $rustdeskPath -ItemType File -Force # 유의사항: "부모 이미지 | 끝부분: services.exe" 규칙을 정확히 트리거하려면, # 실제 서비스 설치가 필요합니다. Write-Host "[+] $rustdeskPath 위치에 모의 RustDesk 바이너리를 생성 중" # 부분 2: Akira 랜섬웨어 활동 시뮬레이션 $lockerPath = "$env:TEMPlocker.exe" New-Item -Path $lockerPath -ItemType File -Force Write-Host "[+] $lockerPath 위치에 모의 Akira 'locker.exe' 생성 중" # '볼륨 셰도우 카피'를 포함한 명령줄을 통해 Akira 탐지 논리 트리거 # 우리는 start-process를 사용하여 명령줄이 Sysmon에 의해 캡처되도록 합니다. Start-Process -FilePath $lockerPath -ArgumentList "/delete Volume Shadow Copies" -NoNewWindow Write-Host "[!] 시뮬레이션 명령 실행됨. SIEM에서 'locker.exe' 경고 확인하세요." # --- 시뮬레이션 종료 --- -
정리 명령:
# --- 정리 시작 --- Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlocker.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] 정리 완료." # --- 정리 종료 ---