텐구 랜섬웨어: 초기 접근부터 암호화까지
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
Tengu는 랜섬웨어-서비스(Ransomware-as-a-Service) 운영으로, 이중 협박 모델을 따릅니다. 암호화를 수행하기 전에 공격자들은 Living Off the Land Binaries를 사용하여 페이로드를 실행하고 민감한 데이터를 MEGA 클라우드 스토리지로 유출합니다. 피해자 통신 및 지불 협상은 Tor 기반 포털을 통해 처리됩니다.
조사
이 보고서는 피싱 또는 도난당한 자격 증명을 통한 초기 접근부터 데이터 암호화에 이르는 전체 Tengu 침투 체인을 설명합니다. PowerShell 및 Rclone과 같은 합법적인 관리 유틸리티의 사용을 강조하며, 이는 공격자들이 정상적인 활동에 섞여들고 탐지 가능성을 줄이는 데 도움을 줍니다.
완화
보안 팀은 자격 증명 남용의 위험을 줄이기 위해 RDP 및 VPN 서비스에 강력한 다중 인증을 적용해야 합니다. 또한 조직은 의심스러운 LOLBin 활동을 모니터링하고, 클라우드 스토리지 플랫폼의 비인가 사용을 제한하며, 복구를 지원할 수 있는 정기적인 오프라인 백업을 유지해야 합니다.
대응
Tengu 활동이 감지되면 즉시 영향을 받은 시스템을 격리하여 측면 확산 및 추가 데이터 유출을 방지하십시오. 윈도우 이벤트 로그와 서비스 구성을 검토해 비인가 변경 사항을 확인하고, 데이터 노출 및 암호화 활동의 범위를 파악하기 위한 사고 대응 절차를 활성화하십시오.
공격 흐름
시뮬레이션 실행
전제조건: 텔레메트리 및 기준선 사전 비행 검사가 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 촉발하기 위해 고안된 적대적 기술(TTP)의 구체적인 실행을 자세히 설명합니다. 명령과 서술은 식별된 TTP를 직접 반영해야 하며, 탐지 논리에 의해 예상되는 정확한 텔레메트리를 생성하는 것을 목표로 합니다. 추상적이거나 관련 없는 예는 오진으로 이어질 수 있습니다.
-
공격 서사 및 명령: 공격자는 Tengu 랜섬웨어 배포 단계를 시작하려고 합니다. 간단한 안티바이러스 서명에 의한 탐지를 피하기 위해 “Living-off-the-Land” (LotL) 기법을 사용합니다. 공격자는 먼저
powershell.exe로 스테이징 페이로드를 다운로드한 후rundll32.exe를 사용하여 악성 DLL을 실행합니다. 이는 Tengu 공격 체인에서 설명된 행동을 모방하며, 합법적인 Windows 바이너리를 악용하여 악성 작업을 수행하고 이에 따라 일반 관리 활동에 혼합되려고 시도합니다. -
회귀 테스트 스크립트:
# Tengu 랜섬웨어 실행 시뮬레이션 스크립트 # 이 스크립트는 탐지 규칙을 촉발하기 위해 LOLBin을 사용하는 것을 시뮬레이션합니다. Write-Host "[*] Tengu 랜섬웨어 실행 시뮬레이션 시작..." -ForegroundColor Cyan # 1. PowerShell 기반 페이로드 스테이징 시뮬레이션 (T1059.001) Write-Host "[*] PowerShell 페이로드 스테이징 시뮬레이션 중..." -ForegroundColor Yellow powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output '악성 페이로드 다운로드 시뮬레이션 중...'" # 2. CMD 기반 정찰 시뮬레이션 (T1059.003) Write-Host "[*] CMD 기반 정찰 시뮬레이션 중..." -ForegroundColor Yellow cmd.exe /c "whoami /all" # 3. Rundll32 실행 시뮬레이션 (T1218.011) Write-Host "[*] Rundll32 악성 DLL 실행 시뮬레이션 중..." -ForegroundColor Yellow rundll32.exe javascript:"alert('시뮬레이션된 Tengu 페이로드 실행');" Write-Host "[+] 시뮬레이션 완료. SIEM에서 경고를 확인하십시오." -ForegroundColor Green -
정리 명령:
# 이 시뮬레이션에서는 영구적인 파일 또는 레지스트리 키가 수정되지 않았습니다. # 실행된 명령은 휘발성 프로세스 실행입니다. Write-Host "[*] 영구적인 아티팩트가 생성되지 않았기 때문에 정리가 필요하지 않습니다." -ForegroundColor Cyan