랜섬웨어 탐지가 무엇인가? 랜섬웨어를 탐지하는 방법
목차:
안전한 암호화 키 교환 방법은 1976년 Whitfield Diffie와 Martin Hellman에 의해 도입되었습니다. 공개 키와 개인 키 쌍의 훌륭한 점은 암호화 키로부터 해독 키를 어떤 방식으로든 해독할 수 없다는 것입니다.
이 기능은 데이터 암호화 및 복호화 키 또는 키(디렉터리 및/또는 파일을 개별적으로 암호화할 때)를 교환하여 피해자가 데이터를 다시 액세스할 수 있도록 높은 비용을 요구하는 랜섬웨어 공격자들이 악용하는 것입니다.
그러나 디지털 포렌식에 익숙한 사람들은 특별한 도구가 고통 없이 해독하여 or 복구할 수 있도록 도와줄 수 있다는 것을 알고 있습니다. 심지어 완전히 손상된 데이터도 가능합니다. 백업도 작동합니다. 이것이 바로 적들이 고위층 대상을 대상으로 사용할 다른 레버리지를 필요로 했던 이유입니다. 그리고 그들은 그것을 찾았습니다 – 다중 갈취. 연구 에 따르면 2021년에는 2020년 대비 갈취가 85% 증가했으며, 2,566명의 피해자가 유출 사이트에 노출되고 후속 공격 위협을 받었습니다.
따라서 랜섬웨어의 존재의 초기 징후를 감지할 수 있는 것이 중요합니다. 랜섬 노트가 발생하기 이전에 발생하는 모든 패턴은 피해를 입히기 전에 식별되어야 합니다.
에 따르면 SOC Prime의 연간 Detection as Code Innovation Report에서 랜섬웨어는 침입의 지능화와 고위층 랜섬웨어 공격의 증가 속에서 2021-2022년 내내 지속적인 도전 과제였습니다.
랜섬웨어 감지 정의
랜섬웨어 탐지는 랜섬웨어와 관련된 적의 행동을 식별하기 위해 사용되는 일련의 기술, 프로세스 및 솔루션입니다. 주로 기업을 위한 보안 운영 센터(SOC)의 필수 사이버 보안 정책의 일환으로 전문가 수준에서 사용됩니다. is a set of techniques, processes, and solutions that are used to identify adversary behavior associated with ransomware. It is mostly used on a professional level as part of required cybersecurity policies in security operations centers (SOC) that work for enterprises.
사람들은 랜섬웨어를 왜 탐지해야 하는지 의아해할 수도 있습니다. 이미 시스템에 감염되었고, 랜섬 노트를 보여주며, 돌아갈 방법이 없으니까요. 그러나 랜섬 노트가 나타나기 전에 백그라운드에서 많은 활동이 수행됩니다. 이것은 네트워크 탐색, 권한 상승, 데이터 탈취 및 암호화일 수 있습니다. SOC 분석가는 이러한 모든 행동을 가능한 한 빨리 인식하고자 합니다. 랜섬웨어는 탐지를 회피하도록 설계되어 있기 때문에 쉽지 않은 작업입니다.
랜섬웨어 탐지의 예
의심스러운 활동의 몇 가지 징후는 보안 연구원이 랜섬웨어의 존재 가능성을 제안할 수 있도록 합니다. 기업 공격은 보통 매우 정밀하게 타겟이 지정되므로 공격자는 고도로 보호된 엔터티에 침투하고 귀중한 데이터를 가져가고 영향력을 발휘하기 위해 특정 기술 수준이 필요합니다. 공격자들이 다음 움직임을 계획하는 동안 탐지할 수 있는 훌륭한 기회가 됩니다.
일반적으로 다음의 디지털 시스템들은 랜섬웨어의 초기 징후를 확인할 수 있습니다.
- 네트워크
-
-
- 트래픽의 비정상적인 양 – 데이터 탈취의 징후일 수 있습니다.
- 의심스러운 위치에서의 로그인 – 손상된 계정이거나 C2 서버 연결일 수 있습니다.
- 다운로드 – 무클릭 다운로드를 확인하십시오. 특히 무선 연결을 통한 다운로드.
-
- 엔드포인트
-
-
- 예약된 작업 – 주입을 확인해야 합니다.
- 파일 – 악성 파일이거나 감염된 합법 파일일 수 있습니다.
- 코드 서명 시스템 – 손상된 인증서를 확인하십시오.
- 커뮤니케이션 – 피싱, 내부자 작업, 중간자 공격을 확인하십시오.
-
- 클라우드
-
-
- API – 클라우드의 대부분의 것들은 API로 활성화되므로 가장 약한 지점입니다. 제어 평면은 실행 목적으로 악용될 수 있습니다.
- 취약점 – 공격의 다양한 단계에서 악용될 수 있습니다. 심지어 패치된 것조차 새로운 공격 절차를 통해 이전 패치를 우회할 방법을 찾을 수 있습니다.
- 명령줄 도구 – 자격 증명을 저장하는 디렉터리를 찾기 위해 자주 악용됩니다. 의심스러운 네트워크 탐색, 횡적 이동, 권한 상승을 탐지하려고 하십시오.
-
- DevOps 환경
-
-
- 개발 도구 – 일부 공격자들은 검출하기 특히 어려운 개발 및 CI/CD 환경, 도구 체인, 오픈소스 라이브러리를 손상시키는 것을 목표로 할 것입니다.
- 시크릿 – 코딩 관행의 성격상 개발자는 여러 권한을 가집니다. 그들의 자격 증명, 세션 토큰 등은 사이버 공격의 풍부한 대상입니다.
- 고유한 취약점 – 프로그래밍 언어와 암호화 알고리즘은 자연적으로 많은 취약점을 가지고 있습니다. 그들의 행동은 코딩 단계에서 예측하기 매우 어렵고, 단일 익스플로잇조차도 수천 개의 의존성을 통해 쉽게 확산될 수 있습니다.
-
사이버 보안 아키텍처는 호스트 침입 방지 시스템(HIPS)과 같은 솔루션을 포함할 수 있으며, 의심스러운 수정(예: 암호화)을 차단할 수 있습니다. 웹 애플리케이션 방화벽(WAF), 침입 방지 시스템(IPS), 침입 탐지 시스템(IDS)도 유용할 수 있습니다. 심지어 가장 작은 조직도 매일 방대한 양의 데이터를 처리하므로 일반적인 트래픽을 위한 안전망 역할을 하는 자동화된 계층이 있어야 합니다. 상태 검사 방화벽을 제외한 많은 장치들이 컨텍스트를 고려하지 않는다는 점을 명심하십시오.
랜섬웨어 탐지가 어떻게 작동하는가?
알다시피 현재의 랜섬웨어는 단순한 데이터 암호화 및 스크린 잠금 장치 이상입니다. 따라서 랜섬웨어 감지 실무는 반드시 랜섬웨어에 관한 것만은 아닙니다. 대신 보안 분석가는 네트워크의 전반적인 건강 상태를 이해하여 악의적인 징후를 포착하고자 합니다. 즉, 랜섬웨어 킬 체인이 모든 종류의 멀웨어 패키지를 포함할 수 있으며, 소프트웨어 공급망의 다른 단계에서 취약점을 좌측으로 이동시키고 무기화하는 경향이 있음을 Microsoft Research가 보여줍니다. Microsoft Research:
참고로 해당 조직이 상위 플레이어 목록에 있거나(예: 대륙 간 은행) 중요한 인프라(예: 오일 공급, 통신 등)와 관련이 있는 경우 사전 공격 패턴에 특히 주목해야 합니다. 정찰의 성공은 APT 공격자에게 모든 것입니다. 하지만 철저한 기술 보안 통제는 그것을 커버하지 못합니다. 여기서 조직은 수집 또는 관찰하기로 결정한 위험 정책과 정보를 되돌아보아야 합니다. 공유하는 정보도 중요하며, PR 전략도 위험 평가되어야 합니다. 사실, FBI 경고에 따르면 랜섬웨어 행위자들은 인수 합병을 추적하고 바로 그 시점에 정확하게 공격을 계획하는 경향이 있다고 합니다. 그들은 이러한 주요 재정적 이벤트에 대해 어떻게 알까요? 뉴스로부터입니다. FBI 경고 에 따르면, 랜섬웨어 행위자들은 인수 합병을 추적하고 해당 시점에 정확하게 공격을 계획하는 경향이 있다고 합니다. 그들은 이러한 주요 재정적 이벤트에 대해 어떻게 알까요? 뉴스로부터입니다.
기술적 보안 통제를 논할 때는, 무엇을 can 추적하는지가 중요합니다. 예를 들어:
- 실시간 네트워크 분석. 여기서 동-남동 및 북-서의 상황을 살펴보고 컨테이너, 가상 머신, 사용자가 무엇을 하는지, 어떤 프로세스가 실행 중인지, 어디로 오는지를 살펴보아야 합니다. Cisco Stealthwatch와 같은 서비스는 암호화된 트래픽조차도 분석할 수 있으며(중립적입니다).
- 휴식 중인 데이터. 공격자들이 기쁘게 사용하는 맹점이 될 수 있습니다. 예비 저장소에서의 의심스러운 행동(예: 스캔, 정전, 클라우드와의 동기화)을 살펴보십시오. 맬웨어는 랜섬웨어가 발생할 때까지 조용히 앉아 있다가 데이터를 복구하는 것을 차단할 것입니다. 더 이상 사용하지 않는 데이터를 정화하고 유지 중인 데이터에 대해 정기적으로 보안 검사를 수행하는 것이 현명합니다.
- 로그. SIEM은 로그 소스로부터 모든 데이터를 집계하여 올바르게 구성되어 있다면 악의적인 행동을 검색하는 탐지 규칙을 적용합니다. 위협 정보를 수집하는 경우, AI가 일부 사례를 처리할 수 있습니다. 여기 에 로그를 제공할 수 있는 데이터 소스 목록 이 있습니다.
- 파일. 의심스러운 파일은 격리되어 맬웨어 분석으로 전송됩니다. 때로는 악성 샘플이 보안 분석가들에 의해 특별히 다운로드되거나 허니팟에 포착되어 분해하여 작동 방식을 보려고 합니다. 주의해서 다루세요!
이제 우리는 몇 가지 랜섬웨어 탐지 기술을 볼 것입니다. 서명 기반, 행동 기반 및 속임수 탐지에 대해 들어보셨을 것이므로, 다른 접근 방식을 취해 봅시다.
랜섬웨어 탐지 기술
랜섬웨어 탐지에서는, 기밀성, 무결성 및 가용성 삼각형(CIA)이 항상 염두에 있어야 합니다. 모든 보안 정책의 핵심 및 목적입니다. 간단하게 들리지만 랜섬웨어 탐지의 기본은 세 가지 주요 용어로 압축될 수 있습니다:
물론, 이것은 포괄적인 목록은 아닙니다. 위와 같은 주요 개념에 충실하면서 자신만의 테이블을 작성하고 마주치는 유용한 아이디어를 적어둘 수 있습니다. 각오를 다지는 것이 매우 중요합니다. 매일 처리해야 할 정보가 방대하여 가치 있는 생각들이 사라질 수 있기 때문입니다. 또한 여기에 구조화된 보고서 는 MITRE ATT&CK®에 매핑된 랜섬웨어 TTP를 다루고 있습니다. 그것은 랜섬웨어 트렌드에 집중하여 탐지를 우선시하는 데 도움이 될 수 있습니다.
몇 가지 랜섬웨어 탐지 기술은 다음과 같습니다.
예방 조치
분명히, 랜섬웨어를 탐지하려면 주의와 신중함 없이 수행되어서는 안 됩니다. 민감하고 독점적인 데이터가 제대로 보호되지 않으면, 무슨 일이 일어날지 기다리며 모든 것을 탐지하려고 해도 소용이 없습니다.
데이터 보호 프로세스는 일반적으로 사용 중이거나 휴식 중인 비즈니스에 중요한 정보의 분류로 시작됩니다. 민감도의 라벨이 다양한 정보 소스에 부착됩니다. 일단 완료되면, SOC 팀은 사이버보안 기준선을 구성하기 시작할 수 있습니다. 자산의 보안을 유지하기 위해 데이터 관리자가 지정될 수 있습니다.
예방 보안 통제는 다양한 수준에서 구현됩니다:
- 네트워크
트래픽 필터링, 부하 분산. 악성 스크립트 및 다운로드의 자동 차단
- Zero-Trust 아키텍처
액세스 관리 – 필요성에 따라, 업무 분리
- 소프트웨어 수준
신뢰 컴퓨팅 베이스(TCB), 소프트웨어 구성 분석, CI/CD에서 보안 테스트(정적 애플리케이션 보안 테스트(SAST), 컨테이너 이미지 스캔 도구, 동적 애플리케이션 보안 테스트(DAST), 런타임 애플리케이션 셀프 프로텍션(RASP), 웹 애플리케이션 방화벽(WAF))
- 물리적 수준
신뢰 플랫폼 모듈(TPM), 백업
위협 탐지
일부 사건들은 표면상 완전히 합법적으로 보일 수 있으나 본질적으로 악의적일 수 있습니다. 예방 통제가 그것을 잡아내지 못할 수 있습니다. 수동 탐지 역시 마찬가지입니다. 이러한 복잡한 공격이 시작되면 위협 탐색을 수행할 때입니다. 반드시 사건이 있어야 하는 것은 아닙니다. 대신 위협 탐색의 전제는 무언가 잘못되었지만 보이지 않는 다는 것입니다.
위협 탐지는 세 가지 주요 접근 방식을 기반으로 수행될 수 있습니다:
- 가설 기반
- 정보 기반
- 맞춤형
자세한 내용을 원하시면 위협 탐지 and 위협 탐색 가설 예제 가이드를 참조하십시오. 또한 감사 추적.
에 대해 배우는 것도 고려하십시오.
- 전반적으로, 사건을 둘러싸고 있는 문맥은 맞춤형 위협 조사에서 큰 역할을 합니다. 예를 들어, Windows 기본 명령 AT(at.exe)는 공격자가 사용할 수 있는 잠재력이 있지만, 관리자에 의해 사용되었을 가능성도 있습니다. 따라서 명령이 예약된 로컬 컨텍스트를 확인하는 것이 중요합니다. 위협 탐색가는 다음과 같은 질문을 할 수 있습니다:
- 이전에 무슨 일이 있었습니까?
- 나중에 무슨 일이 있었습니까?
- 네트워크에서 또 무슨 일이 있었습니까?
다른 네트워크에서 무슨 일이 있었습니까(위협 정보)
상황 인식과 보안 엔지니어의 전문성은 중요한 위협을 식별하고 분류하는 시간을 줄이는 데 있어 중요할 수 있습니다. 그러나 가설을 제기하기보다는 가설에 유리할 증거만 모으려고 하기 보다는 자신의 가정을 도전하는 것이 필요합니다. 정보 기반의 위협 탐색과 함께라면 특정 사건을 감지하는 방법을 알기 쉬워집니다. 왜냐하면 위협 정보 피드에서 본 것과 일치하는 특정 사건을 찾고 있기 때문입니다.
계층 방어
계층 방어에 논리적 이유는 간단합니다. 디지털 인프라의 모든 계층에서 보안을 구현하여 각 계층에서 공격을 차단하고, 다양한 방식으로 랜섬웨어를 식별할 수 있도록 합니다. 마치 보험처럼 하나의 계층이 맬웨어를 식별하지 못하면 다른 계층이 할 수 있다는 것입니다.
탐지를 탐색하십시오
검토 및 개선
마지막으로, 어떤 보안 정책도 영원히 유효하지 않습니다. 랜섬웨어 탐지 활동의 최적 효율성을 유지하기 위해 정기적인 평가, 분석 및 검토가 필요합니다.
보안 전문가들은 종종 묻습니다: 탐지 규칙이 실제로 작동하는지를 어떻게 확실히 할 수 있을까요? 소개된 Google의 탐지 및 대응 책임자 Tim Nguyen에 의해 “좋음은 수동 검토와 검증의 문제이다” 라고 말합니다. Google에서는 사례의 매트릭(예: 분류 시간 및 위협에 대한 실제 대응)과 같은 매트릭을 비교하여 매주 사례를 리뷰합니다. 이는 평균 탐지 시간(MTTD)을 추적하는 것과는 반대입니다.
2022년 가장 위험한 랜섬웨어
GuidePoint Research 및 정보 팀 에 따르면 Lockbit 2.0 이 2022년 2분기에 208명의 피해자를 공격한 가장 일관적인 랜섬웨어 행위자로 밝혀졌습니다. 보고서에서 언급된 다른 활동 그룹은 Conti, Alphv, 및 Blackbasta입니다. 연구원에 따르면 가장 타겟이 된 나라는 미국입니다. 2022년 6월 Lockbit 3.0 의 새로운 버전이 출시되었지만 그 이후의 랜섬웨어 운영자의 활동은 보고서에 다루어지지 않았습니다.
Digital Shadows 는 2022년 1분기에 비해 2분기 랜섬웨어 활동의 증가를 목격했습니다. 그들은 또한 대규모 데이터 유출 이후 악명 높은 Conti의 폐쇄와 Mandiant에 대한 가짜 Lockbit 공격을 논의하며 후자는 일부 정보를 공개했습니다. 거물들의 몰락과 많은 데이터 유출 웹사이트의 종료에도 불구하고, 신규 진입자의 증가가 신속하게 성장하는 모습을 보였습니다. Black Basta도 가장 활발한 그룹 중 하나로 언급됩니다. 최신 REvil 급습과 체포 이후 연구원들은 어떤 활동을 보았지만 큰 성공은 아니었습니다.
TechTarget은 랜섬웨어 공격 데이터베이스 를 만들었습니다 – 최근 공격을 빠르게 확인해 보십시오. 또한, Google의 위협 분석 그룹(TAG)은 최근 중요한 업데이트 를 제공했습니다 – CERT-UA 결과와 2022년 4월에서 8월까지 연구한 자료에 의거한 Conti 이후 활동에 대한 내용입니다.
최신 랜섬웨어 탐지
모든 위협의 타임라인과 문맥을 따라가는 것은 압도적일 수 있습니다. 보안 엔지니어는 SOC Prime의 사이버 위협 검색 엔진을 사용하여 최신 위협의 탐지를 추적할 수 있습니다. Sigma 규칙에 대한 즉시 접근 및 공급업체별 쿼리 형식은 TTP 적용 범위를 관리하면서 분류 시간을 줄이는 데 도움이 됩니다. 모든 탐지는 MITRE ATT&CK에 매핑되어 있으며 관련 CTI 문맥이 제공됩니다.
여기에서 가장 인기 있는 랜섬웨어 탐지 규칙을 확인하십시오:
그리고 귀하가 사이버 경험을 기여하고 수익화하고 싶다면, 세계의 보안 엔지니어들이 협력하여 연속적인 탐지 코드 콘텐츠의 흐름을 풍성하게 하는 크라우드소싱 이니셔티브인 위협 현상금 프로그램 을 확인하십시오.
