AvosLocker 랜섬웨어 탐지: 드라이버 파일을 악용하여 백신 보호 비활성화, Log4Shell 취약점 스캔

최근 사이버 보안 연구에서는 AvosLocker 랜섬웨어 샘플이 Avast Anti-Rootkit Driver 파일을 악용하여 안티바이러스를 비활성화하는 사례를 발견했습니다. 이를 통해 공격자는 탐지를 피하고 방어를 차단할 수 있습니다. AvosLocker는 사이버 위협 분야에 등장한 비교적 새로운 랜섬웨어 계열로, 악명 높은 REvil을 대체하기 위해 나타났습니다. 이는 2021년까지 가장 활동적인 랜섬웨어 변종 중 하나로, 운영자 공식 종료까지 활동했었습니다.

이 최신 사이버 공격에서 AvosLocker 랜섬웨어는 또한 Log4Shell이라는 악명 높은 제로데이 취약점에 대해 엔드포인트 세트를 무기화하는 것으로 관찰되었습니다. AApache Log4j Java 로깅 라이브러리에서 발견된 이 취약점은 전 세계 수억 대의 디바이스를 타겟으로 삼아왔습니다. 이 랜섬웨어는 악성 Nmap NSE 스크립트를 활용하여 Log4Shell 스캔을 가능하게 합니다.

AvosLocker 랜섬웨어 탐지

우리의 예리한 Threat Bounty 개발자 Sittikorn Sangrattanapitak and 와와

이 출시한 아래의 Sigma 규칙은 AvosLocker 랜섬웨어와 관련된 최신 공격을 쉽게 탐지할 수 있게 해줍니다:

NMAP 도구를 사용한 Log4Shell 취약점으로 AvosLocker 랜섬웨어의 가능한 C&C 서버 콜백 (process_creation을 통해)

자동 로그인을 허용하기 위해 레지스트리를 수정하여 랜섬웨어 지속 가능성 (process_creation을 통해)

랜섬웨어 사건의 증가와 심각성은 더욱 많은 사용자에게 매일 위협을 가하고 있는 공격 표면을 확대하고 있습니다. AvosLocker 랜섬웨어와 관련한 탐지 콘텐츠에 대한 최신 정보를 유지하려면 SOC Prime 플랫폼에 등록하세요. 탐지 보기 버튼은 25개 이상의 SIEM, EDR, XDR 솔루션으로 번역된 전용 규칙 라이브러리로 이동합니다.

SOC Prime의 Threat Bounty Program은 경험이 있는 위협 헌터와 신규 위협 헌터 모두를 환영하여 Sigma 기반 탐지 콘텐츠를 기고하도록 하고, 전문가 코칭과 지속적인 수익을 제공합니다.

탐지 보기 Threat Bounty에 가입

AvosLocker 랜섬웨어 분석

2021년 7월 처음 관찰되었고 Ransomware-as-a-Service (RaaS) 모델로 활동하는 AvosLocker 랜섬웨어는 식음료 부문, 기술 및 금융 산업, 통신 및 정부 기관을 대상으로 하며, 인도, 캐나다, 미국이 가장 영향을 받은 국가로 드러났습니다. 이는 2021년 7월부터 2022년 2월까지 이어진 악성 활동을 기반으로 합니다. FBI와 FinCEN이 발행한 공동 사이버 보안 권고 에 따르면, AvosLocker 랜섬웨어는 금융 서비스와 정부 기관 등 미국의 중요한 인프라까지 타격을 줬습니다.

보안 분석가들의 새로운 연구에 따르면, AvosLocker 랜섬웨어의 새로운 변종이 전 세계를 휩쓸기 시작했으며, 감염된 장치에서 안티바이러스 솔루션을 비활성화한 것은 이 랜섬웨어 계열 중 처음입니다. 보안 분석가들의 새로운 연구에 따르면, AvosLocker 랜섬웨어의 새로운 변종이 전 세계를 휩쓸기 시작했으며, 감염된 장치에서 안티바이러스 솔루션을 비활성화한 것은 이 랜섬웨어 계열 중 처음입니다. security analysts, a new variant of AvosLocker ransomware began sweeping across the globe, standing out from other strains of this ransomware family as the first one to disable anti-virus solutions on the infected devices.

가장 가능성 있는 초기 접근 지점은 Zoho ManageEngine ADSelfService Plus (ADSS) 익스플로잇입니다. 성공적인 침투 후, 공격자는 mshta.exe를 시작하여 C&C 서버에서 HTML 애플리케이션 (HTA) 파일을 원격으로 실행합니다. 이 HTA는 셸코드가 포함된 난독화된 PowerShell 스크립트를 실행하여 서버에 연결하고 호스트 운영 체제에서 임의의 명령을 실행할 수 있도록 하였습니다. 또한, PowerShell은 원격 데스크톱 도구인 AnyDeskMSI를 다운로드하고 실행하여 랜섬웨어 페이로드를 배포하고 시스템 손상을 위한 도구를 활용합니다.

악명 높은 Log4Shell 취약점(CVE-2021-44228로 추적됨)에 대한 스캔 외에도 AvosLocker 랜섬웨어는 다른 패치되지 않은 취약점을 타겟으로 하여 네트워크에 침투합니다. 이 AvosLocker 랜섬웨어의 새 변종은 안티바이러스 소프트웨어를 비활성화하기 위해 드라이버 파일 (Avast Anti-Rootkit Driver)을 악용하여 은밀한 존재를 확립합니다. 방어를 비활성화한 후, AvosLocker 운영자는 Mimikatz 및 Impacket을 포함한 다른 도구를 전달합니다.

적들은 PDQ라는 소프트웨어 배포 도구를 사용하여 대상 시스템에 악성 배치 스크립트를 전송합니다. 이 배치 스크립트는 다양한 기능을 가지고 있으며, Windows 오류 복구나 Windows 업데이트와 같은 여러 Windows 제품의 프로세스를 종료할 수 있는 능력을 포함하고 보안 소프트웨어 안전 부팅 실행을 금지하고, 새로운 관리자 계정을 생성하며, 감염 확산을 위한 악성 코드를 실행할 수 있습니다.

사이버 보안 산업과 관련된 최신 이벤트를 파악하기 위해서는 SOC Prime 블로그를 팔로우하세요. 탐지 콘텐츠를 배포하고 협력적 사이버 방어를 촉진하는 신뢰할 수 있는 플랫폼을 찾고 있나요? Sigma 및 YARA 규칙을 커뮤니티와 공유하고 사이버 보안에 긍정적인 변화를 주도하며 기여에 대한 안정적인 수익을 얻기 위해 SOC Prime의 크라우드소싱 프로그램 에 가입하세요!