SOC Prime로 DarkSide 랜섬웨어 탐지하기
목차:
상대적으로 새로운 사이버 위협 분야에서 다크사이드 랜섬웨어는 세계 유수의 판매자들에 대한 성공적인 공격으로 인해 뉴스 헤드라인을 계속 차지하고 있습니다. 최근 침입 목록에는 수백만 달러의 몸값을 지불한 화학 유통 회사 Brenntag와 미국 동부 연안에 연료 공급을 제공하는 Colonial Pipeline이 포함되어 있습니다.
다크사이드 랜섬웨어 개요
2020년 8월 러시아어로 된 지하 포럼에 등장한 이후, 다크사이드는 제3자 적대자를 이용해 감염 및 네트워크 암호화를 수행하는 인기 있는 서비스형 랜섬웨어(RaaS) 위협이 되었습니다. 성공적인 공격일 경우 다크사이드 개발자는 수익의 20-30%를 얻습니다. 특히, 랜섬웨어 유지자는 엄격한 규칙을 따르며, 제휴자가 의료, 교육, NGO 및 공공 부문에서 운영하는 회사를 대상으로 하는 것을 금합니다. 더불어, 다크사이드 갱은 큰 사업들만을 대상으로 하도록 파트너들에게 지시하면서 큰 게임을 하려고 합니다.
다크사이드의 악명을 더하기 위해, 랜섬웨어 유지자는 이중 협박의 최근 트렌드를 지지합니다. 특히, 해커들은 공격 중 민감한 데이터를 암호화할 뿐만 아니라 기밀 정보를 탈취합니다. 따라서, 기업은 백업에서 정보를 복구할 수 있는 능력에도 불구하고 데이터 유출을 방지하기 위해 몸값을 지불해야 합니다.
희생자에게 최대한의 압력을 가하기 위해, 2021년 3월에 다크사이드 운영자는 전용 ‘콜 서비스’를 제작하여 해커들이 바로 관리 패널에서 목표를 호출할 수 있도록 했습니다. 또한, 다크사이드는 미디어 보도가 활발하고 정기적인 방문이 있는 데이터 유출 사이트를 유지하고 있습니다. 앞서 언급한 방법들이 효과가 없다면, 2021년 4월 이후로 다크사이드 제휴자들은 목표를 공격하여 몸값을 지불하도록 압박하기 위해 분산 서비스 거부(DDoS) 공격을 가할 수 있는 능력을 갖추고 있습니다.
공격 킬 체인
다크사이드 운영자들은 일반적으로 초기 감염을 위해 피싱, 원격 데스크톱 프로토콜(RDP) 남용 또는 알려진 취약성을 활용합니다. 추가로, 적대자들은 합법적인 도구를 악의적으로 이용하여 탐지를 회피하고 그들의 활동을 가립니다.
침입 후, 공격자들은 도메인 컨트롤러(DC) 또는 액티브 디렉토리에 접근하기 위해 손상된 네트워크 내에서 횡적 이동을 수행합니다. 이 작업의 목표는 자격 증명을 덤프하고, 권한을 상승시키며, 데이터 추출에 사용될 수 있는 다른 중요한 자산을 식별하는 것입니다. 이는 랜섬웨어 운영자가 후속 이중 협박을 위해 중요한 기업 데이터를 식별할 수 있게 해주는 공격의 매우 중요한 단계입니다.
공격 킬 체인의 다음 단계는 다크사이드 랜섬웨어 실행입니다. 위협 행위자들은 일반적으로 Certutil 및 Bitsadmin 도구를 사용하여 랜섬웨어를 다운로드합니다. 암호화 방법은 대상 운영체제에 따라 다릅니다. 리눅스의 경우, 적대자들은 ChaCha20 스트림 암호와 RSA-4096을 적용합니다. 그리고 윈도우 장치에는 RSA-1024와 함께 Salsa20이 사용됩니다. 암호화 후, 랜섬웨어는 네트워크에서 그림자 복사본을 삭제하고 랜섬 노트를 떨어뜨리기 위해 Powershell 명령을 활용합니다.
다크사이드 피해자
다크사이드 유지자는 회사의 재무 기록을 분석하고 가장 수익성이 높은 회사를 선택하여 피해자를 정합니다. 이 정보는 또한 해커에게 협박 몸값의 금액을 결정하는 데 도움을 줍니다. 일반적인 수치는 $200,000에서 $2백만까지 다양합니다. <영문으로: 연구에 따르면, Trend Micro에 따르면, 다크사이드 운영자는 40개 이상의 주요 조직을 대상으로 하였으며, 대부분 미국, 프랑스 및 벨기에에 위치해 있습니다. 특히, 다크사이드는 CIS 국가에 있는 회사를 대상으로 삼지 않습니다.
2021년 5월 7일, 다크사이드는 Colonial Pipeline을 성공적으로 공격하여 인프라의 일부를 폐쇄하도록 강요했습니다. 이 사건은 미국 동부 해안 공급에 막대한 영향을 미쳤으며, 18개 주에서 휘발유, 디젤, 주택 난방 및 기타 부족을 초래했습니다. FBI<영문으로: 확인하였으며,> 이 공격의 책임이 다크사이드에 있음을 높은 수준의 신뢰도로 확인하였습니다. 또한, 상대방 그룹이 동유럽 출신이라고 추측하였으며, 2021년 5월 14일에 다크사이드는 성공적으로 hit Brenntag 화학물질 유통업체를 공격하여 데이터 복원을 위해 $4.4 백만의 몸값을 지불하도록 강요하였습니다.
다크사이드 탐지
다크사이드 감염으로부터 회사의 인프라를 보호하기 위해, SOC Prime 팀이 숙련된 위협 보상 개발자들과 협력하여 개발한 Sigma 규칙 세트를 다운로드할 수 있습니다.
가능한 Powershell 난독화 지표(명령줄을 통해)
또한, 우리는 다크사이드 개요에 대한 심층적인 기사를 살펴볼 것을 권장합니다. 이 맥락 정보는 Emanuele De Lucia, 우리의 위협 보상 멤버가 제공한 것이며, 기사에는 기존 탐지 콘텐츠에 대한 설명과 함께 랜섬웨어 탐지에 대한 귀중한 세부 정보가 포함되어 있습니다.
Threat Detection Marketplace에 가입하여 사이버 방어 운영을 강화할 수 있는 세계 최고의 Detection as Code 플랫폼을 활용하십시오. SOC Prime의 라이브러리는 23개 시장 선도의 SIEM, EDR, NTDR 기술에 맞춘 100,000개 이상의 쿼리, 파서, SOC 준비 대시 보드, YARA 및 Snort 규칙, 머신 러닝 모델, 사고 대응 플레이북 등을 제공합니다. 위협 사냥 이니셔티브에 참여하고 싶으신가요? 더 안전한 미래를 위해 Threat Bounty 프로그램에 참여하십시오!
