인간 운영 랜섬웨어 공격에서 해커가 적용한 오용된 정품 도구 탐지
목차:
꾸준히 변화하는 사이버 위협 환경과 점점 더 정교해지는 적의 도구킷으로 인해 사이버보안 전문가들 간 정보 교환은 매우 가치가 있습니다.
2023년 1월 25일과 26일, 글로벌 사이버 수호자 커뮤니티는 여섯 번째 JSAC2023회의 보안 분석가들을 대상으로 이 분야의 전문성을 향상시키기 위해 개최했습니다. 이 연례 사이버 보안 이벤트는 엔지니어들이 한자리에 모여 사고 분석과 대응 중심의 활발한 지식 공유를 촉진합니다.
컨퍼런스 첫날, 일본의 사이버 보안 소프트웨어 회사인 트렌드 마이크로를 대표하는 Toru Yamashige, Yoshihiro Nakatani, Keisuke Tanaka는 사람 주도로 운영되는 랜섬웨어에 의해 악용되는 일반 IT 운영용 상업적으로 개발 및 배포된 도구에 대해 이야기했습니다. 이 발표에서 트렌드 마이크로 팀은 실제 사용 사례를 다루고 남용된 합법적 도구의 이면을 밝히며 이 도구킷을 이용한 사이버 공격을 방지하는 팁을 공유했습니다.
합법적인 도구를 남용하는 공격을 탐지하기 위한 Sigma 규칙
사람 주도로 운영되는 랜섬웨어의 배후에 있는 적들은 종종 방어 메커니즘을 피하는 수단으로 합법적인 도구를 악용합니다. SOC Prime 팀은 원격 관리 소프트웨어 및 백업/동기화 소프트웨어와 같은 활동 상업 도구를 악용하는 사이버 공격을 사전에 탐지할 수 있도록 하기 위해 관련 Sigma 규칙 세트를 큐레이션합니다. 정리된 탐지 콘텐츠 검색을 위해, 모든 규칙은 해당 태그 “abuse_legit_sync_and_rmm_tools”로 필터링됩니다. 탐지는 MITRE ATT&CK 프레임워크 v12과 정렬되어 14개의 적 기술을 다루며 28개 이상의 SIEM, EDR 및 XDR 솔루션에 적용할 수 있습니다.
아래의 탐지 탐색 버튼을 클릭하여 위에서 언급한 Sigma 규칙에 접근하여 이러한 유형의 사이버 공격에 완전히 대비하십시오. ATT&CK 및 CTI 참고자료, 완화 조치 및 실행 파일을 포함한 사이버 위협 컨텍스트를 파헤쳐 항상 정보를 숙지하십시오.
위에서 언급한 Sigma 규칙은 이미 설정된 필터를 회사의 필요에 맞게 적용할 때 더 효과적이며 거짓 양성이 발생할 가능성이 낮습니다. 예를 들어, TeamViewer를 활용하는 회사의 경우, 한 조직에는 수용할 수 있는 일부 예외를 만들어야 하지만 다른 조직에는 관련이 없을 수 있습니다.
사람 주도로 운영되는 랜섬웨어 캠페인에서 합법적인 도구를 남용하는 사이버 공격 분석
According to Check Point에 따르면, 랜섬웨어 운영자들은 더 큰 통제력과 수익성 때문에 사람 주도로 운영되는 랜섬웨어로 대부분 전환했습니다. 사람 주도로 운영되는 랜섬웨어는 공격자가 환경에 접근하여 설정된 위치에 랜섬웨어를 배포하여 더 큰 충격을 주기 위해 목표 시스템에 심어지고 실행됩니다. 따라서 사람 주도로 운영되는 랜섬웨어 공격은 더욱 중대하고 목표로 설정할 수 있습니다.
사람 주도로 운영되는 랜섬웨어의 예 중 하나는 Ransom X입니다. 실행 후에 콘솔이 열리며 실행 중에 적에게 정보를 표시하고 원격 액세스 도구, 보안 소프트웨어, 데이터베이스 및 메일 서버를 비활성화하여 공격자가 목표 시스템의 데이터를 더욱 위험에 맞게 조작하고 감염을 확산시킬 수 있습니다.
1월 25일, 트렌드 마이크로의 사이버 보안 전문가들이 연례 JSAC2023 회의에서 합법적인 상업 도구를 악용하는 사이버 공격과 그러한 침입에 대한 방어 방법에 대해 일본에서 보안 분석가들과 통찰을 공유했습니다.
2023년 3월 13일, JPCERT/CC는 JSAC2023 의 첫날 발표된 발표의 개요를 발표했으며, 이 중 트렌드 마이크로의 보고서 하이라이트도 포함되어 있습니다. 연사들은 Atera, Remote Utilities, Ngrok 또는 AnyDesksk와 같이 실제로 해킹 사례가 있는 합법적인 원격 관리 도구뿐만 아니라 RCLONE 및 MEGA TOOLS와 유사한 클라우드 기반 파일 공유 유틸리티가 사람 주도로 운영되는 랜섬웨어 캠페인에서 어떻게 남용될 수 있는지 공유했습니다.
트렌드 마이크로에 따르면, 이러한 도구킷을 활용하는 사이버 공격에 대한 가장 효과적인 대응책은 통신 목적지 제어 및 애플리케이션 설치 및 실행을 철저히 모니터링하고 시각화하는 것입니다.
2021-2023 년 동안,랜섬웨어는 여전히 사이버 위협 환경에서 지배적인 트렌드 중 하나를 유지하고 있으며, 침입의 정교함 증가 및 급속히 증가하는 랜섬웨어 계열의 수로 나타납니다. 따라서 사전 탐지가 조직의 사이버 보안 태세를 강화하는 핵심입니다. 항상 적보다 한 발 앞서기 위해 현재 및 신규 랜섬웨어 공격을 식별하기 위한 650개 이상의 Sigma 규칙을 얻으십시오. 접근 30개 이상의 규칙은 무료로 또는 On Demand에서 전체 탐지 스택에 접근하십시오 http://my.socprime.com/pricing.
