DoppelPaymer 랜섬웨어 탐지
목차:
DoppelPaymer 랜섬웨어는 주요 인프라 자산에 대한 주요 위협으로 급부상하고 있습니다. FBI 경고에 따르면 2020년 12월에 발표된 DoppelPaymer는 의료, 교육, 정부 및 기타 부문의 여러 조직을 대상으로 삼았습니다. 공격 과정은 매우 정교하고 공격적이어서 운영자가 피해자에게 6자리에서 7자리의 몸값을 요구할 수 있게 합니다. 특히, 위협 행위자는 암호화 전에 데이터를 탈취하여 추가적인 협박 수단으로 수익을 증대합니다.
DoppelPaymer 랜섬웨어 개요
DoppelPaymer는 TA505 (EvilCorp) 악성 도구 세트의 일환으로 2019년 6월에 등장했습니다. 그 이후로 랜섬웨어는 멕시코의 주유사, 칠레의 농림부, 미국의 Farmingdale의 Apex Laboratory, 독일의 주요 응급 서비스 등 고위 프로파일 표적 목록을 광범위하게 손상시켰습니다. 평균 협박 금액은 약 25,000달러에서 1,200,000달러 이상으로 다양합니다. 그리고 최종 수익은 훨씬 더 클 수 있습니다. DoppelPaymer가 데이터를 암호화할 뿐만 아니라 대상 네트워크에서 데이터를 탈취할 수 있기 때문입니다. 도난당한 민감한 정보는 TA505 행위자에 의해 협박에 사용됩니다. 2020년에 악성 소프트웨어 운영자는 위협의 심각성을 입증하기 위한 전용 데이터 유출 웹사이트를 소개했습니다. 행위자는 피해자를 결제하도록 유도하기 위해 전화 통화를 사용한다는 점은 주목할 만합니다. 이 접근 방식은 TA505를 매우 침입적인 방식으로 운영하는 최초의 그룹 중 하나로 만들었습니다.
그렇다면 DoppelPaymer 랜섬웨어란 무엇입니까? 연구자들의 분석에 따르면 , DoppelPaymer는 BitPaymer 악성코드의 업그레이드된 후속 버전입니다. 두 변종은 공통점이 많지만, DoppelPaymer는 다른 암호화 스킴(2048비트 RSA + 256비트 AES)을 사용하며 멀티스레드 파일 암호화 접근 방식을 추가합니다. 또한, 이 악성코드는 올바른 명령줄 매개변수가 각 샘플에 필요하여 더 나은 회피 전술을 적용합니다. 마지막으로, DoppelPaymer는 서비스 및 프로세스 종료에 효과적인 ProcessHacker 기술을 갖추고 있습니다., DoppelPaymer is an upgraded successor of BitPaymer malware. Both strains have much in common, however, DoppelPaymer uses a different encryption scheme (2048-bit RSA + 256-bit AES) and adds a threaded file encryption approach. Also, the malware applies better evasion tactics, requiring a correct command line parameter for each sample. Finally, DoppelPaymer is armed with the ProcessHacker technique effective for services and processes termination.
랜섬웨어 공격 루틴
DoppelPaymer 랜섬웨어 설명에 따르면 , 다단계 감염 스킴 및 매우 정교한 작업 루틴을 적용합니다. 특히 공격은 spear-phishing 또는 스팸을 통해 배포되는 악성 문서로 시작됩니다. 피해자가 첨부 파일을 열거나 링크를 따라가면 사용자의 기계에서 악성 코드가 실행되어 네트워크 침해에 사용되는 다른 구성 요소가 다운로드됩니다. , it applies a multi-stage infection scheme as well as a highly sophisticated operation routine. Particularly, the attack starts with a malicious document distributed via spear-phishing or spam. In case the victim was lured to open the attachment or follow the link, malicious code is executed on the user’s machine to download other components used for network compromise.
이 구성 요소 중 첫 번째는 Dridex의 로더로 작동하는 악명 높은 Emotet 변종입니다. Dridex는 DoppelPaymer 페이로드를 떨어뜨리거나 Mimikatz, PsExec, PowerShell Empire, Cobalt Strike 등의 추가 악성 콘텐츠를 다운로드합니다. 이 악성 소프트웨어는 자격 증명 덤프, 횡적 이동, 목표 네트워크 내부의 코드 실행 등 다양한 목적에 사용됩니다.
주목할 만한 점은, Dridex는 보통 위협 행위자가 민감한 데이터를 찾기 위해 환경을 이동하는 동안 DoppelPaymer 감염을 지연시킨다는 것입니다. 한 번 성공하면 랜섬웨어는 피해자의 파일을 네트워크 내 및 관련 고정 및 이동식 드라이브에서 암호화하기 시작합니다. 마지막으로, DoppelPaymer는 사용자 비밀번호를 변경하고 시스템을 안전 모드로 실행하며 사용자의 화면에 몸값 요구 메시지를 표시합니다.
Emotet 및 Dridex 외에도 DoppelPaymer 개발자는 악성 관점을 확장하기 위해 Quakbot 운영자와 협력합니다. 위협 행위자는 Quakbot 악성코드를 Dridex와 유사하게 사용하여 네트워크 침투, 권한 상승, 환경 간 횡적 이동을 수행합니다. partner with Quakbot operators to expand the malicious perspectives. Threat actors use Quakbot malware similarly to Dridex: for network penetration, privilege escalation, and lateral movement across environments.
DoppelPaymer 탐지 콘텐츠
DoppelPaymer 랜섬웨어 감염을 감지하고 파괴적인 결과를 방지하기 위해, 위협 현상금 개발자이자 활성 위협 탐지 마켓플레이스 라이브러리 기여자인 Osman Demir로부터 새로운 Sigma 규칙을 다운로드할 수 있습니다: Osman Demir.
https://tdm.socprime.com/tdm/info/49hsC8xRKiaj/7sfZ9nYBTwmKwLA9U_OJ/
규칙은 다음 플랫폼으로 번역되었습니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.
MITRE ATT&CK:
전술: Impact, Defense Evasion
기술: 데이터 암호화를 통한 Impact (T1486), 파일 및 디렉터리 권한 수정 (T1222)
무료로 가입 하여 위협 탐지 마켓플레이스에서 가장 관련성 높은 SOC 콘텐츠를 찾아보세요. Sigma 규칙을 직접 작성하고 싶나요? 환영합니다! 우리의 Threat Bounty Program에 참여하여 위협 사냥 이니셔티브에 기여하세요.eat hunting initiatives.
