포보스 랜섬웨어 탐지: EKING 공격에 맞서는 SOC 콘텐츠

[post-views]
10월 16, 2020 · 3 분 읽기
포보스 랜섬웨어 탐지: EKING 공격에 맞서는 SOC 콘텐츠

Phobos 랜섬웨어는 비교적 새로운 랜섬웨어 패밀리로, Dharma (CrySis)에 기반을 두고 있으며, 2016년 이래로 악명이 높습니다. Phobos의 첫 흔적은 2019년 전환기에 발견되었습니다. SOC Prime Threat Detection Marketplace, 세계 최대의 SOC 콘텐츠 플랫폼으로, 85,000개 이상의 콘텐츠 항목을 포함한 라이브러리에서 Phobos 랜섬웨어 탐지 시나리오를 제공합니다. Phobos 랜섬웨어의 EKING 변종은 2020년 10월에 새로 등장하였으며, 공격에 적용되었습니다 정부 조직을 목표로 한 공격에서 사용되었습니다. EKING은 감염된 장치에 저장된 중요한 데이터를 암호화하고 백업 복사본을 삭제하는 파일 인코딩 맬웨어입니다. 감염된 데이터를 복호화하는 것은 조직에게 어려운 도전 과제를 제시하는데, 왜냐하면 유효한 암호화 도구를 소유한 유일한 사람은 EKING 개발자이며, 이들은 해당 도구를 위해 몸값을 요구하기 때문입니다. 

Phobos 랜섬웨어란 무엇인가?

Phobos 랜섬웨어 패밀리에 속하는 맬웨어는 해킹된 RDP 연결을 통해 퍼집니다. Phobos는 일반적으로 RDP 서버를 손상시키고 조직의 네트워크에 침투하여 가능한 한 많은 시스템을 감염시켜 손상된 데이터를 복호화하기 위한 큰 몸값을 얻고자 합니다. 그러나 많은 피해자들이 사이버 범죄자들에게서 많은 돈을 지불했음에도 불구하고 복호화를 받지 못했습니다. 

아마도 이것이 2020년 10월에 EKING이 주목받았던 이유 중 하나일 것입니다. 파일래 몇몇 확인된 사례들에서 EKING이 피싱 이메일을 통해 퍼졌다는 것이 확인되었습니다. 이 Phobos 랜섬웨어 변종은 악성 매크로 코드가 포함된 MS Word 문서 형태로 나타났으며, 이 코드는 조직의 네트워크에 EKING을 전파하려고 합니다. 

Phobos 랜섬웨어는 어떻게 컴퓨터에 침투하나요?

FortiGuard Labs로부터의 신규 분석 에 따르면, 피해자가 피싱 이메일에 첨부된 MS Word 문서를 여는 순간 시스템에 악성 바이너리가 진입하는 방법을 보여줍니다. 이 랜섬웨어는 감염된 기기의 파일을 암호화할 뿐만 아니라 새로 연결된 논리 드라이브와 네트워크 공유 리소스를 목표로 합니다. 암호화 프로세스를 가속화하기 위해 EKING은 각 논리 드라이브에 대해 두 개의 스캔 스레드를 생성합니다. 그 중 하나는 데이터베이스와 관련된 파일을 찾고 암호화합니다. 맬웨어는 파일의 이름을 변경한 후, 몸값 메시지를 생성합니다. 이 메시지는 손상된 사용자가 적들과 연락을 취하고 추가 지침을 받을 것을 촉구합니다. 

Phobos 랜섬웨어 탐지 콘텐츠

Threat Detection Marketplace 콘텐츠 라이브러리의 가장 활발한 기고자 중 한 명이자, Threat Bounty Program의 개발자인 Emir Erdogan이 최근에 발표한 새로운 커뮤니티 Sigma 규칙 은 조직들이 EKING 랜섬웨어 공격으로부터 보호할 수 있도록 돕습니다: 

이 규칙은 다음의 SIEM, EDR 및 기타 보안 도구에 대한 번역을 포함합니다:

  • SIEMs: Azure Sentinel, Sumo Logic, Humio, Elastic Stack, ArcSight, QRadar, Splunk, Graylog, RSA NetWitness, LogPoint
  • EDRs: Carbon Black
  • Chronicle Security
  • Apache Kafka ksqIDB
  • Microsoft PowerShell
  • Regex Grep

다른 SIEM, EDR 및 NTDR 기술에 대한 지원은 곧 제공될 예정입니다.

출시된 규칙은 또한 MITRE ATT&CK® 프레임워크와 매핑되어 있으며, 다음 ATT&CK 전술 및 기술을 다룹니다: 

  • 전술: 영향, 실해
  • 기술: 영향을 위한 데이터 암호화 (T1486), 사용자 실행 (1204)

Threat Detection Marketplace로 사이버 방어를 강화할 준비가 되셨나요? 무료로 가입하세요. 혹은 Threat Bounty Program에 참여하여 자신의 SOC 콘텐츠를 만들고 전체 Threat Detection Marketplace 커뮤니티에 공유하세요.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물