허메틱와이퍼 악성코드 탐지: CISA와 FBI 자문, 우크라이나 조직을 겨냥한 새로운 파괴적 사이버 공격 경고

2022년 1월 13일, 파괴적인 사이버 공격이 우크라이나를 강타하여 정부의 온라인 자산이 마비되었습니다. 이 공격에서 공격자는 WhisperGate라는 새로운 데이터 삭제 악성 코드를 이용했습니다.. 이 중대한 사건이 발생한 직후인 2월 23일, 사이버 보안 분석가는 HermeticWiper라는 또 다른 파괴적인 악성 코드가 우크라이나 조직을 목표로 하고 있음을 밝혀냈습니다. 이 새로 발견된 삭제 악성 코드는 마스터 부트 레코드를 제어하여 Windows 기기를 손상시키며, 이로 인해 연속적인 부팅 실패가 발생합니다.

HermeticWiper 악성 코드 탐지 및 완화

HermeticWiper 관련 악성 코드 활동을 탐지하고 조직의 인프라를 적시에 보호하기 위해 보안 전문가들은 최신 Sigma 기반 탐지를 다운로드할 수 있습니다. 이는 SOC Prime의 크라우드소싱 이니셔티브, Threat Bounty Program과 그 숙련된 개발자들의 도움으로 개발된 것입니다. Emir Erdoan and 과 과

. 모든 전용 탐지 콘텐츠는 SOC Prime의 Detection as Code 플랫폼에서 다운로드할 수 있습니다:

다음 SIEM, EDR, XDR 플랫폼에 대한 번역이 있는 탐지: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender for Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Qualys.

Sigma 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10와 일치하며, Impair Defenses (T1562)를 주요 기법으로, Disable or Modify Tools (T1562.001)의 하위 기술로 다룹니다.

특정 드라이버 설치를 통해 HermeticWiper의 가능성을 탐지

이 Sigma 규칙에는 다음 SIEM, EDR, XDR 플랫폼에 대한 번역이 있습니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Apache Kafka ksqlDB.

2022년 2월 26일, 사이버 보안 및 인프라 보안국(CISA)과 연방 수사국(FBI)은 공동 권고안을 발표하여 조직에 WhisperGate 및 HermeticWiper와 관련된 악성 활동에 대해 경고했습니다. 이 권고안은 이러한 악명 높은 데이터 삭제 악성 코드 계열에 의한 잠재적 악용으로부터 회사 인프라를 보호하는 방법에 관한 권장사항 및 지침을 제공합니다. HermeticWiper 완화는 조직 전반에 걸쳐 사이버 보안 탄력성을 향상시키기 위한 다음 단계가 포함됩니다:

1. 안티바이러스 및 안티멜웨어 프로그램을 통한 지속적인 모니터링 및 정기적인 스캔
2. 스팸 필터 소프트웨어를 활용하여 스피어 피싱 이메일 방지
3. 네트워크 트래픽 필터링 적용
4. 정기적인 소프트웨어 업데이트 실행
5. 다중 인증 활성화

HermeticWiper 분석

HermeticWiper라는 이름의 악성 코드는 해당 샘플을 위한 디지털 서명을 발행한 회사 이름에서 유래했습니다. 연구원들은 해커들이 인증서를 발행하기 위해 쉘 기업이나 비운영 회사를 이용했다고 추정합니다.

HermeticWiper의 배포 과정에서 이는 맞춤형 제한 기능 소프트웨어를 모방합니다. 샘플은 114KB로, 자원이 전체 부하의 약 70%를 차지합니다. 적대 세력은 가장 해로운 운영 요소를 실행하기 위해 양성적인 파티션 드라이버를 악용하는 오랜 시험 기법의 삭제 악성 코드 접근 방식을 채택하고 있습니다. 여러 해커 그룹이 파일에 대한 직접 사용자 액세스를 위해 EldoS RawDisk를 남용한 것으로 알려져 있으며, 이는 Windows API를 우회할 수 있습니다. 악성 코드가 실행되면 SeBackupPrivilege를 활성화하여 공격자에게 파일 읽기 권한을 부여합니다. HermeticWiper는 나중에 SeLoadDriverPrivilege를 추가하여 장치 드라이버의 로드 및 언로드를 허용하며, SEShutdownPrivilege를 추가하여 침해된 시스템을 종료할 수 있도록 합니다. 종료된 이후에는 부팅 프로세스를 실행할 수 없습니다. 현재 이 악성 코드의 삭제 기능 외 추가 기능은 식별되지 않았습니다.

계정에 가입하여 SOC Prime의 Detection as Code 플랫폼 을 통해 글로벌 사이버 보안 전문 지식의 힘으로 위협 탐지 기능을 강화하십시오. 자신의 탐지 콘텐츠를 기여하고 협력적 사이버 방어를 추진할 방법을 찾고 계십니까? 가입하여 SOC Prime의 크라우드소싱 이니셔티브 에 참여하여 자신의 Sigma 및 YARA 규칙을 제출하세요. 이를 플랫폼에 게시하고, 더 안전한 사이버 공간에 기여하며 기여에 대한 정기적인 보상을 받으세요!