LockBit 3.0 랜섬웨어 공격 탐지: Microsoft Defender 악용하여 Cobalt Strike 비콘 배포

LockBit 위협 행위자들은 최근 사이버 분야에서 주목받고 있습니다. 2022년 7월, 해킹 집단은 최초로 버그 바운티 프로그램 을 랜섬웨어 갱에서 출시해 큰 화제가 되었습니다. 최신 사이버 공격에서, 악명 높은 랜섬웨어 그룹은 합법적인 Microsoft Defender의 명령줄 유틸리티를 악용하여 Cobalt Stike 비콘을 타겟 시스템에 배포하고 연속적인 분석 방지 기법을 사용하여 탐지를 회피합니다.

LockBit 공격 탐지: Microsoft Defender를 악용한 Cobalt Strike 비콘 배포

2022년 6월에 등장한 이후, LockBit 3.0(일명 LockBit Black) 랜섬웨어 버전은 전 세계 기업에 점점 커지는 위협을 제기하고 있습니다. 이 새로운 변종은 고급 기능을 갖추고 있으며 새로운 전술을 활용하여 감염률을 높이고 RaaS(서비스로서의 랜섬웨어) 링 계열사에게 이익을 보장합니다. 보안 전문가들이 최신 LockBit 캠페인과 관련된 악성 활동을 식별할 수 있도록 SOC Prime 팀은 Microsoft Defender 남용을 통한 Cobalt Strike 비콘 사이드로딩을 탐지할 수 있는 큐레이팅된 Sigma 규칙을 발표했습니다.

MpClient.dll 하이재킹 가능성 (image_load 경유)

이 탐지는 20개의 SIEM, EDR, XDR 플랫폼으로 번역을 지원합니다. 이 규칙은 MITRE ATT&CK® 프레임워크 v.10에 매핑되어 있으며, 방어 회피 전술을 다루며 주요 기법으로 DLL 검색 순서 하이재킹(T1059)을 사용합니다.

새로운 위협을 탐지하는 자신의 Sigma 규칙을 만들어 세상을 더 안전한 곳으로 만들고 싶으신가요? 우리의 위협 바운티 프로그램 에 가입하여 사이버 방어자들에게 Sigma 기반 탐지 알고리즘을 공유하고 기여에 대해 반복적인 보상을 받으세요.

LockBit 해커와 연관된 모든 랜섬웨어 변종을 탐지하는 Sigma 규칙의 전체 목록은 모든 등록된 Detection as Code 플랫폼 사용자에게 제공됩니다. Detect & Hunt 버튼을 누르고 Threat Detection Marketplace 리포지토리에서 이용 가능한 알고리즘 전용 목록에 접근하세요. 비등록 사용자는 우리 사이버 위협 검색 엔진을 통해 MITRE ATT&CK 컨텍스트와 CTI 링크가 첨부된 관련 Sigma 규칙에 접근할 수 있습니다. Explore Threat Context 버튼을 눌러 간소화된 콘텐츠 검색을 시도하세요.

Detect & Hunt Explore Threat Context

LockBit 랜섬웨어 공격 분석: Cobalt Strike 비콘 사이드로딩 최신 캠페인

LockBit 3.0 (일명 LockBit Black)은 LockBit RaaS 계열 의 다음 버전으로 사이버 위협 분야에 다시 부활했으며, 더욱 정교한 기능으로 강화되고 분석 방지 및 디버깅 방지 기법을 갖추고 있습니다. LockBit 운영자들의 RaaS 모델을 활용한 적대적 활동은 2019년부터 시작되어 적용된 악성 변종의 신속한 진화와 확장된 도구의 무기고로 걸어왔습니다. 2020-2021년 동안 LockBit은 다양한 공격 벡터와 적대적 기법을 이용해 감염을 확산시키는 가장 활발하고 악명 높은 악성 변종에 속했습니다. 일반적으로, 랜섬웨어 유포자는 피싱 이메일 공격 벡터를 사용하여 손상된 환경에 초기 접근을 획득한 후 정찰 단계로 이동하여 측면 이동을 수행하고 감염 프로세스를 진행했습니다. 2021년 6월에 랜섬웨어 갱은 업그레이드된 버전인 LockBit 2.0을 출시하며 패치되지 않은 취약점, 제로데이 익스플로잇을 무기화하고 다양한 적대적 TTP를 활용했습니다.

악명 높은 RaaS 운영의 최신 버전은 Microsoft Defender 도구를 악용하여 감염된 시스템에 Cobalt Strike 페이로드를 배포합니다. LockBit 공격 체인은 악의적인 Log4Shell 취약점 을 통해 손상된 VMWare Horizon 서버에서 PowerShell 코드를 실행하여 초기 접근을 획득하는 것으로 시작됩니다. 필요한 사용자 권한을 획득한 후, 공격자들은 사후 악용 도구를 실행하고 Cobalt Strike 비콘을 로드하려고 시도합니다. 합법적인 Microsoft Defender 명령줄 유틸리티 MpCmdRun.exe 는 악성 DLL 파일을 사이드로딩하는 데 적용되어, 페이로드를 해독하고 배포합니다.

LockBit 랜섬웨어 운영자들이 Living-off-the-Land 도구를 통한 적대적 도구 세트를 확장함에 따라, 이와 같은 규모와 정교함을 갖춘 까다로운 랜섬웨어 공격을 적시에 탐지하기 위해서는 사이버 방어자들의 주의가 필요합니다. SOC Prime의 Detection as Code 플랫폼 은 사이버 보안 전문가들이 위협 탐지 역량을 매끄럽게 강화하고 위협 사냥 속도를 높이면서 현재와 신규 랜섬웨어 공격에 앞서 끊임없이 대비할 수 있도록 합니다. 경험 많은 탐지 엔지니어와 위협 사냥꾼들은 지원을 참여하여 탐지 콘텐츠로 협력적 전문성을 풍부하게 하고, 자신들의 기여를 통해 수익을 창출하며 사이버 방어의 미래에 기여할 것을 촉구합니다. 위협 바운티 프로그램 to enrich the collaborative expertise with their detection content, monetize their input, and contribute to the future of cyber defense.