Petya.A / NotPetya는 AI 기반 사이버 무기이며, TTPs는 Sandworm APT 그룹으로 연결됩니다
보안 산업에는 뜨거운 여름이었습니다: 초기에는 랜섬웨어로 의심되었던 Petya.A가 외관상의 모습보다 훨씬 더 복잡한 것으로 밝혀진 지 일주일도 채 되지 않았습니다.세계 각국의 보안 연구원들은 합당하게 이 악성 소프트웨어를 NotPetya 및 EternalPetya라고 명명했으며, 이 악성 소프트웨어는 절대 몸값을 요구하기 위해 만들어진 것이 아니었습니다 – APT 공격의 와이퍼 컴포넌트를 위한 단순한 위장이었습니다. 우크라이나에서 사이버 전쟁의 중심에서 약 16일 간의 현장 조사 및 실험실 조사 후, 우리는 예비 TTP를 발표할 수 있습니다. 대부분의 세계가 또 다른 WannaCry 클론을 성공적으로 해결했지만, 우크라이나는 아마도 최초의 AI로 작동하는 사이버 무기에 의해 타격을 받았습니다. 더 전통적인 방법은 이를 자율적인 웜 컴포넌트를 가진 APT 캠페인으로 발표하는 것이겠지만, 아직 배울 것이 많습니다. 오늘날까지 우리 파트너, 고객 및 친절한 보안 연구원의 도움으로, 우리 팀은 악명 높은 Sandworm APT 그룹을 가리키는 TTP를 수집했습니다. 이들은 이전에 우크라이나에서 전력망 장애로 이어진 BlackEnergy 공격의 배후에 있던 동일한 행위자였습니다. TTP에 대해 간단히 되짚어 보겠습니다:
리버스 엔지니어링 보고서에서 모든 해시, IP 및 도메인 값을 확인할 수 있습니다 Microsoft, 현지 우크라이나 포렌식 회사 ISSP Labs와 Vulners의 GitHub 스레드에서. 우리는 MITRE ATT&CK 오픈 방법론을 사용하여 TTP를 설명할 것입니다(매일 업데이트됩니다).
공격을 완전히 설명하고 행위자를 명확히 하기 위해서는 현장에서 증거를 수집해야 하는 전송 단계(Delivery phase)를 포함해야 합니다. 프레임의 색상의 상태는 어떻습니까? 보안 산업은 공격 세부 사항을 공유할 때 표준이 부족합니다. 물론 STIX 및 TIP의 구현이 있지만, NotPetya와 WannaCry에서는 잘 작동하지 않았죠? 그래서 저는 모두가 사용할 수 있도록 오픈 표준을 제안하고 싶습니다. 아이디어는 이러한 발병 동안 우리가 의지할 수 있는 다양한 IOC와 기법이 있으며, 보안 분야에서는 어떤 샘플이 관련이 있고 어떤 것이 그렇지 않은지에 대한 완전한 혼돈이 존재한다는 것입니다. 저는 이것이 IOC 태깅에 대한 오픈 표준으로 소개될 수 있을 것이라 제안합니다(TLP와 혼동하지 말 것): 회색, 가중치: 1 – 가설. 주로 이는 누군가가 책임을 물으며 – 이 위협 종류를 알고 있으니 가능할 것이라고 말하는 것입니다. 예를 들어 랜섬웨어는 종종 Tor를 사용하고, APT 행위자들도 그렇기 때문에 Tor 연결을 확인해야 합니다. 또한, APT가 DNS 터널을 폴백 채널로 사용하는 것을 본 적이 있으므로 그것도 찾아봅시다. 노란색, 가중치: 2 – 외부 위협 인텔, 샌드박스, OTX 펄스 등에서의 IOC. 이것들이 훨씬 나을 수는 있지만 회색 여전히 100% 신뢰할 수 없습니다. OTX 펄스를 속일 수 있습니다. 연구원들은 위협을 처음으로 주장하려고 서두는 과정에서 실수할 수 있습니다. SIEM에서 1+2를 추가하면 Ransomware가 Tor를 사용하고 TI가 C2 및 Tor로 태그된 IP:포트를 게시한다는 사실을 알아낼 수 있습니다. 파란색, 가중치: 3 – 현장의 IOC, 즉 파란 팀에서의 것. 이는 현장에서 수집된 증거이며, 피해자가 어떤 형태로든 공유한 세부사항입니다. 이는 SIEM에서 3개월 된 데이터를 살펴보거나 복구된 끝점에서의 LogParser를 통해, 또는 그 syslogs를 grep하여 얻을 수 있는 것입니다. 파란색 증거는 TI보다 훨씬 높은 정확도를 가질 것입니다. 또한 세계 다른 지역에서 발생한 위협에 대한 AV 공급자의 보고서와의 차이점을 보여줍니다. RED, 가중치: 4 – 레드 팀에서의 IOC입니다. 얻기 가장 힘들고, 가장 정확하며 SIGMA 및 IOC 기반 SIEM 규칙의 핵심입니다.노란색 + RED = 오렌지
노란색 + 파란색 = 녹색입니다. 사건 대응 및 SOC에 사용할 수 있는 귀중한 검증된 위협 인텔입니다.파란색 + RED (만약 그것이 일어난다면) = 보라색입니다. 서사적인 발견(마치 월드 오브 워크래프트처럼, 웃음). 그런 다음 모든 가중치를 더하면 총 가치가 10이 되고(SIEM 상관에 활용될 수 있음), 최종 색상을 결정해야 하며, 갈색은 그렇게 매력적이지 않으므로 이를 금색으로 부릅시다. 위의 슬라이드에는 $admin 및 PsExec라는 2 금색 개의 지표가 있습니다 – 이제 RED, 파란색 (현장 이벤트 로그), 위협 인텔, 그리고 물론 이는 이론적 가능성이었습니다. 금색 Reconnaissance 단계에서의 BlackEnergy 지정을 아마도 눈치챘을 것입니다. 너무 멀어 보이나요? 이를 설명하기 위해 회색 은/는 모든 기술을 살펴보면서 BlackEnergy의 TTP와 비교하고, Lockheed Martin의 Cyber Kill Chain에서의 전송 단계를 추가하며, 우리의 조사도 회상할 것입니다. 그렇게 하기 전에 Delivery가 혼합된 위의 다이어그램을 검토하고, 이를 임시로 확장된 Cyber Kill Chain이라 부릅시다.
보시다시피 우리는 색상 마킹 방법을 사용해 M.E.Doc 업데이트를 녹색로 확인합니다. 이는 외부 연구에 의해서만 보고되었으며(Microsoft 텔레메트리는 강력한 증거이고 매우 중요한 보안 우려이기도 합니다) – 우리는 또한 APT 피해자 SIEM에서 네트워크 및 AD 로그를 조사했습니다, 파란색 공격이 발생한 날에 활성 M.E.Doc 연결을 명확히 나타내는 증거. 더 많은 것이 있습니다, APT 웜 인텔리전스 패턴을 그려내고 진정한 AI인지 확인해봅시다.
현재 증거는 APT 행위자가 대상의 인프라 지식을 활용하여 사이버 무기를 구축했다는 것을 시사합니다. 암호화된 기업의 이름과 일치시키면 BlackEnergy 공격의 피해자들과 매우 자주 동일하다는 것을 볼 수 있습니다 (미디어, 에너지, 공공 부문, 운송). 파란색 증거: M.E.Doc 기기에서 Active Directory로 Microsoft SCCM 계정을 사용하는 연결을 발견했습니다. 2개 기업에서 현장 포렌식을 수행하였고 그들 모두 SCCM 자격 증명을 사용한 PsExec 항목이 있습니다. 가장 큰 질문은 어떻게 SCCM 계정과 함께 작업하는 결정이 이루어졌는가입니다? 이를 증명하는 RED 리버스 엔지니어링 보고서가 없습니다. 따라서 어느 시점에서 C2가 있었거나 중요한 증거/샘플 부분을 놓치고 있습니다. 따라서 회색 Tor/DNS 터널/HTTP C2에 대한 힌트가 됩니다. 공격자는 윈도우에 대한 광범위한 지식을 가지고 있음을 또한 눈치챌 수 있습니다. 우리가 아는 191가지 기법을 모두 시각화해 봅시다.
선택할 것이 많습니다, 맞습니까? Sandworm과 BlackEnergy는 이메일 첨부 파일을 사용합니다.
또한 광범위한 파일 및 디렉토리 검색 기능을 사용하며 공격은 수백 개의 파일 대신 암호 보관함과 같은 65개의 중요 파일을 목표로 했습니다.
스캐닝 기능 또한 Sandworm과 BlackEnergy에 잘 알려져 있습니다.
부트킷은 알려진 행동자들 중 많지 않게 사용됩니다. Petya가 하나를 사용했나요? APT를 위한 멋진 위장이었습니다.
PsExec 및 WMI 전문가인 행동자가 어느 쪽일까요?
wevtutil로 이벤트 로그 지우기 = ATT&CK에 따른 호스트에서의 인디케이터 제거
그리고 실행 단계에서 사용되는 예약된 재부팅 작업
데이터를 와이퍼 컴포넌트로 파괴하기 전에. KillDisk는 데이터를 삭제하고 0을 기록했지만 NotPetya는 Salsa20 키를 보존하지 않고 암호화로 파괴합니다. 제 책에서는 이를 동등한 데이터 파괴로 봅니다.
그리고 우리는 모두 알고 있듯이 BlackEnergy 공격은 데이터를 삭제하기 위한 것이 아니었습니다, 2단계에서 데이터를 추출하기 위한 것이었습니다.
같은 행동자였을까요? Sandworm이 정말로 존재할까요? 이를 AI 사이버 무기라고 부를 수 있을까요? 적어도 우리는 이제 이 질문에 답하는 데 도움이 되는 AI 전문가 시스템을 갖게 되었습니다…
p.s. BlackEnergy와 같은 위협에 맞서 싸우는 데 경력을 바친 동료 보안 연구원의 최근 인용문을 참조하고 싶습니다 “어두운 면은 단결한다”. 저는 완전히 동의합니다. 보안 제다이가 다시 힘을 합칠 때가 왔습니다.
