RansomHub 랜섬웨어 탐지: 공격자들이 카스퍼스키의 TDSSKiller를 악용하여 EDR 시스템을 비활성화

FBI, CISA 및 파트너에 의해 중요한 변화 경고에 대한 공동 자문 바로 후 RansomHub RaaS 그룹 활동, 보안 연구원들은 적대자가 Kaspersky의 정식 TDSSKiller 소프트웨어를 악용하여 Endpoint Detection and Response (EDR) 시스템을 비활성화하는 새로운 속임수를 발견했습니다. 방어선을 우회한 후 공격자는 LaZagne 도구를 사용하여 응용 프로그램 데이터베이스에서 로그인 정보를 빼내고 관심 네트워크 내에서 수평 이동합니다.

TDSSKiller를 활용한 RansomHub 랜섬웨어 공격 탐지

2024년에도 여전히 만연한 랜섬웨어 발병과 함께 지난해에 비해 다섯 배 증가한 랜섬 요구, 랜섬웨어 공격은 글로벌 조직에 대한 위협을 가중시키고 있습니다. 매일 새롭고 혁신적인 공격 방법이 등장함에 따라, 적대자는 잠재적 침입을 시기 적절하게 탐지하기 위한 효과적인 방법을 모색하고 있습니다. 사이버 수호자는 SOC Prime 플랫폼 에 의존할 수 있으며, 이는 고급 위협 탐지, AI 기반 탐지 엔지니어링 및 자동화된 위협 사냥을 위한 완전한 제품군을 제공합니다. 플랫폼 사용자는 24시간 SLA 내에 최신 위협 정보와 신흥 위협에 대한 큐레이션 탐지 규칙에 접근할 수 있습니다.

TDSSKiller를 활용한 RansomHub 공격 탐지를 위해, 아래의 Sigma 규칙을 확인하십시오. 이 규칙은 로컬 보안 도구의 오용을 식별하는 데 도움이 됩니다. 관련된 더 많은 탐지를 검색하려면, “TDSSKiller” 태그를 사용하여 Threat Detection Marketplace에서 검색하세요.

가능한 TDSSKiller 유틸리티 실행 시도 (via cmdline)

탐지는 27개의 SIEM, EDR, 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK 의 방어 회피 전술, 도구 비활성화 또는 수정 (T1562.001)을 다루는 하위 기술로 연결됩니다.

RansomHub TTP를 다루는 추가 탐지 콘텐츠를 찾는 보안 실무자는 아래의 탐지 탐색 버튼을 클릭하여 즉시 전용 Sigma 규칙 목록으로 깊이 들어갈 수 있습니다.

탐지 탐색

이 규칙은 30개 이상의 SIEM, EDR 및 데이터 레이크 기술과 호환되며 실행 가능한 메타데이터 및 맞춤형 CTI로 강화되었습니다.

RansomHub 랜섬웨어 분석

2024년 8월 29일, FBI와 CISA는 다른 저작 기관들과 협력하여 AA24-242A 경고 를 발표하였습니다. 이 경고는 주립 기관 및 수자원, IT, 헬스케어, 금융 서비스 및 통신을 포함한 중요 인프라 조직에 대한 증가하는 공격에 초점을 맞추고 있습니다. 이러한 공격 뒤에 있는 RansomHub 그룹은 2024년 2월 이후로 210개 이상의 조직을 공격했습니다. 가장 최근의 보고서 에 따르면 Malwarebytes는 동일한 그룹이 현재 Kaspersky의 TDSSKiller 소프트웨어를 남용하여 EDR 시스템을 비활성화하고 있다고 보고하고 있습니다.

정식 TDSSKiller 도구는 시스템에 루트킷 또는 부트킷이 존재하는지를 식별하기 위해 사용됩니다. 그러나 RansomHub 운영자는 이 소프트웨어를 악용하여 명령줄 스크립트나 배치 파일을 사용해 보안 서비스를 비활성화하려고 시도합니다. TDSSKiller가 정식 유틸리티인 한, 적대자는 보안 솔루션에 의해 탐지되지 않고 불법 활동을 진행할 수 있습니다.

다음 단계에서 공격자는 LaZagne를 사용하여 앱 데이터베이스, 브라우저 및 이메일 클라이언트에 저장된 로그인 정보를 추출하여 감염된 네트워크 내에서 측면 이동의 가능성을 높입니다.

공격자가 TDSSKiller와 같은 도구를 사용하여 EDR 솔루션을 비활성화하는 것을 방지하기 위해, 보안 전문가들은 EDR 시스템 내에서 변조 보호를 활성화하고 서비스 비활성화 또는 삭제를 강조하는 ‘-dcsvc’ 매개변수를 모니터링할 것을 권고합니다. 또한 RansomHub 공격의 위험을 최소화하기 위해, 기관들은 #StopRansomware 가이드의 지침을 따르고, 사이버 위생을 강화하며 보안 통제를 정기적으로 테스트하고 검증할 것을 권고합니다. SOC Prime의 완전한 제품군 을 활용하면 AI 지원 탐지 엔지니어링, 자동화된 위협 사냥 및 고급 위협 탐지를 통해 조직은 현재 및 새로운 랜섬웨어 위협에 대한 사이버 보안을 강화할 수 있습니다.