Ransomware Detection with Existing Technologies
목차:
랜섬웨어 공격과 확산으로 인한 또 다른 위기가 닥치고 있는 것처럼 보입니다. 서비스형 랜섬웨어 모델이 비교적 초보자조차도 중요한 게임에 참여할 수 있게 해주고 있습니다. 매주 미디어에는 잘 알려진 기업이나 정부 기관이 또 다른 공격의 희생자가 되었고, 시스템이 잠겼으며 민감한 데이터가 도난당했다는 헤드라인이 가득합니다. 이러한 조직들은 아마도 적절한 랜섬웨어 탐지를 위한 모든 것을 준비했겠지만, 몇 가지 방법에서 공격자들이 보안 팀을 이겼습니다.
앞서 언급한 위기는 공격의 횟수와도 관련이 있는 것이 아니라, 파일을 암호화하기 전에 데이터 절도가 이루어지기 때문입니다. 보고서 에 따르면, 2020년 11월 Coveware가 발표한 보고서에서는 3분기에 사이버 범죄자들이 그들의 공격 중 절반 정도에서 데이터를 성공적으로 추출했다고 합니다. 이는 이전 분기 대비 두 배나 많습니다. 보고서에서 또 다른 흥미로운 수치는 평균 몸값 지급액으로, 이는 이미 $230,000을 초과했습니다.
랜섬웨어 공격 및 데이터 추출
랜섬웨어 공격은 2000년대 중반에 사이버 범죄자들이 고급 사용자들이 쉽게 우회할 수 있는 간단한 화면 잠금 기능에서, 암호화 키 없이는 거의 보장된 데이터 손실로 이어지는 파일 암호화로 전환했을 때 문제가 되었습니다. 2010년대 초 첫 랜섬웨어 웜이 등장했으며, 몇 년 후 사이버 범죄자들은 대규모 스팸 캠페인을 시작했습니다. 대부분 비기업 사용자들을 대상으로 하였으나, 기업의 랜섬웨어 탐지 능력은 대개 위협을 느끼지 않을 만큼 충분했습니다. 2016년에 첫 서비스형 랜섬웨어가 등장했으며, 이는 여전히 개인 공격을 위한 것이었습니다. 2017년 5월, targeted mainly at non-corporate users, but the ransomware detection capabilities of companies were mostly sufficient not to feel the threat. In 2016, the first Ransomware as a Service appeared, which was still intended for attacks on individuals. In May 2017, the 워너크라이 발발은 조직들이 훌륭한 대상이 될 수 있음을 보여주었고, 랜섬웨어 공격에서 회복하는 것이 매우 비싸다는 것을 나타내었습니다. NotPetya 는 이를 확실히 하였고, 곧 대형 플레이어들은 완전히 조직을 대상으로 하여 백업 서버에 접근하고 가능한 한 많은 주요 시스템을 암호화하여 복구 불가능하게 만들기 위해 이동하였습니다. 2019년 말, Maze RaaS 제휴자들은 조직의 네트워크에 침투한 후 데이터를 절도하고, 특히 제작된 리소스에 이를 게시하여 희생자에게 압박을 가하고 매우 높은 몸값을 지불하도록 강요했습니다. 이는 빠르게 인기 있는 방법이 되었고, 보고서에서 드러나는 것처럼 사이버 범죄자들은 이제 두 번 중 한 번은 데이터를 훔칩니다.
어두운 면에 있는 블랙 쉽
최근까지 사이버 범죄자들은 비교적 공정하게 행동하였고, 몸값이 지불되면 데이터를 삭제했다는 증거를 제공했습니다. 하지만 도둑들 사이에도 명예는 없으며, 이제 몸값을 받은 후에도 데이터를 삭제하지 않는 경우가 늘어나고 있습니다. 최소 몇 차례 소디노키비 랜섬웨어의 제휴자들이 암호화된 시스템이 복구된 후에도 파일을 삭제하기 위해 돈을 반복적으로 요구한 적이 있었습니다. 그러나 이는 ‘손상된’ 제휴자들이 있는 유일한 RaaS(서비스형 랜섬웨어)가 아닙니다. Netwalker와 Mespinoza의 배후에 있는 공격자들도 파일을 삭제하지 않은 것으로 나타났으며, 기밀 정보는 몸값 수령 후 ‘기술적 결함’으로 인해 그들의 ‘사이트’에 게시되었습니다. 컨티 랜섬웨어의 배후 그룹은 피해자들을 속여 데이터 삭제 증거를 왜곡하여 제공하려고 시도했습니다.
파일 절도의 선구자인 Maze RaaS와 그들의 제휴자들도 언급해야 합니다. 보고서에 따르면, 제휴자들이 납치 사실을 알려주기 전에 공개 데이터를 공개적으로 이용할 수 있게 한 경우도 있었습니다. Maze 운영자들은 그들의 규칙을 위반하는 제휴자들을 걸러내는 것으로 알려져 있으며, 소디노키비와의 상황처럼 공격받은 회사로부터 몸값을 다시 받으려고 하거나 다크넷에서 데이터를 판매하려고 합니다. 문제점은 많은 보안 솔루션이 랜섬웨어 탐지를 제공하며, 공격자들이 충분한 수의 시스템을 암호화할 수 없다는 점입니다. 그러나 그런 반 실패한 공격에서 훔친 데이터를 모두 가지고 있으며, 그들은 어쨌든 약간의 수익을 얻으려고 노력하고 있습니다.
랜섬웨어 공격 탐지 및 그 중요성
물론 랜섬웨어 공격 탐지는 지속적인 사이버 방어에 중요하며, 이는 이미 귀하의 조직이 보유한 도구를 사용하여 구현할 수 있습니다. 조직에 대한 각 공격을 위해 고유한 랜섬웨어 바이너리가 컴파일되더라도, 일부 안티바이러스 솔루션은 이를 인식하고 중화할 수 있습니다. 랜섬웨어 공격을 나타내는 이상을 식별할 수 있는 다양한 규칙이 SIEM 및 NTDR 솔루션에 있습니다. 그러나 또한 위협을 가능한 일찍 탐지하는 것이 중요합니다. 파일 암호화는 이미 공격의 최종 단계로서 민감한 데이터가 이미 사이버 범죄자들에게 넘어갔을 때입니다. 조직의 네트워크에 침투하기 위해 랜섬웨어 갱들은 RDP 연결을 무작위 강제 시도하거나 다크넷 마켓에서 손상된 자격 증명을 구매하거나 오래된 피싱 또는 알려진 취약점을 악용할 수 있습니다. 침투 후 공격자들은 모든 작업을 중앙에서 감염시키기 가장 쉬운 Active Directory에 접근하고, 백업 서버에 접근하여 발견 가능한 모든 민감한 데이터를 수집하는 과정에서 모든 백업을 삭제하려고 합니다. 현재, Ryuk 랜섬웨어를 사용하는 것으로 악명 높은 그룹은 챔피언으로 여겨집니다. 그들은 네트워크 침투 후 5시간 내에 시스템을 암호화하는 데 성공했습니다.
랜섬웨어 탐지를 쉽게 만드는 방법
안타깝게도 이러한 사이버 공격에 100% 보안을 제공하는 솔루션은 없습니다. 그러나 귀하의 조직에 이미 존재하는 보안 플랫폼의 랜섬웨어 탐지 기능을 크게 향상시킬 수 있습니다. 매월 Threat Bounty Program 개발자와 SOC Prime 콘텐츠 팀은 랜섬웨어 공격의 활성 단계를 나타낼 수 있는 기술, 도구 및 의심스러운 활동을 탐지하는 데 도움이 되는 수십 개의 SOC 콘텐츠 항목을 Threat Detection Marketplace에 게시합니다. 끝으로 랜섬웨어 바이나리를 탐지하는 것뿐만 아니라 사이버 범죄자가 정찰 및 횡적 이동 중에 사용하는 다양한 도구 및 익스플로잇을 탐지하는 것도 중요합니다. 이러한 규칙은 대부분의 인기 있는 SIEM 및 NTDR 솔루션을 포함하여 다수의 플랫폼에 대한 번역을 가지고 있습니다. 이 글을 쓰는 시점에서 Threat Detection Marketplace는 Azure Sentinel, Chronicle Security, Humio, Corelight, Sumo Logic, Elastic Stack, Carbon Black, CrowdStrike, Logpoint, RSA NetWitness, ArcSight, Splunk, QRadar, Apache Kafka ksqlDB, Microsoft Defender ATP 및 Sysmon을 포함한 20개 이상의 플랫폼을 지원하고 있습니다. 우리는 지속적으로 지원 플랫폼 및 통합을 추가하고 있으므로 이 목록에 귀하가 사용하는 플랫폼을 찾을 수 없다면 support@socprime.com 으로 이 통합의 개발을 우선시하도록 연락하시면 됩니다.
당신은 다음을 통해 사용할 수 있는 콘텐츠를 확인할 수 있습니다 링크, 또는 특정 도구 및 랜섬웨어 유형에 대한 규칙을 찾기 위해 콘텐츠 페이지에서 Threat Detection Marketplace.
우리는 최근에 연속 콘텐츠 관리 (CCM) 모듈을 출시하여 Azure Sentinel 및 Elastic Stack을 지원하며 SOC 콘텐츠를 SIEM 인스턴스로 직접 스트림하여 랜섬웨어 탐지 기능을 자동화할 수 있도록 돕습니다. 여기서 CCM 모듈의 장점을 보여주는 라이브 프레젠테이션 기록을 시청할 수 있습니다. 다른 플랫폼에 대한 지원도 곧 제공됩니다. CCM 모듈로, 필요한 SOC 콘텐츠의 검색 및 설치를 자동화할 뿐만 아니라 이미 배포한 규칙을 적시에 업데이트하고, 이러한 업데이트를 즉시 SIEM 인스턴스에 추가할 수 있습니다.
CCM 모듈의 이점을 얻으려면 별도의 라이센스로 구입하거나 우주 구독 계층의 일부로 추가 비용 없이 사용할 수 있습니다. 여전히 14일 무료 평가판을 요청하여 무료로 사용해 볼 수 있는 또 다른 옵션이 있습니다. 가입하여 Threat Detection Marketplace 을 통해 위협 탐지 및 대응 기능을 향상시키십시오.
