이번 주의 규칙: 네필림/네피림 랜섬웨어 탐지

이번 주에는 Nefilim/Nephilim 랜섬웨어 탐지를 돕는 Emir Erdogan의 커뮤니티 Sigma 규칙을 강조하고자 합니다 파괴적인 공격에 사용됩니다. 이 랜섬웨어 군은 두 달 전에 처음 발견되었으며, 그 코드는 작년 여름 공개 제휴 프로그램으로 등장한 NEMTY 랜섬웨어를 기반으로 합니다. NEMTY가 두 개의 별도 프로젝트로 분기되었거나, RaaS 운영이 비공개로 전환되었거나, 또는 적들이 소스 코드를 다른 그룹에 판매한 것으로 보입니다. Nephilim 랜섬웨어는 피해자가 몸값을 지불하지 않기로 결정할 경우 피해자의 도난 데이터를 공개할 위협을 가하는 여러 피해 캠페인에 사용되었습니다. 공격자는 RDP 서비스를 손상시키고, 지속성을 확립하며, 횡적 이동을 위한 추가 자격 증명을 수집하고, 랜섬웨어 페이로드를 모든 사용 가능한 시스템에 전달하기 전에 데이터를 유출합니다. Emir Erdogan의 규칙은 공격의 시작을 탐지할 수 있으므로, 모든 시스템이 암호화되기 전에 조치를 취할 수 있습니다: https://tdm.socprime.com/tdm/info/lC8zLKPM5tEv/mCFyDXIBjwDfaYjKjXen/?p=1

위협 탐지가 지원되는 플랫폼은 다음과 같습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, Sumo Logic

EDR: Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK: 

전술: Impact, Execution, Defense Evasion

기술: 효과를 위한 데이터 암호화 (1486), 보안 도구 비활성화 (1089), 시스템 복구 방해 (T1490)

Emir Erdogan은 SOC Prime에서 활발히 활동 중인 참가자입니다 위협 현상금 프로그램. TDM 사용자는 리더보드의 다운로드 기준 상위 작성자 섹션에서 그의 이름을 확인할 수 있으며, 위협 탐지 마켓플레이스에서 저자가 게시한 모든 콘텐츠를 볼 수 있습니다.