이 주의 규칙: 타노스 랜섬웨어

오늘의 주간 규칙 섹션에서는, 공개된 규칙에 주목할 것을 권합니다 Emir Erdogan. 이 새로운 규칙은 Thanos 랜섬웨어를 탐지하는 데 도움이 되며, 이는 반-랜섬웨어 솔루션을 우회하기 위해 RIPlace 전술을 무기로 사용했습니다: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1

Thanos 랜섬웨어는 지난해 말 처음 등장했으며, 그 작성자들은 지하 포럼과 비공개 채널에서 이를 광고했습니다. 이는 서비스형 랜섬웨어로서 기술이 부족한 공격자조차도 고유한 페이로드를 생성할 수 있는 맞춤형 도구를 제공합니다. Thanos 랜섬웨어는 이전의 많은 빌더 기반 랜섬웨어 서비스보다 더 복잡합니다. Thanos 빌더의 많은 옵션은 보안 솔루션을 회피하도록 설계되었습니다. 랜섬웨어의 고급 기능으로는 다중 지속성 옵션, 무작위 조립 데이터, 반-VM/VM 회피, Windows Defender 및 기타 AV 제품 종료, 구성 가능한 확산 옵션이 포함됩니다. 최근 랜섬웨어 작성자는 탐지를 피하기 위해 RIPlace의 사용을 추가했습니다. Thanos는 RIPlace 전술을 사용한 최초의 랜섬웨어 패밀리입니다. 이는 윈도우 파일 시스템 기술로, 파일을 악의적으로 수정하여 랜섬웨어가 탐지를 피할 수 있게 합니다.

이 규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 영향, 방어 회피, 발견

기술: 영향을 미치기 위한 데이터 암호화 (T1486), 보안 도구 비활성화 (T1089), 보안 소프트웨어 발견 (T1063), 소프트웨어 발견 (T1518)