이번 주의 규칙: VHD 랜섬웨어 탐지 방법

오늘 우리는 자랑스럽게도 오스만 데미르가 개발한 독점적인 Sigma 규칙에 대해 이번 주의 규칙 타이틀을 부여했습니다. 오스만 데미르 VHD 랜섬웨어 탐지를 가능하게 하기 위해: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 

이 랜섬웨어를 사용하는 최초의 공격은 2020년 3월에 시작되었으며, 연구자들은 최근에야 연결했습니다. 그들을 라자루스 APT와. 이는 일부 공격에서 MATA 크로스 플랫폼 프레임워크의 사용 감지로 촉진되었으며, 이는 악명 높은 북한 위협 행위자에 의해 독점적으로 사용됩니다. 프레임워크를 탐지하는 규칙은 이번 주 초에 발표되었습니다.

일부 공격에서는 적들이 네트워크 내에서 랜섬웨어를 전파하는 유틸리티를 사용했습니다. 이 유틸리티는 세부적인 정찰과 관리 자격 증명 및 IP 주소 수집 후 생성되며, 발견된 모든 기기의 SMB 서비스를 무차별 대입하는 데 활용됩니다.

라자루스 그룹은 아마도 재정적으로 동기가 부여된 사이버 범죄를 다루는 유일한 국가 지원 위협 행위자일 것입니다. 최근 공격에서, 그룹은 취약한 VPN 게이트웨이를 악용해 관리자 권한을 획득하고, 손상된 시스템에 백도어를 배포하며, Active Directory 서버를 장악할 수 있었습니다. 흥미롭게도 VHD 랜섬웨어 공격이 시작되기 전, 라자루스 APT는 트릭봇 악성코드 를 사용하여 피해자의 네트워크에 접근하고 있었습니다.

이 규칙은 다음 플랫폼에 대한 번역을 가지고 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 영향

기술: 영향에 의한 데이터 암호화 (T1486)

SOC Prime TDM을 사용해 볼 준비가 되셨나요? 무료로 가입하세요또는 위협 보상 프로그램에 참여하세요 자신의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.