Ryuk 랜섬웨어 공격 탐지
목차:
증가된 랜섬웨어 활동의 반발로, Ryuk 랜섬웨어가 국제적으로 유명한 기업들을 피해자로 삼으며 선두 자리를 차지하고 있습니다. 지난 몇 주 동안 연구자들은 전체 네트워크를 공격한 다수의 성공적인 랜섬웨어 공격을 보고하고 있습니다. 세계 최대의 사무가구 회사인 Steelcase는 공격 후 시스템을 종료했습니다 하지만 주주들에게 이 공격으로 인한 알려진 데이터 손실이 없음을 보고했습니다. Ryuk 랜섬웨어는 시설 운영을 중단시켰습니다 UHS 내의 감염된 병원들이 시스템을 종료하고 환자들을 다른 의료시설로 전환하게 만들었으며, 팬데믹 시작 초기에 그들의 폭력적인 활동 후에도 여전히 Ryuk 운영자들이 의료 서비스를 겨냥하고 있음을 보여줍니다. 또한 IT 서비스 회사인 Sopra Steria는 탐지된 공격에 대해 알렸습니다. FBI 정보에 따르면, Ryuk 랜섬웨어 공격으로 인한 해커의 수익은 6100만 달러를 초과했습니다.
의료 부문에 대한 Ryuk 랜섬웨어 공격
이번 주에 Ryuk 계열사들이 미국 의료 부문을 겨냥한 대규모 캠페인을 준비 중인 것으로 밝혀졌습니다. 연방 기관들은 보안 경고를 발표했습니다, 이는 캠페인을 경고하고 사이버 범죄자들이 사용하는 전술과 타협 지표를 공개하고 있습니다. 400개 이상의 의료 시설이 표적이 될 수 있으며, 확인되지 않은 정보에 따르면 이미 30개 시설이 감염된 것으로 보입니다.
사이버 범죄자들은 공황을 일으키고 많은 조직들이 데이터를 복호화하기 위해 몸값을 지불하도록 강요할 계획입니다. 또한 Ryuk 계열사들은 종종 파일을 암호화하기 전에 민감한 데이터를 훔쳐 피해자에게 추가적인 영향력을 행사합니다. 이제 다가오는 선거로 인해 상황이 더욱 악화되고 있습니다.
최근 공격에서, Ryuk 공격 뒤에 숨은 사기꾼들은 Zerologon의 결함과 멀웨어 프레임워크의 기능을 채택하여 권한 상승을 얻었습니다. 이 취약점의 악용은 사이버 범죄자들이 피싱 이메일을 통해 조직 네트워크의 단일 시스템에 감염된 지 몇 시간 만에 도메인 컨트롤러를 탈취할 수 있게 했습니다. BazarLoader 와 서버를 포함한 백업 서버 및 워크스테이션의 데이터를 암호화합니다. 이 취약점과 그 악용을 탐지할 수 있는 Threat Detection Marketplace에서 제공되는 컨텐츠에 대해 더 알아볼 수 있습니다. 여기.
새로운 Ryuk 변종은 탐지를 회피하기 위한 다른 기술을 활용한 후 실행 권한을 변경하는 기능을 호출합니다. 이전 랜섬웨어 변종과 비교하여 최근 Ryuk 공격은 암호화까지의 시간이 상당히 단축되어, 표적이 된 회사들이 공격을 적시에 탐지할 가능성이 크게 줄어듭니다.
Ryuk 공격 탐지
거의 모든 경우에 공격은 다르게 진행되며 각 공격마다 수동 랜섬웨어 샘플이 생성되므로, IOC 기반 콘텐츠는 공격을 제때 탐지하고 중지하는 데 도움이 되지 않을 가능성이 큽니다. 우리 팀과 Threat Bounty 프로그램 참가자들은 BazarLoader와 Ryuk 랜섬웨어가 활용한 기법과 절차를 식별하는 데 도움을 줄 수 있는 위협 사냥 규칙을 게시합니다.
SINGLEMALT / KEGTAP / Ryuk 기법 및 절차 규칙 작성자 Roman Ranskyi: https://tdm.socprime.com/tdm/info/lf753JGo35D4/4Y32c3UBmo5uvpkjQZWE/
Osman Demir, 활성 위협 보상 개발자로 Threat Detection Marketplace에 실현 가능한 탐지 콘텐츠를 게시하여 최근 공격에 사용된 랜섬웨어 변종의 탐지를 가능하게 하는 Sigma 규칙을 발표했습니다 – Ryuk 암호화 및 회피 기술
https://tdm.socprime.com/tdm/info/9lnBk5qhd9IV/Nb8mZXUBTwmKwLA9QLI2/
또한 Threat Detection Marketplace에서 사용할 수 있는 다음 규칙에도 주의를 기울이실 것을 권장합니다:
Ryuk 랜섬웨어 지속성 규칙 작성자 Emir Erdogan: https://tdm.socprime.com/tdm/info/eWyQLgWZwv3v/EGzmQHUBmo5uvpkju9HX/
Team9/Bazar 배치 파일 이름 패턴 (cmdline 통해) 규칙 작성자 SOC Prime Team: https://tdm.socprime.com/tdm/info/51onXdAhOkLs/sE9tvHIBSh4W_EKGAAjz/
Team9/Bazar 예약 작업 이름 (감사 통해) 규칙 작성자 SOC Prime Team: https://tdm.socprime.com/tdm/info/efOdljfHf6Qk/3KjlQHUBTwmKwLA94W5a/
Bazar 로더 탐지 (Sysmon 탐지) 규칙 작성자 Ariel Millahuel: https://tdm.socprime.com/tdm/info/QDvyH85txiBA/w6jmQHUBTwmKwLA9cm-b/
Ryuk 탐지는 Chronicle Security 및 Apache Kafka ksqlDB에서 가능합니다. 규칙은 다음 플랫폼에 대한 번역을 제공합니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
전술: 영향도, 실행, 방어 회피, 지속성, 발견, 권한 상승, 횡적 움직임, 명령 및 제어
기술: 데이터 암호화(영향도) (T1486), 사용자 실행(1204), BITS 작업(T1197), 도메인 신뢰 탐색(T1482), 원격 파일 복사(T1544), 원격 서비스(T1021), 서명된 바이너리 프록시 실행(T1218), Windows 관리 계측(T1047), 레지스트리 수정(T1112), 프로세스 인젝션(T1055), 레지스트리 쿼리(T1012), 레지스트리 실행 키 / 시작 폴더(T1060), 스크립팅(T1064)
Ryuk 랜섬웨어에 대한 몇 가지 행동 규칙 공격:
WMIC LOLBAS 사용:
https://tdm.socprime.com/tdm/info/BepoiNiXj8Ut/y8WK1W4BUORkfSQheZnZ/
NTDSUTIL:
https://tdm.socprime.com/tdm/info/SOvxy6p5Cnof/Hp4_n2UBtApo-eN_NyF6/
비 실행 폴더에서의 실행:
https://tdm.socprime.com/tdm/info/RVIFEay7irsd/bW5VKmkBFVBAemBcGlNv/
NTDS 접근:
https://tdm.socprime.com/tdm/info/6VhAtbw6rBa2/WTk92W0BLQqskxffCpek/
Mimikatz 규칙:
https://tdm.socprime.com/tdm/info/qoNd4DX79bOa/CzkT2W0BLQqskxffCpcz/
https://tdm.socprime.com/tdm/info/ee3PIzxoFMI6/ncIy2W0BEiSx7l0HIpz0/
https://tdm.socprime.com/tdm/info/QctzDmwqbvco/7MIw0G0BEiSx7l0H9JIj/
https://tdm.socprime.com/tdm/info/es5UmjxJNrQg/FDkd2W0BLQqskxffjZe7/
https://tdm.socprime.com/tdm/info/74llvzojtbi4/PELH6m4ByU4WBiCt6HUg/
PSEXEC 사용:
https://tdm.socprime.com/tdm/info/7GxQdQqC8jRl/Q8XMxm4BUORkfSQh5Yyq/
https://tdm.socprime.com/tdm/info/R8d9PuDz6Kqf/B8tD8nABTfY1LRoXMJme/
SOC Prime Threat Detection Marketplace를 사용해 볼 준비가 되셨습니까? 무료로 가입하세요. 또는 Threat Bounty Program에 참여하세요 자신만의 콘텐츠를 제작하고 Threat Detection Marketplace 커뮤니티와 공유하세요.