스마우그 랜섬웨어 탐지기 (Sysmon 동작)

오늘 우리는 비교적 최근의 위협과 그 탐지를 위한 콘텐츠에 주의를 기울이고자 합니다. Smaug Ransomware-as-a-Service는 2020년 4월 말에 연구원들의 레이더에 처음 등장했으며, 공격자들은 러시아어 다크 웹 포럼에서만 협력자를 찾고 그들의 플랫폼 사용을 위해 상당한 초기 지불과 추가 이익의 20%를 요구하고 있습니다. 숙련된 해커를 유치하기 위해, 일부 포럼의 악성코드 작성자들은 사이버 범죄자들이 과거의 성공을 증명할 수 있다면 계약금 없이 서비스를 제공할 것을 제안했습니다.

짐작하셨겠지만, 프로젝트는 간단한 악성코드와 사용자 측에서 악성 코드를 숨기기 위한 추가 조치가 필요함에도 불구하고 생존했고 추종자를 찾았습니다. Smaug 랜섬웨어를 사용하는 협력자는 그들의 캠페인을 추적하고 조직과 개인을 공격하기 위한 페이로드를 생성할 수 있는 대시보드에 액세스할 수 있습니다. Smaug는 Golang으로 작성되었으며 연구원들은 Windows 및 Linux 시스템을 모두 대상으로 하고 RSA 공개 키를 사용하여 암호화 프로세스를 수행하는 샘플을 발견했습니다. 네트워크 연결 없이 완전히 오프라인으로 실행할 수 있으며, 저자들은 다른 방법으로는 랜섬웨어 공격에 그다지 취약하지 않은 시스템에 대한 내부자 공격을 권장합니다.

위협 현상금 프로그램 참가자인 리 아치날 Smaug 랜섬웨어의 특징을 탐지하는 독점 위협 사냥 규칙을 발표했습니다: https://tdm.socprime.com/tdm/info/mgOahtIfjNtc/dGS4d3QBQAH5UgbB3bJU/?p=1

규칙은 다음 플랫폼에 대한 번역을 포함하고 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 영향

기법: 영향을 위한 데이터 암호화 (T1486)

SOC Prime TDM을 시도해 보시겠습니까? 무료로 가입하십시오또는 위협 현상금 프로그램에 참여하여 자신의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하십시오.