■ 랜섬웨어 그룹이 사용하는 공격 도구는?

‍

SK쉴더스가 'Ransomware Arsenal'보고를 발행했습니다. 1부에서는 주요 랜섬웨어의 트렌드부터 대응책에 대해 다뤘는데요, 2부에서는 최근 랜섬웨어 그룹의 활동 전략과 예방법, 감염 시 조치 방법에 대해 알아보겠습니다.

‍

앞선 1부에서 다뤘듯이 랜섬웨어 그룹들은 탐지 회피를 위해 LotL(Living Off the Land), RMM(Remote Monitoring andManagement) 도구를 악용해 랜섬웨어 공격을 수행하고 있는데요. 랜섬웨어 그룹들이 사용하는 공격 도구에 대해 살펴보겠습니다.

‍

‍

LotL(Living off the Land) 공격은 시스템에 기본으로 내장되어있는 도구와 정상적으로 사용하는 소프트웨어를 악용하고 있습니다. 또한,랜섬웨어는 RMM(Remote Monitoring and Management) 도구를 탐지 회피 목적으로 악용하며, 초기 침투 및 지속성 유지, 추가적인 악성 행위를 위해 원격 명령 제어 등의 목적으로 사용하는 모습을 보입니다.

‍

🛠 LotL(Living Off the Land) 공격에 사용하는 도구

ㆍBCDEdit, BITSAdmin, CMD,eventvwr.exe, fodhelper.exe, Minidump, net.exe, netsh.exe, NTDS Utility,PAExec, PowerShell, ProcDump, Process Explorer, Process Hacker, PsExec, sc.exe,schtasks.exe, taskkill.exe, wevtutil.exe, WinExe, WMIC, wusa.exe

🛠 랜섬웨어가 사용하는 RMM(Remote Monitoring andManagement) 도구

ㆍAction1, AnyDesk, Atera, ASG RemoteDesktop, BeAnywhere, Chrome Remote Desktop, Domotz, DWAgent, eHorus, FixMeIt, Fleetdeck,GoToAssist, ITarian, Level.io, LogMeIn, ManageEngineRMM, MeshAgent, MobaXterm,N-Able, NetSupport, NinjaOne, Parsec, PDQ Deploy, PowerAdmin, Pulseway, Radmin,Remote Manipulator System (RMS), RemotePC, RemoteUtilities, RPort, RSAT,RustDesk, ScreenConnect, SimpleHelp, Sorillus, Splashtop, SuperOps, Supremo,Syncro, TacticalRMM, TeamViewer, TightVNC, TrendMicro Basecamp, Twingate,ZeroTier, ZohoAssist

‍

■ 랜섬웨어 공격으로 암호화된 파일은 복구가 가능할까?

‍

랜섬웨어 공격으로 암호화된 파일을 복구할 수 있는지 궁금한 분들이 많으실 텐데요. 2015년에 발견된 TeslaCrypt 초기 버전의 경우 대칭키(암/복호화 할 때 사용하는 키가 동일) 암호화 알고리즘만을 사용해 암호화 키가 저장된 키 파일이 존재하면 복호화 할 수 있습니다. 하지만 이후 수정된 버전을 통해 대칭키를 파일 암호화에 사용하고 공개키 암호화 알고리즘인 RSA로 보호하는 하이브리드 방식을 사용해 공격자의 개인키가 없으면 복호화가 불가능 해졌는데요. 최근에는 대부분 하이브리드 암호화 방식을 사용하기 때문에 랜섬웨어에 감염되면 구조적으로는 복호화를 할 수 없습니다.

그러나, 암호화 키가 코드에 노출되어 있는 경우, 키 재사용 등 암호화 알고리즘의 취약점, 개인 키 유출 등으로 인해 복호화가 가능한 경 우가 일부 존재합니다. 복호화가 가능한 경우는 2023년 3분기 KARA 보고서에 공개한 것처럼 하나의 키로 모든 파일을 암호화하고 키를 보호하지 않은 KeyGroup과 NoBit 랜섬웨어가있고, 이외에도 복구가 가능한 랜섬웨어는 NoMoreRansom에서 확인할 수 있습니다.

■ 랜섬웨어를 효과적으로 예방할 수 있는 방법은?

‍

랜섬웨어를 효과적으로 예방하기 위해서는 공격 전략에 따른 단계별 대응 시스템이나 프로세스를 마련하는 것이 가장 좋습니다. 하지만 환경에 따라 단계적 대응 방안을 수립하기 어려운 경우도 있는데요. 랜섬웨어를 효과적으로 예방하기 위한 최소한의 보안 대책을 함께 알아보겠습니다.

‍

‍

1️⃣ 백업 시스템 구축

중요 데이터를 정기적으로 백업하고 네트워크에서 분리된 저장소에 데이터를 분산해 백업 계획을 수립

2️⃣ 엔드포인트 소프트웨어 설치

환경을 고려해 안티바이러스 제품을 설치하고 랜섬웨어의 행위를 탐지할 수 있는 실시간 보호 기능 사용

3️⃣ 정기/긴급 업데이트

시스템 및 모든 소프트웨어를 정기적인 패치를 통해 항상 최신 상태로 유지하고, 랜섬웨어가 악용하는 취약점은 긴급 패치를 통해 유입 차단

4️⃣ 권한 관리

불필요한 관리자 권한을 제거하고, 모든 사용자에 대해 최소한의 권한 유지

5️⃣ 원격 접속 관리

불필요한 원격 접속을 차단하고, 복잡한 암호와 다중 인증을 통해 관리

6️⃣ 사용자 교육

의심스러운 이메일을 판별할 수 있도록 주기적인 모의 훈련을 실행하고,의심스러운 메일의 링크나 첨부 파일을 열지 않도록 사용자 교육 필요

‍

■ 랜섬웨어 감염 시 올바른 대처 방법은?

‍

만약 랜섬웨어 공격으로 해킹 사고가 발생했다면 어떻게 대응해야 할까요? 사고 발생 후에는 초동 조치, 사고 대응, 사후 대응, 3단계로 나누어 재빠른 조치가 필요합니다.

✅ 초동 조치

ㆍ 시스템에서 지불 및 복호화 관련해 바탕화면이 변경되거나 알림을 주는 랜섬노트(.txt, .html, .hta 형태의 파일 혹은 실행 파일을 통한 알림 등) 발견 시 캡쳐 혹은 파일 보관

ㆍ 랜섬웨어 피해 발생 사실을 내부 보안팀 및 조사 기관 등에 접수

ㆍ 추가 확산 방지를 위한 감염된 시스템 네트워크 및 저장소 등 외부 연결 분리

ㆍ 시스템 종료 및 재부팅을 하지 않고 최대 절전 모드를 활용하여 시스템 정지

✅ 사고 대응

ㆍ 동일 유형의 이메일을 파악해 격리 조치, 다른 시스템에서 열람된 경우 해당 시스템 격리 조치

ㆍ 취약점을 통해 유입되었을 경우 해당 취약점에 대한 패치 적용, 만약 패치가 없는 경우 임시 조치 혹은 해 당 프로그램 격리 및 미사용 가능한지 파악 후 조치

ㆍ 특정 URL을 통한 유입의 경우 해당 URL 블랙리스트 조치

ㆍ 백업 시스템이 있는 경우 해당 시스템을 통해 복구 조치

ㆍ 내부 전파에 악용된 프로토콜, 원격 서비스 등 사용하지 않는 경우 비활성화

ㆍ 사용자/관리자 계정 비밀번호 변경 및 권한 분리

ㆍ 중앙 관리 솔루션, 관리자 PC 등 중요 시스템 망분리 적용

✅ 사후 대응

ㆍ 백업 시스템이 없는 경우 적절한 수준의 시스템 검토 후 도입 필요

ㆍ 이중 백업 시스템 혹은 물리적으로 분리된 백업 시스템 도입 필요

ㆍ 사고 대응에 대한 프로세스가 없는 경우 프로세스를 수립하고 미흡한 점이 있는 경우 해당 프로세스 개선 및 보완

ㆍ 침입 탐지 시스템, 침입 방지 시스템, 엔드 포인트 보안 솔루션과 같은 보안 장치 추가 도입

ㆍ 기존 사용하던 솔루션의 보안 정책이나 네트워크 세분화와 같은 물리적 보안 정책 등을 변경 및 갱신

‍

■ 랜섬웨어가 사용하는 전략 Top 5

‍

최근 활동 양상을 봤을 때, 랜섬웨어 그룹은 다음 5가지 전략을 주로 사용하며 공격을 진행하고 있습니다.

‍

‍

1️⃣ Command and Scripting Interpreter(T1059)

파워쉘이나 윈도우 명령어 창, 유닉스 쉘 등 공격자가 시스템상에서 명령어를 실행하거나 스크립트를 구동하기 위해 사용되는 여러 인터프리터를 악용

2️⃣ Obfuscated Files or Information(T1027)

랜섬웨어 분석 및 탐지를 회피하기 위해 파일이나 실행에 사용되는 정보를 난독화, 암호화하는 기술 사용

3️⃣ Data Encrypted for Impact(T1486)

데이터및 파일을 암호화해 금전적 이득을 취하는 전략 사용

4️⃣ System Information Discovery(T1082)

시스템 정보를 이용해 랜섬웨어 실행에 사용하거나 정보 수집을 목적으로 사용

5️⃣ File and Directory Discovery(T1083)

암호화를 위해 디렉토리 및 파일을 스캔하는 행위

■ 최신 랜섬웨어 공격에 사용되는 기법, 도구, 자산은?

‍

2024년 상반기 랜섬웨어 공격으로 인한 평균 몸값 지불 비용은 한화 약 20억 원에 달했습니다. 랜섬웨어 감염으로 발생하는 피해는 이 뿐만이 아닌데요. 시스템을 복구하는데발생하는 비용과 더불어 시스템이 중단된 기간 동안 공장 생산이 중단되거나 서비스를 지속할 수 없어 업무 수행에 차질이 생겨 그 피해와 비용은 급격히 증가하게 됩니다.

랜섬웨어는 복호화가 불가한 하이브리드 암호화 기법을 사용하기 때문에 시스템의 초기 침투부터 차단하는 것이 중요한데요. 이번 보고서에서 제공한 랜섬웨어 그룹들의 주요 공격 전략을 미리 파악해 두고 시스템 환경에 맞는 적절한 대응 방안을 수립해 랜섬웨어 공격에 대비해야 합니다.

뿐만 아니라, 이번 스페셜 리포트에는 단계별 랜섬웨어 전략, TTPs 단계별 사용 도구 분석, 단계별 랜섬웨어 전략 Mitigation 등의 심층적인 내용을 다루고 있습니다. 더 자세한 내용은 리포트 전문을 통해 확인해보세요.

‍

'Ransomware Arsenal: 주요 랜섬웨어 전략과 대응 전략' 자세히 보기

‍

■ 원스톱 솔루션, SK쉴더스 랜섬웨어 대응센터!

‍

‍

SK쉴더스는 랜섬웨어 대응센터를 통해 사고 접수, 대응, 복구, 대책까지 단계별 대응 방안에 맞는 랜섬웨어 원스톱 솔루션을 제공하고 있습니다. 단계별 대응 방안에 맞는 개별 서비스를 도입해 보안 대책을 마련하는 것이 어렵거나, 보안 담당자가 부재할 경우 SK쉴더스 랜섬웨어 대응센터(1600-7028)를 통해 랜섬웨어 공격에 대비해 보세요. 위협사전 점검은 물론, 실시간 탐지 및 차단, 사고대응 및 복구까지한 번에 진행할 수 있어 빠르게 대응할 수 있습니다.

‍

1부-랜섬웨어 트렌드 및 종류가 궁금하다면?

‍