AhnLab EDR을 활용한 Akira 랜섬웨어 공격 사례 탐지
Akira는 상대적으로 새롭게 등장한 랜섬웨어 공격자로서 2023년 3월부터 활동하고 있다. 다른 랜섬웨어 공격자들과 유사하게 조직에 침투한 이후 파일을 암호화할 뿐만 아니라 민감한 정보를 탈취해 협상에 사용한다. 실제 다음과 같은 2024년 통계에서도 Akira 랜섬웨어에 의한 피해 기업의 수가 상위권을 차지하고 있다. [1]
Figure 1. 2024년 랜섬웨어 피해 통계
공격자는 랜섬웨어를 통해 조직의 시스템을 암호화한 이후 협상을 위한 Tor 웹사이트를 안내하는데, 요구 사항이 충족되지 않을 경우 공격 과정에서 탈취한 민감한 정보를 공개하기도 한다. 실제 공격자가 운영하는 Tor 웹사이트에서도 피해 업체들이 지속적으로 공개되고 있다.
Figure 2. Akira 공격자의 Tor 웹사이트
초기 침투 방식으로는 다중 요소 인증(MFA)이 적용되지 않은 VPN 계정을 악용하거나 다양한 취약점들을 공격하는 것으로 알려져 있다. 대표적으로 Fortinet사의 CVE-2019-6693 및 CVE-2022-40684 취약점이나 CVE-2023-48788 그리고 Cisco사의 CVE-2020-3259 및 CVE-2023-20269 취약점이 있다. 또한 SonicWall 제품의 CVE-2024-40766 취약점을 공격하기도 하였다. Akira 랜섬웨어 공격자는 이외에도 공격 과정에서 권한 상승을 목적으로 Veeam Backup & Replication 서버의 CVE-2024-40711 취약점이나 VMware ESXi의 CVE-2024-37085 취약점을 악용하기도 하였다.
여기에서는 Akira 랜섬웨어 공격자의 알려진 공격 방식들을 소개하고 [2] [3] [4] [5] 최초 침투 이후 조직을 장악해가는 과정에서 확인되는 공격 기법들에 대해 AhnLab EDR을 활용해 탐지하는 방식들을 다룬다.
AhnLab EDR (Endpoint Detection and Response)은 국내 유일의 행위 기반 분석 엔진을 기반으로 엔드포인트 영역에서 강력한 위협 모니터링과 분석, 대응 역량을 제공하는 차세대 엔드포인트 위협 탐지 및 대응 솔루션이다. AhnLab EDR은 의심스러운 행위에 관한 유형별 정보를 상시 수집해 탐지 및 분석, 대응 관점에서 사용자가 위협을 정확하게 인식할 수 있는 기능을 제공하며 이를 통해 종합적인 분석을 통해 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있다.
Figure 3. AhnLab EDR 제품
1. Discovery
공격자들은 포트 스캐닝을 통해 특정 네트워크, 즉 공격 대상 도메인에서 현재 활성화된 시스템 및 포트 번호, 즉 동작 중인 서비스의 정보를 획득할 수 있다. 이러한 네트워크 탐색 과정을 통해 서브넷 정보, 호스트 정보 등 네트워크 구조를 확인한다. Akira 랜섬웨어 공격자는 네트워크 정보를 수집하는 과정에서 Advanced IP Scanner나 NetScan 도구를 활용하는 것으로 알려져 있다.
이후 도메인 컨트롤러나 도메인 트러스트 관계 등 현재 네트워크 상의 액티브 디렉터리(Active Directory) 정보를 수집한다. 공격자는 윈도우 기본 도구인 Nltest를 활용하거나 대표적인 도구인 AdFind를 설치하기도 한다. 공격자는 AdFind의 결과를 활용해 도메인 환경의 구조를 파악하고 측면 이동을 위한 공격 대상을 식별할 수 있다.
마지막으로 BloodHound도 사용되는 것으로 알려져 있는데 BloodHound는 액티브 디렉터리 도메인 관련 정보를 수집하여 권한 상승을 위한 공격 경로를 찾아주는 기능을 제공하는 도구이다. GUI 기반으로 모델링 한 결과를 보여주는데 공격자가 도메인 내에서 도메인 관리자 권한을 얻기 위한 최소 경로를 그래프 형태로 시각화하여 보여준다.
Figure 4. Discovery 단계에서 사용되는 공격자의 행위들에 대한 EDR 탐지
2. Credential Access
조직의 인프라가 액티브 디렉터리를 사용하는 환경인 경우 공격자는 위의 Discovery 과정을 거쳐 도메인 환경의 정보를 수집하고 자격 증명 정보를 탈취한 후 이를 기반으로 측면 이동하여 최종적으로 도메인 환경을 장악할 수 있다.
Akira 랜섬웨어 공격자는 이를 위해 Mimikatz를 사용하거나 Comsvc.dll를 악용하는 것으로 알려져 있다. 미미카츠는 윈도우 운영체제 환경에서 자격 증명 정보를 추출하는 기능을 갖는 프로그램으로서 LSASS 프로세스의 메모리에 저장되어 있는 NT Hash(NTLM 인증 프로토콜에서 사용하는 해시)를 추출하는 방식을 지원한다.
하지만 이러한 메모리 덤프 행위는 보안 제품들에 의해 의심스러운 행위로 간주되며 미미카츠와 같이 의심스러운 도구들은 보안 제품들의 주요한 탐지 대상이 되고 있다. 이를 우회하기 위한 방식으로 Comsvc.dll를 사용하는 방식이 있는데 윈도우 환경에서 기본적으로 설치되어 있는 Comsvc.dll의 MiniDump 함수를 악용해 LSASS 프로세스에 대한 메모리 덤프를 생성하는 기능을 악용하는 것이다.
이외에도 오픈 소스 해킹 툴인 LaZagne를 악용하기도 하는데 LaZagne는 시스템에 저장되어 있는 자격 증명 정보를 추출하는 도구이다. 대표적으로 있는 사용자의 자격 증명 정보가 저장된 SAM(Security Accounts Manager) 데이터베이스를 덤프하여 측면 이동 공격에서 활용할 수 있다. 그리고 AD 서버에서는 “ntdsutil.exe” 도구를 이용해 Active Directory 환경의 사용자 계정, 그룹, 정책 등 중요한 정보를 포함하고 있는 NTDS.dit 파일을 덤프하기도 한다.
운영체제에 저장된 자격 증명 외에도 웹 브라우저에 저장된 사용자의 자격 증명 정보 또한 탈취 대상이다. 공격자는 이를 위해 NirSoft사의 WebBrowserPassView 도구를 사용하거나 “esentutl.exe”를 악용해 크롬 웹 브라우저의 자격 증명 정보가 포함된 데이터 파일을 복사하기도 하였다.
Figure 5. Credential Access 단계에서 사용되는 공격자의 행위들에 대한 EDR 탐지
3. Command and Control
감염 시스템을 제어하는 단계에서는 주로 AnyDesk, RustDesk, Radmin과 같은 원격 관리 도구들을 설치한다. 이러한 원격 관리 도구들은 원격 제어 및 관리를 위한 정상적인 목적으로 사용하는 경우가 많으며 이에 따라 AntiVirus 제품에서 이를 단순하게 탐지하고 차단하는 데 한계가 존재한다. AhnLab EDR은 사용자가 원격 제어를 위해 정상적인 목적으로 원격 제어 도구들을 사용하는 행위에 대해서도 관련 정보를 수집해 보여줌으로써 관리자가 의심스러운 행위를 인지하고 대응할 수 있도록 한다.
공격자들은 직접적으로 C&C 서버와 통신하기도 하지만 프록시 도구들을 설치하기도 한다. 이는 감염 시스템이 사설 네트워크 즉 NAT 환경 내부에 존재할 경우 외부에서 접근이 불가하여 이러한 시스템을 외부에 노출시켜 주는 목적으로 주로 사용된다. Akira 랜섬웨어 공격자도 Ngrok나 Cloudflare의 터널링 도구(Cloudflare Tunnel)를 공격에 사용한 것으로 알려져 있다.
Figure 6. Command and Control 단계에서 사용되는 공격자의 행위들에 대한 EDR 탐지
4. Persistence / Defense Evasion
Akira 랜섬웨어 공격자는 새로운 계정을 추가한 후 해당 계정으로 감염 시스템을 제어하는 방식으로 지속성을 유지한다. 하지만 계정이 추가되면 로그온 시 추가된 계정이 보여지기 때문에 시스템의 사용자가 이를 인지할 수 있다. 이를 막기 위해 공격자는 SpecialAccounts에 생성한 계정을 등록하여 로그온 시에도 보이지 않게 한다.
Figure 7. 계정 은폐 행위에 대한 EDR 탐지
5. Lateral Movement
공격자들은 Credential Access 단계에서 수집한 자격 증명 정보를 활용해 측면 이동하여 조직의 내부망을 장악해 나갈 수 있다. Akira 랜섬웨어 공격자는 측면 이동 즉 탈취한 자격 증명 정보를 활용해 다른 시스템에 대한 제어를 획득하는 과정에서 RDP를 악용하거나 PsExec, Impacket의 wmiexec 도구를 사용하여 명령을 실행하였다.
Figure 8. Lateral Movement 단계에서 사용되는 공격자의 행위들에 대한 EDR 탐지
6. Collection / Exfiltration
Akira 랜섬웨어 공격자 또한 다른 랜섬웨어 공격자들처럼 조직의 시스템들을 암호화할 뿐만 아니라 그 이전에 정보들을 탈취하고 협박에 활용한다. 공격자들은 제어를 탈취한 시스템들에서 조직의 민감한 정보들을 수집하고 압축한 후 이를 탈취한다.
파일 및 폴더를 압축하는 도구들을 많지만 Akira 랜섬웨어 공격자는 주로 WinRAR를 활용하는 것으로 알려져 있으며 압축 파일은 이후 FTP 프로토콜 또는 클라우드 스토리지 서비스를 통해 탈취하였다. FTP 프로토콜의 경우 WinSCP 및 FileZilla가 사용되었으며 클라우드 스토리지 서비스인 Mega를 악용하거나 Rclone 도구를 사용하기도 하였다.
Rclone은 다양한 클라우드 스토리지 서비스들에 대해 파일 전송 기능을 지원하는 프로그램이다. 지원하는 운영체제도 윈도우, 리눅스, 맥 등 대부분의 운영체제들이며 지원하는 클라우드 서비스도 Dropbox, 구글 드라이브, 마이크로소프트 원 드라이브, MEGA 클라우드 등 대부분을 지원하는 것이 특징이다.
Figure 9. 정보 탈취 과정에서 사용되는 공격자의 행위들에 대한 EDR 탐지
7.Impact
Akira 랜섬웨어는 사용자의 파일들을 암호화한 후 “.akira” 확장자를 덧붙이며 “akira_readme.txt”라는 이름의 랜섬노트를 생성한다. 랜섬노트에는 Onion 주소와 함께 채팅 로그인에 사용할 피해자의 코드가 포함된 것이 특징이다.
Figure 10. Akira 랜섬웨어에 대한 EDR 탐지
8. 결론
Akira 랜섬웨어 공격자는 2023년 3월부터 현재 2025년 1월에도 활발하게 활동하고 있다. 알려진 취약점들을 공격하거나 탈취한 계정을 악용하여 조직에 침투한 이후 내부망을 장악해가면서 민감한 정보를 수집하고 최종적으로 장악한 시스템들을 암호화한 후 협상에 사용하여 수익을 얻고 있다.
AhnLab EDR은 외부에 알려진 Akira 랜섬웨어 공격자의 공격 방식에 대해 각 단계별로 위협을 탐지하여 관리자가 원인을 파악하고 적절한 대응 및 재발 방지 프로세스를 수립할 수 있도록 도와준다. 또한 조직에서 의심스러운 도구가 설치되거나 실행되는 행위에 관한 정보를 주요 행위로 수집해 보여줌으로써 관리자가 의심스러운 행위를 인지하고 대응할 수 있도록 한다.
행위 진단
– Execution/EDR.SharpHound.M11547
– LateralMovement/EDR.ADFind.M10710
– Infostealer/DETECT.Nltest.M10657
– Execution/EDR.AdvancedScanner.M12194
– Execution/EDR.Behavior.M10482
– CredentialAccess/EDR.Mimikatz.M11444
– CredentialAccess/EDR.Comsvc.M11596
– CredentialAccess/MDP.Dump.M11773
– CredentialAccess/EDR.NTDSUtil.M12395
– Execution/EDR.Event.M10819
– CredentialAccess/EDR.Password.M12276
– Execution/DETECT.AnyDesk.M11495
– Execution/DETECT.RustDesk.M12042
– Execution/DETECT.Radmin.M12410
– Execution/EDR.Ngrok.11445
– Execution/EDR.Proxy.M12411
– Suspicious/DETECT.MT1136.M2445
– Persistence/EDR.HideAccount.M11388
– LateralMovement/EDR.PSExec.M10481
– LateralMovement/EDR.Impacket.M12414
– Infostealer/DETECT.WinRAR.M12364
– Execution/DETECT.WinSCP.M11619
– Execution/DETECT.FileZilla.M11618
– Infostealer/EDR.Rclone.M11475
– Ransom/EDR.Decoy.M2470
| Tactic | Technique |
|---|---|
| Discovery (TA0007) | Remote System Discovery (T1018) System Owner/User Discovery (T1033) Network Service Discovery (T1046) Permission Groups Discovery: Local Groups (T1069.001) Permission Groups Discovery: Domain Groups (T1069.002) Account Discovery: Local Account (T1087.002) Account Discovery: Domain Account (T1087.002) Domain Trust Discovery (T1482) Group Policy Discovery (T1615) |
| Credential Access (TA0006) | OS Credential Dumping: LSASS Memory (T1003.001) OS Credential Dumping: Security Account Manager (T1003.002) OS Credential Dumping: NTDS (T1003.003) Credentials from Password Stores: Credentials from Web Browsers (1555.003) |
| Command and Control (TA0011) | Remote Access Software (T1219) Proxy (T1090) Protocol Tunneling (T1572) |
| Persistence (TA0003) | Create Account (T1136) |
| Defense Evasion (TA0005) | Hide Artifacts: Hidden Users (T1564.002) |
| Lateral Movement (TA0008) | Lateral Tool Transfer (T1570) Remote Services: SMB/Windows Admin Shares (T1021.002) |
| Collection (TA0009) | Archive Collected Data: Archive via Utility (T1560.001) |
| Exfiltration (TA0010) | Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted Non-C2 Protocol (T1048.003) Exfiltration Over Web Service: Exfiltration to Cloud Storage (T1567.002) |
| Impact (TA0040) | Financial Theft (T1657) Data Encrypted for Impact (T1486) |
MITRE ATT&CK 매핑 정보
