RDP를 침투 경로로 사용하는 랜섬웨어 공격 사례들 – EDR 탐지 Posted By Sanseo , 2023년 11월 27일 원격 데스크톱 서비스(Remote Desktop Services)는 다른 PC를 원격으로 제어할 수 있는 기능을 뜻하며 윈도우 운영체제에서는 RDP(Remote Desktop Protocol)를 이용해 이러한 서비스를 기본적으로 제공한다. 이에 따라 제어 대상 시스템이 윈도우를 사용한다면 추가적인 원격 제어 도구들을 설치하는 과정 없이 RDP를 이용해 원격 대상에 대한 제어가 가능하다. 원격 제어를 위해서는 대상 시스템에 대한 자격 증명 정보를 알아야 하며 이를 이용해 로그온 하는 과정이 필요하다. 이에 따라 RDP가 활성화되어 있는 시스템이 외부에 공개되어 있을 경우 공격자들은 브루트 포싱 공격(또는 사전 공격)을 수행해 자격 증명…
국내 기업을 대상으로 공격 중인 하쿠나 마타타(Hakuna matata) 랜섬웨어 Posted By Sanseo , 2023년 8월 7일 ASEC(AhnLab Security Emergency response Center)은 최근 하쿠나 마타타(Hakuna matata) 랜섬웨어가 국내 기업 대상 공격에 사용 중인 것을 확인하였다. 하쿠나 마타타는 상대적으로 최근에 제작된 랜섬웨어이다. 하쿠나 마타타 랜섬웨어와 관련된 정보들 중 최초로 확인되는 것은 2023년 7월 6일 트위터에서 언급된 내용이며, [1] 이후 2023년 7월 14일에는 공격자가 다크웹에서 하쿠나 마타타를 홍보하는 게시글이 트위터에서 공유되었다. [2] 또한 VirusTotal에 업로드된 하쿠나 마타타 랜섬웨어들 중에서도 2023년 7월 2일에 업로드된 파일이 최초인 것으로 확인된다. 하쿠나 마타타는 전형적인 랜섬웨어들과 달리 ClipBanker 기능이 함께 존재하는 것이 특징이다. 암호화…
매그니베르 랜섬웨어의 인젝션 V3 탐지 차단(Direct Syscall Detection) Posted By ohmintaek , 2023년 8월 3일 매그니베르(Magniber) 랜섬웨어는 높은 유포건수를 보이며 꾸준히 유포되고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되었지만, IE(Internet Explorer)의 지원 종료시기를 기점으로 IE 취약점 유포를 중단하였다. 그리고 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서 Windows 보안 업데이트 패키지(ex_ERROR.Center.Security.msi)로 파일명을 위장해 유포되고 있다. 현재 매그니베르 랜섬웨어(Magniber)는 실행중인 프로세스에 랜섬웨어를 주입하여 실행중인 프로세스가 사용자의 파일을 암호화하는 피해를 발생시킨다. 해당 글을 통하여 현재 유포되고 있는 매그니베르 랜섬웨어의 감염 흐름 과 랜섬웨어 주입방식 및 새로운 탐지 기법(Direct Syscall Detection)에 대해 설명한다. [그림 1]은 매그니베르 랜섬웨어의 감염…
RDP를 통해 Venus 랜섬웨어를 설치하는 Crysis 공격자 Posted By Sanseo , 2023년 6월 23일 ASEC(AhnLab Security Emergency response Center)은 최근 Crysis 랜섬웨어 공격자가 Venus 랜섬웨어를 공격에 함께 사용하고 있는 것을 확인하였다. Crysis와 Venus 랜섬웨어 모두 주로 외부에 노출된 원격 데스크탑 서비스를 공격 대상으로 하는 것으로 알려진 대표적인 랜섬웨어들이다. [1] 실제 자사 AhnLab Smart Defense(ASD) 인프라에서 확인되는 로그들을 통해서도 공격이 RDP를 통해 수행되고 있는 것으로 추정하고 있다. 공격자는 Crysis와 Venus 랜섬웨어 외에도 포트 스캐너, 미미카츠와 같은 다양한 도구들을 설치하였다. 이러한 도구들을 이용해 감염 시스템이 기업 내부망으로 확인될 경우에는 내부 네트워크 또한 공격 대상이 될 수…
MS-SQL 서버를 공격 중인 Trigona 랜섬웨어 Posted By Sanseo , 2023년 4월 10일 AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Trigona 랜섬웨어가 설치되고 있는 것을 확인하였다. Trigona는 상대적으로 최근이라고 할 수 있는 2022년 10월 최초로 확인된 랜섬웨어로서 최근 Unit 42에서도 CryLock 랜섬웨어와의 유사성을 바탕으로 보고서를 공개한 바 있다. [1] 1. 부적절하게 관리되고 있는 MS-SQL 서버 부적절하게 관리되고 있는 MS-SQL 서버라고 한다면 주로 외부에 노출되어 있으면서 계정 정보를 단순하게 설정하여 무차별 대입 공격이나 사전 공격에 취약한 환경을 말한다. 만약 공격자가 로그인에 성공할 경우 시스템에 대한 제어는 공격자에게 넘어가게 되며…
