오브의 빛나는 별

랜섬웨어의 감염 경로는 드라이브-바이 다운로드 공격과 스팸 메일 그리고 메일 서버에 직접 침투하여 설치하는 형태를 가짐. 또한 취약성을 이용하여 네트워크를 통해 스스로 전파하는 웜 형태도 나타남랜섬웨어 감염 경로악성 이메일봇넷을 임대하여 진행메일 서버를 탈취하여 진행메일에 랜섬웨어 감염 파일을 첨부해 전달다운로더 형태의 파일 전달실행하면 랜섬웨어를 다운로드하고 실행마이크로 오피스에서 사용하는 매크로 기능을 자주 이용JavaScript(.js)나 Windows Script File(.wsf)을 이용하기도 함첨부파일 자체가 랜섬웨어인 경우도 있음“고소장.doc.lnk” 바로가기와 함께 PE 파일로 구성된 “증거사진.jpg” 파일 실행 → 고소장.doc.lnk 실행 시 랜섬웨어를 동작시키는 C:\\Window..

몸값을 요구하는 Ransom과 제품을 의미하는 Ware의 합성어로 피해자의 시스템이나 파일을 볼모로 잡아 공격자의 요구사항을 수행할 수 밖에 없도록 구성하는 악성코드랜섬웨어 정의몸값을 요구하기 위해 암호학, 비암호학 등 다양한 방법 사용비암호학보통 Locker로 분류(MBR, 스크린 세이버 등 락을 걸어 협박게임 시간이나 점수를 만족해야 풀어주는 랜섬웨어도 등장랜섬웨어 역사암호학을 이용한 랜섬웨어의 발전은 2013년부터 시작본격적인 발전은 2014년부터 시작초기 암호기 관리 미흡으로 쉽게 대응 가능추적이 어려운 디지털 화폐 발생다양한 언어로 다양한 플랫폼에 적용 가능배포, 제작이 서비스 형태로 제작기존 고급 공격 기법과 조합이 쉬움 ex) APT + Ransomware암호화를 이용하는 랜섬웨어는 하이브리..

POS기 해킹은 생각보다 빈번하게 발생하지만, 뉴스화된 경우가 적음. 대형 호텔의 POS기가 악성코드로 인해 오작동을 일으킨 사건이 있음2010년 스턱스넷이 발경된 이후 산업기반시설을 대상으로 한 공격도 꾸준히 발생 중. 국내에서는 서울 메트로에서 발생한 사건 존재산업 기반 시설 악성코드2015년 서울 메트로 해킹업무용 컴퓨터 관리 서버 해킹그 후 내부 PC 악성코드에 감염로그 관리 기간이 5개월 → 5개월 이전 공격 유무 및 유출 유무 파악 힘듦특별 감사 보고서 작성 및 공개분석, 감사 등 원인 규명하기 전 대부분 업무용 PC 포맷북한으로 추정국가의 보안을 책임지는 군사망을 해킹하는 사건 발생. 중국, 러시아, 미국 등 강대국은 서로의 국방력을 강화하거나 상대 국방력을 파악하기 위해 해킹 시도특수망 해..

- Medusa 랜섬웨어는 첨단 기술, 교육, 제조, 의료 등 광범위한 산업을 표적으로 삼는 것으로 알려짐 - 취약점이 있는 자산이나 애플리케이션을 악용하고 합법적인 계정을 하이재킹하는 것으로 시작 - 랜섬웨어 실행 시, .dll, .exe, .lnk 및 .medusa 확장자 파일 열거 후 암호화 진행 LotL(living off-the-land) 기술: 대상 컴퓨터에 이미 설치된 도구를 사용하거나 간단한 스크립트와 셸 코드를 메모리에서 직접 실행하는 공격 https://thehackernews.com/2024/01/medusa-ransomware-on-rise-from-data.html Medusa Ransomware on the Rise: From Data Leaks to Multi-Extortion..

- 최근 이력서를 사칭하여 LockBit 랜섬웨어와 Vidar 정보 탈취형 악성코드가 함께 유포 중인 정황 확인 - 인포스틸러는 텔레그램 웹 사이트에 명시되어 있는 문자열을 C2서버로 활용하여 주기적인 C2 변경을 통해 네트워크 탐지를 우회 LockBit 랜섬웨어: 2019년 말에 등장하였으며 러시아에 기반을 두고 전 세계의 기업 및 공공기관을 대상으로 활동. 'lockbit' 확장자를 가진 파일로 암호화하여 데이터(파일, 이미지, 비디오)에 대한 액세스를 제한하는 파일 암호화 랜섬웨어 Vidar InfoStealer: 사용자 정보를 유출하는 기능을 갖는 인포스틸러 악성코드 https://asec.ahnlab.com/ko/58252/ 이력서를 사칭하여 유포되는 LockBit 랜섬웨어와 Vidar Info..

- Phobos 랜섬웨어는 파일 감염 시 원본 확장자 뒤에 감염 PC의 VSN, 공격자 메일주소 등의 정보들이 추가됨 - 해당 랜섬웨어는 지속성 유지를 위해 악성코드를 특정 경로에 복사하고 RUN 키에 등록함으로써 재부팅 이후에도 재실행될 수 있도록 함 - AES로 암호화된 명령어 문자열을 디코딩 한 후 “cmd.exe” 프로세스의 인자로 실행하는 방식으로, 방화벽 비활성화 및 볼륨 쉐도우 복사본을 삭제 Phobos 랜섬웨어: Dharma, CrySis 랜섬웨어와 기술 및 운영상의 유사점을 공유하는 변종 형태로 알려진 랜섬웨어. 외부에 노출된 보안이 취약한 RDP 서비스를 공격 벡터로하여 유포 초기 침투(Initial Access): 조직 네트워크 내에서 초기 발판(foothold)을 확보하기 위한 기술..

- AvosLocker는 오픈 소스 원격 시스템 관리 도구와 LotL(living off-the-land)에 의존하여 흔적을 남기지 않고 조직의 네트워크를 손상 - Mozilla를 사칭하여 Thunderbird의 트로이 목마 버전을 설치하도록 속이는 악성 광고 캠페인을 활용하여 악성파일 배포 중 LotL : PowerShell, WMI또는 암호 저장 도구인 Mimikatz 등 대상 컴퓨터에 설치된 도구를 사용하여 공격 수행 https://thehackernews.com/2023/10/fbi-cisa-warn-of-rising-avoslocker.html FBI, CISA Warn of Rising AvosLocker Ransomware Attacks Against Critical Infrastructur..

- 국내 기업 대상으로 상대적으로 최근에 제작된 하쿠나 마타타 랜섬웨어로 공격 - ClipBanker 기능이 함께 존재하는 것이 특징으로 시스템 암호화 후 공격에 사용된 악성코드와 이벤트 로그를 삭제하여 정확한 정보를 확인하기 어려움 - RDP가 최초 공격 벡터로 이용되었을 것으로 추정되고 %LOCALAPPDATA%\rundll32.exe 경로에 하쿠나 마타타를 복사하여 실행함으로써 정상 프로세스로 위장 하쿠나 마타타(Hakuna matata) 랜섬웨어: 컴퓨터에 있는 파일을 암호화하고 파일을 공개하는 대가를 요구하는 공격 유형 RDP(Remote Desktop Protocol): 원격 데스크톱 서비스, 마이크로소프트사가 개발한 사유 프로토콜로, 다른 컴퓨터에 그래픽 사용자 인터페이스를 제공하는 프로토콜..