다크트레이스, 알려지지 않은 랜섬웨어 탐지 사례 공개

당시 미분류된 Blackbyte 랜섬웨어 공격 타임라인 (출처.다크트레이스)

미분류 공격이 지속적으로 발생하며, 새로운 위협 그룹과 멀웨어가 계속 밝혀지고 있다. 새로운 위협 그룹과 기존 그룹 모두 C2 도메인 ,파일 해시 및 기타 위협 인프라를 변경하여 기존 시그니쳐 및 모델 기반 솔루션이 탐지 할 수 없도록 한다. 제로데이 공격도 점점 더 명확해지고 있다.

최근 멘디언트 보고서에 따르면, 2021년에 식별된 제로데이 수가 2020년 32건 대비 80건으로 크게 증가한 것으로 나타났다. 보다 구체적으로 말하면, 랜섬웨어 그룹이 악용하는 제로데이의 수는 계속 증가하는 추세다. 이러한 추세는 2022년까지 계속 될 것으로 보인다. 이러한 Zero-Day 공격의 알려지지 않은 특성을 감안할 때 기존 시그니쳐 및 모델 기반 접근 방식을 사용하여 사이버 공격을 방어하는 것은 어렵다. 네트워크 상의 비 정상적인 동작을 탐지하는 이상 징후 탐지 기반 솔루션이 이러한 위협을 효과적으로 탐지 할 수 있다.

다크트레이스 측은 “기업은 랜섬웨어 같은 사이버 위협에 노출되었을 때 데이터가 암호화 되기 전에 신속하게 이를 식별하고 방지하는 것이 특히 중요하다. 랜섬웨어가 다양해지고 많은 변종이 생기면서 분류되지 않은 수 역시 증가했다”며 “최근 많은 제로데이의 탐지 사례가 있지만 2021년 여름에 탐지한 랜섬웨어 공격을 살펴보겠다. 해당 랜섬웨어는 OSINT에 분류되거나 발견되기 전이었으며, 동아프리카 금융 조직의 네트워크 내에서 발생했다”고 전했다.

아래 그림이 당시 미분류된 Blackbyte 랜섬웨어 공격 타임라인이다.

AI 분석가가 측면 이동 초기에 의심스러운 특성을 감지하였고, 새로 생성된 계정을 사용하여 VPN 서버에서 도메인 컨트롤러로 RDP, DCE-RPC 및 SMB 연결을 확인했다.

다크트레이스(Darktrace) 분석 내용에 따르면, 2021년 7월 6일 NTLM을 통한 외부 연결 VPN 서버에서 여러 사용자 계정이 무차별 대입되었다. 특히 해당 대입에는 "Administrator" 계정 명도 포함되었다.

다크트레이스는 이러한 초기 무차별 대입 활동에 대해 탐지 및 경고했지만 이전에도 해당 서버에 유사한 시도가 있었기 때문에 우선 순위가 높은 위협으로 처리하지는 않았다고 전했다.

VPN 서버에 무차별 대입 공격에 성공한 후 공격자는 새 사용자 계정을 만들어 AD서버의 관리자 그룹에 추가 했다. 추가된 사용자 계정은 이후 내부 도메인 컨트롤러에 대한 RDP 세션에 사용되었다. Cyber AI Analyst는 장치의 평소 정상적인 활동과 비교하여 이러한 관리자 접근이 비정상적인 부분을 파악하여 경고했다.

Cyber AI Analyst가 파악한 손상 서버 중 하나에 대한 다양한 공격 단계의 예시

위 그림은 AI 분석가가 측면 이동 초기에 의심스러운 특성을 감지하였고, 새로 생성된 계정을 사용하여 VPN 서버에서 도메인 컨트롤러로 RDP, DCE-RPC 및 SMB 연결을 확인한 내용이다.

20분도 되지 않아 새 자격 증명으로 도메인 컨트롤러에 대한 정찰이 시작되었고, 여기에는 SAMR(보안 계정 관리자)과 같은 중요한 파일을 포함하여 다양한 파일에 엑세스되는 SMB 열거(Enumeration)가 포함되었다. 그 후 이틀 동안 다운타임이 발생하여 위협 요소가 발견되지 않았다.

7월 8일 의심스러운 네트워크 행위가 재개되었고, 앞에서 본 기본 관리자 자격이 두 번째 내부 도메인 컨트롤러에서도 사용되었다. 몇 시간 후 이 장치는 외부 IP에 연결되었다. 당시 OSINT는 이러한 연결이 외부 침투 테스트 도구와 관련이 있을 수 있다고 했다.

이후 이틀 동안 여러 네트워크 장치에서 시작된 광범위한 정찰 및 측면 이동 활동이 수행되었고 아래와 같은 기술이 사용되었다.

-원격 명령 실행을 위한 PsExec와 같은 합법적인 관리자 서비스 공격

-SMB 버전 1과 같이 네트워크에서 여전히 사용 중인 레거시 프로토콜 활용

-Kerberos를 통한 강제 로그인 시도

-Metasploit 및 Nmap을 포함한 다른 침투 테스트 도구 사용(취약점 조사를 위해 사용)

7월 10일 랜섬되어가 침투하였고, 파일 암호화가 발생하면서 ".blackbye"의 확장자 파일이 여러 게 추가되었다. 당시에는 해당 확장자나 랜섬웨어 유형에 대한 OSINT 참조가 없었기 때문에 시그니처 기반 솔루션은 감지를 하지 못했을 것이다. BlackByte 랜섬웨어가 불과 몇주 전에 등장 하였고, 이후 랜섬웨어 서비스화(Ransomeware-as-a-Service) 그룹은 전 세계 주요 인프라를 공격하고 있다. 1년이 지난 지금도 그들은 여전히 활동적이며, 위협적이다.

이러한 기준 툴을 사용한 공격(Living-off-the-land), 많이 알려진 침투 테스트 도구 및 새로운 유형의 랜섬웨어 공격은 시그니처가 알려지지 않았기 때문에 침투가 가능하다. 레거시 보안 솔루션은 이러한 공격 중 일부는 식별할 수 있겠지만 한계가 있다. 다크트레이스는 이러한 새로운 공격 방식도 행동 패턴을 위주로 탐지하기에 크게 문제되지 않다고 전했다.

당시 다크트레이스 고객은 자율대응 실행을 하지 않았기 때문에 데이터가 암호화 되었지만, 공격이 시도 될때 이러한 행위들이 고위험 비정상행위로 탐지되었다. 회사 측은 “만약 고객이 PTN(Proactive Threat Notification) 서비스에 가입이 되어 있었다면, 이러한 위협을 원격으로 확인하여 알려주었을 것이며, ATE(Ask the Expert)에 가입이 되어 있었으면 본사 분석을 통해 손상 가능성이 있는 장치 및 인증 목록을 포함한 손상 여부에 대해 제공해 줄수 있다”며 “이를 통해 고객은 사후 복구를 효과적으로 진행할 수 있으며, 랜섬웨어가 확산되는걸 방지할 수 있다”고 설명했다.

다크트레이스 관계자는 “기존의 보안 솔루션은 시그니처를 활용하는 랜섬웨어 등에 잘 대처할 수 있지만, 다크트레이스는 알려지지 않은 새로운 유형의 공격을 탐지하는데 필요하다. 즉 시그니처 및 모델기반의 방어는 이러한 공격에 노출되게 된다”며 “알려진 IOC가 없기 때문에 피해를 받은 기업은 손상된 장치나 인증을 식별하는 방법을 모를 경우 복구가 훨씬 어려울 수 있다. 다크트레이스의 모델 위반(Model Breaches)은 IOC와 관련이 없어서 사이버 킬 체인의 각 부분에서 의심스러운 활동을 강조하고 고객의 손상 부위를 효율적으로 식별하고 해결할 수 있도록 지원한다”고 밝혔다.

◆사이버위협 대응 인공지능 정보보호 컨퍼런스 ‘AIS 2022’ 개최(보안교육 7시간 이수)

-주최: 데일리시큐

-대상: 정부, 공공, 기업, 금융, 교육, 의료 등 전분야 CISO, CPO, 정보보안 실무자 600여 명

-일시: 2022년 11월 15일(화) 오전9시~오후5시

-장소: 더케이호텔서울 2층 가야금홀

-교육이수: 공무원 정보보호 및 개인정보보호 교육 이수 7시간 인정(CPPG/CISSP 등 자격증 7시간 인정)

-점심/주차: 점심식사는 제공하지 않습니다. 주차권은 1일 무료주차권을 드립니다.

-참석확인증: 행사 종료후 설문지를 제출해 주신 참관객에게 메일로 일괄 발송

-등록마감: 2022년 11월 14일 오후 5시

-전시회: 국내·외 최신 개인정보보호/정보보안 솔루션 소개

-문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

-사전등록: 클릭