Trellix 소개 비디오

Trellix 소개

열정 가득한 천문학자의 삶에서 그 순간은 처음으로 망원경을 구입할 때입니다.

XDR 솔루션 개요

XDR 솔루션 개요

언제나 상황에 맞춰 조정되는 XDR 에코시스템이 기업에 어떻게 활력을 불어넣을 수 있는지 알아보십시오.

Gartner Magic Quadrant 엔드포인트 보호 플랫폼 부문

Gartner MQ(엔드포인트)

실행 능력과 완벽한 가시성을 기반으로 19개의 공급업체를 평가하는 Magic Quadrant 보고서를 다운로드하십시오.

Gartner Marketplace 안내서(XDR)

Gartner® 보고서: XDR용 시장 안내서

Gartner를 인용하자면, quot;XDR은 향상된 위협 예방, 탐지 및 대응을 제공할 수 있는 새롭게 대두된 기술quot;입니다.

Log4J와 메모리 - 뉴스

2022년 위협 예측

2022년에는 기업이 어떤 사이버 보안 위협을 조심해야 할까요?

Log4J와 메모리 - 뉴스

Log4J와 메모리는 너무 많은 것을 알고 있다

사이버 보안 업계는 쉴 틈도 없이 바쁩니다. 그리고 바로 지금이야말로 이런 관념을 비즈니스의 역량을 강화할 기회이자 기폭제로 삼아야 합니다.

McAfee Enterprise와 FireEye가 Trellix로 새롭게 출발

McAfee Enterprise와 FireEye가 Trellix로 새롭게 출발

사이버 보안 부문의 신뢰할 수 있는 두 리더가 탄력적인 디지털 세상을 만들고자 힘을 합쳤습니다.

Trellix CEO

살아 있는 보안에 대한 CEO의 의견

Trellix의 CEO인 Bryan Palma는 보안에 꼭 필요한 중요한 점은 늘 학습이라고 설명합니다.

Trellix Advanced Threat Research 보고서:
2021년 10월

저희는 확산 그 자체에 새롭게 주목하기로 했습니다. 즉, 전 세계적으로 위협이 목격되는 빈도뿐만 아니라 이제부터는 어떤 경우 표적이 되는지도 중요하게 다루기 시작했다는 것입니다.


수석 과학자 서한

환영합니다. 새로운 위협 보고서와 새로운 회사를 만나보십시오.

지난 위협 보고서를 받아보신 이후로 많은 것이 바뀌었습니다. DarkSide 랜섬웨어 그룹은 브랜드만 변경했을 뿐 사라지지 않았으며 DarkSide와 BlackMatter 간의 연결 혐의를 파고들지 않으리라고 예상했다는 사실을 간파해낸 것입니다. 그뿐만 아니라 주입기에 관한 최근 연구 결과는 보안 연구의 중요성을 보여주고 있습니다. 이 부분은 보고서 후반부에서 자세하게 논의하겠습니다.

저희 팀은 새롭게 엔터프라이즈 사이버 보안을 전담하는 McAfee Enterprise로 이전하였으며, 연구 결과 역시 McAfee Labs가 아닌 다른 이름으로 공개할 예정입니다. 하지만 걱정하지 마십시오. 연구 결과는 새로운 McAfee Enterprise ATR Twitter 피드(@McAfee_ATR)에서 계속 확인할 수 있습니다. @McAfee_ATR.

물론 실제 변경 사항은 Twitter 피드로 간단히 소개한 내용보다 더 많으며, 이 중 일부는 새로운 위협 보고서에 반영되었습니다. 저희는 확산 그 자체에 주목하기로 했습니다. 즉, 전 세계적으로 위협이 목격되는 빈도뿐만 아니라 이제부터는 어떤 경우 표적이 되는지도 중요하게 다루기 시작했다는 것입니다. 이번 연구 결과는 추가적인 분석으로 뒷받침되었으며 현재와 미래에 잠재적으로 악용될 수 있는 취약점뿐만 아니라 위협 행위자에 관한 적극적인 연구를 반영하여 보고서에서 자세히 다루어질 것입니다.

이 새로운 형식을 즐기시기 바라며 자유롭게 다양한 의견을 담은 피드백을 보내 주십시오. 가장 중요한 것은, 귀사에서 저희 팀에 기대하는 바에 부합하는 것입니다.


# 랜섬웨어

랜섬웨어 확산 증가

2021년 2분기에서 3분기로 넘어가면서 사이버 범죄자들은 새롭고 업데이트된 위협과 전술을 주요 부문을 표적으로 삼는 캠페인에 도입했습니다. 랜섬웨어 캠페인은 비즈니스 모델을 발전시켜 크고 작은 기업으로부터 귀중한 데이터와 수백만 달러의 보상금을 빼내며 확산세를 유지했습니다.

DarkSide가 Colonial Pipeline의 가스 공급을 공격한 저명한 사례가 5월에 사이버 보안 업계 헤드라인을 장식했습니다. MVISION Insights는 DarkSide가 미국 내에서 표적으로 삼는 부문이 법률 서비스, 도매 및 제조, 석유, 가스, 화학 부문으로 점점 확산하고 있다는 사실을 빠르게 감지했습니다.

미국 내 주요 가스 공급망을 폐쇄한 사례는 공무원과 보안 운영 센터뿐만 아니라, 유사한 제휴 모델을 운영하는 다른 랜섬웨어 그룹의 관심도 집중시켰습니다. Ryuk, REvil, Babuk 및 Cuba 랜섬웨어는 일반적인 진입 벡터 및 유사한 도구를 악용하기 위해 다른 그룹의 개입을 지원하는 비즈니스 모델을 적극적으로 배포했습니다. 이 그룹과 다른 그룹 및 계열사는 공통적인 진입 벡터를 활용하고 있으며 대부분 환경 내에서 이동할 때 사용하는 도구가 모두 동일한 것으로 확인되었습니다. DarkSide의 공격이 있은 지 얼마 되지 않았을 때 REvil 조직은 세계적인 IT 인프라 제공업체인 Kaseya를 대상으로 랜섬웨어 공격 시 Sodinokibi 페이로드를 사용하여 주목을 받았습니다. REvil/Sodinokibi는 2021년 2분기 랜섬웨어 감지 목록에서 1위를 차지했습니다.

랜섬웨어군 탐지

REvil/Sodiniokibi
RansomeXX
Ryuk
Netwalker
Thanos
MountLocker
WastedLocker
Exorcist
Conti
Maze

그림 01. REvil/Sodinokibi는 10대 랜섬웨어 감지 사례의 73%를 차지하며 2021년 2분기 랜섬웨어 감지 1위에 올랐습니다.

세간의 이목을 끌었던 공격 이후 DarkSide와 REvil는 어둠 속으로 사라지고 7월에 DarkSide의 계승자가 등장했습니다. BlackMatter 랜섬웨어는 주로 이탈리아, 인도, 룩셈부르크, 벨기에, 미국, 브라질, 태국, 영국, 핀란드 및 아일랜드에서 DarkSide, REvil 및 LockBit 랜섬웨어의 요소를 통합한 서비스형 랜섬웨어(RaaS) 제휴 프로그램으로 등장했습니다. BlackMatter는 부인했으나 바이너리 코드 유사성 및 공개 페이지가 DarkSide와 유사하다는 점을 근거로 대부분 BlackMatter 랜섬웨어가 DarkSide 랜섬웨어의 연속체일 가능성이 크다는 것에 동의했습니다.

2021년 중반에는 변형된 ‘구형’ 랜섬웨어도 발견되었습니다. LockBit 2.0 랜섬웨어는 2020년 LockBit가 업데이트된 버전으로, 도메인을 사용하는 장치를 자동으로 암호화한 다음 RDP를 통해 데이터를 추출하여 시스템에 액세스하는 새로운 기능과 표적 기업 내부에서 새로운 계열사를 모집하는 기능을 갖추었습니다.

랜섬웨어 개발자들은 새로운 캠페인도 도입했습니다. Hive 랜섬웨어군은 2021년 6월 인도, 벨기에, 이탈리아, 미국, 터키, 태국, 멕시코, 독일, 콜롬비아, 우크라이나에 유포되면서 처음 발견되었고, 보건의료 및 핵심 인프라 조직을 침해하는 GO 언어를 이용한 Ransomware-as-a-Service로 운영되었습니다.

당사의 팀에서는 언더그라운드 포럼의 예상치 않은 대응, 표적 부문, 오픈 소스 인텔리전스와 원격 측정 사이 델타를 비롯하여 보다 심층적으로 랜섬웨어를 연구하고 있습니다.

언더그라운드 포럼에서 퇴출당한 랜섬웨어 확산

2021년 2분기는 미국 행정부에서 랜섬웨어를 가장 중요한 사이버 안건으로 주목한 열띤 분기였으며 그동안 잠잠했던 사이버 범죄 언더그라운드 포럼 상황이 격변했던 시기이기도 했습니다.

랜섬웨어 공격 영향은 DarkSide 랜섬웨어 공격으로 Colonial Pipeline이 강제 폐쇄되었을 때 매우 명백해졌습니다. 갑작스러운 공급망 중단은 미국 동부 대부분 지역에 영향을 미쳤고 연료 공급이 끊긴 소비자들은 불안에 떨었습니다. 공격과 이로 인한 소비자 관련 및 경제적 영향은 랜섬웨어가 진정한 치명적 타격을 가할 수 있다는 것을 보여주면서 보안당국의 전폭적인 관심을 모았습니다.

Colonial Pipeline 공격 영향에 관한 정치적 대응에 따라 DarkSide 랜섬웨어 그룹은 갑자기 운영을 중단해야 했습니다. 그밖의 몇몇 위협 그룹들도 향후 표적을 점검하여 특정 부문을 제외할 것이라고 발표했습니다.

일주일 후에 가장 영향력 있는 언더그라운드 포럼인 XSS와 Exploit에서 랜섬웨어 광고 금지를 발표했습니다. 수년간 이와 동일한 포럼들이 사이버 범죄와 랜섬웨어 붐에 안전한 피난처를 제공했으며, 그 결과 침해된 네트워크, 스틸러 로그 및 크립터 서비스 거래가 활발해졌습니다. 주요 랜섬웨어군의 배후의 많은 위협 행위자가 직업 범죄자이고 종종 포럼 관리자 및 중재자와 긴밀한 관계를 맺고 있다는 것을 고려했을 때 이 제스처는 포럼 생존을 위한 행위였다고 생각합니다.

랜섬웨어 관련 온라인 페르소나는 금지되었지만, 당사 팀은 위협 행위자들이 다른 페르소나로 몇몇 포럼에서 여전히 활동하고 있는 것을 관찰했습니다.

The Admin of XSS calling for the ban on Ransomware

그림 02. 랜섬웨어 금지를 요구하는 XSS 관리자

그동안 Babuk 랜섬웨어 그룹은 자체적인 이슈를 겪고 있었으며, 그중 하나인 결함 *nix ESXi 락커는 블로그에서 자세히 설명했습니다.

결국 Babuk 팀은 내부 분쟁으로 분리되고 RAMP로 알려진 새로운 랜섬웨어 전용 포럼이 시작되면서, 많은 랜섬웨어 중심 사이버 범죄자들이 비즈니스를 하고 TTP를 공유하기 위해 모여들고 있습니다. 일부 대규모 사이버 범죄 포럼을 금지했음에도 불구하고 랜섬웨어는 진정될 기미를 보이지 않고 있으며, 따라서 여전히 모든 규모의 조직이 직면할 수 있는 가장 영향력 있는 사이버 위협 중 하나로 간주해야 합니다.

랜섬웨어 표적 부문: 오픈 소스 인텔리전스와 원격 측정 간 데이터 델타

많은 랜섬웨어 조직이 포털에 공격한 피해자와 수집한 데이터 샘플을 공개하면서 데이터 유출이나 판매를 빌미로 피해자가 대가를 지불하도록 협박합니다. 유출 사이트는 실패한 협상 사례이고 랜섬웨어 조직이 실행한 공격 전체를 반영하고 있지는 않지만 보고된 부문과 지역에 관한 정보는 주목할 만한 데이터입니다.

당사의 팀에서는 그 페이지 중 많은 부분을 모니터링하고 랜섬웨어군의 이름을 수집하며, 피해자를 부문 및 국가별로 분류하고 있습니다. 데이터를 수집한 다음 컴파일링한 결과 랜섬웨어군이 표적으로 설정한 미국 내 상위 10대 부문을 알 수 있었습니다.

정부
텔레콤
에너지
미디어
산업
교육
회계
기술
금융
교통

그림 03. 2021년 2분기에 가장 여러 번 랜섬웨어의 표적이 되었던 부문은 정부였으며, 텔레콤, 에너지, 미디어 및 통신이 그 뒤를 이었습니다.

원격 측정 관점에서 미국 센서에서 수집하여 관찰된 랜섬웨어 활동과 매핑하고 Open-Source Intelligence(OSINT) 보고 부문과 비교한 결과는 다음과 같습니다.

원격 측정 보고 부문 OSINT 보고 부문

정부

제조

금융

소매

교육

보건의료

텔레콤

건설

에너지

교통

미디어

교육

산업

비즈니스

부동산

법적 고지 사항

법적 고지 사항

금융

기술

IT

표 01. 두 부문 사이의 거리가 멀수록 더 잘 보호되고 있으며, 거리가 가까울수록 랜섬웨어 위협을 더욱 조심해야 함을 의미합니다.

이 차이가 의미하는 것은 무엇입니까? 델타란 무엇입니까? 원격 측정 관점에서, 저희 팀은 고객이 있는 부문에서 감지 및 차단된 랜섬웨어 활동을 관찰합니다. 원격 측정에서 제1의 표적 부문이었던 정부를 보면, 해당 부문을 표적으로 삼은 시도들이 성공하지 못했다는 사실을 알 수 있습니다. OSINT 보고 부문에서는 중요한 비즈니스 서비스 지원을 위해 IT 서비스 기능의 수요가 높은 부문이 랜섬웨어 조직의 표적 목록에서 높은 순위를 점유하는 것으로 나타났습니다.

공격 패턴/기술
  1. Data Encrypted for ImpactData Encrypted for Impact목록 중 비율 - 14%
  2. File and Directory DiscoveryFile and Directory Discovery목록 중 비율 - 13%
  3. Obfuscated Files or InformationObfuscated Files or Information목록 중 비율 - 11%
  4. Process InjectionProcess Injection목록 중 비율 - 11%
  5. Deobfuscate/Decode Files or InformationDeobfuscate/Decode Files or Information목록 중 비율 - 10%
  6. Process DiscoveryProcess Discovery목록 중 비율 - 10%
  7. Inhibit System RecoveryInhibit System Recovery목록 중 비율 - 9%
  8. PowerShellPowerShell목록 중 비율 - 9%
  9. System Information DiscoverySystem Information Discovery목록 중 비율 - 9%
  10. Modify RegistryModify Registry목록 중 비율 - 9%

표 02. 강력한 데이터 암호화는 2021년 2분기에 가장 많이 감지된 공격 패턴이었습니다.


B BRAUN: 전 세계적으로 사용되는 주입기의 취약점 발견

의료 산업은 고유한 보안 문제에 직면해 있습니다. 의료 센터에 관한 잠재적 공격은 시스템 전체 랜섬웨어 공격보다 훨씬 더 큰 위협을 제기할 수 있습니다. 당사 팀은 Culinda와 협력하여 B. Braun Infusomat Space 대용량 펌프와 B. Braun SpaceStation에서 일련의 취약점을 발견했습니다.

연구 결과, 의료 시스템에서 이전에 보고된 적이 없는 다음과 같은 5가지 취약점을 발견했습니다.

  1. CVE-2021-33886: 외부 제어 형식 문자열 사용(CVSS 7.7)
  2. CVE-2021-33885: 데이터 신뢰성에 관한 불충분한 검증(CVSS 9.7)
  3. CVE-2021-33882: 중요 기능에 관한 인증 누락(CVSS 8.2)
  4. CVE-2021-33883: 민감한 정보의 일반 텍스트 전송(CVSS 7.1)
  5. CVE-2021-33884: 위험한 유형의 파일 무제한 업로드(CVSS 5.8)

취약점을 악의적인 위협 행위자가 사용할 경우 대기 중인 주입기의 구성을 변경하여 이후 환자에게 사용할 때 적정 약물 용량과 다르게 투입되는 결과를 유발하게 되며, 이 모든 과정에서 인증 절차가 사라집니다.

당사 팀이 초기 관찰 결과를 B. Braun에 보고한 직후 회사는 당사 팀과 협력하여 공개 보고서에 명시된 완화 조치를 채택하는 것으로 이에 대처했습니다.

이 연구 결과는 의료 산업이 직면하고 있는 고유한 과제를 해결함과 동시에 가장 중요한 공격 체인 개요 및 기술적 세부 사항을 제공합니다. 간략한 요약은 블로그를 참조하십시오.


클라우드 위협

클라우드 위협 확산

2021년 2분기에는 워크로드를 유지하거나 증가시키면서 클라우드 보안을 팬데믹 상황에 맞는 인력으로 더 유연하게 조정해야 하는 어려움으로 인해 사이버 범죄자들에게 훨씬 더 많은 잠재적 악용 사례 및 표적을 제공했습니다.

당사 팀의 클라우드 위협 조사 결과, 금융 서비스는 2021년 2분기에 클라우드 위협 캠페인으로 인해 가장 큰 어려움에 직면한 부문이었습니다.

2021년 2분기에 가장 흔히 발생한 클라우드 위협
  1. 비정상적인 위치에서 발생한 과도한 사용비정상적인 위치에서 발생한 과도한 사용목록 중 비율 - 62%
  2. 내부자 데이터 유출내부자 데이터 유출목록 중 비율 - 28%
  3. 권한 액세스 오용권한 액세스 오용목록 중 비율 - 8%
  4. 고위험 데이터 유출고위험 데이터 유출목록 중 비율 - <1%
  5. 권한 액세스 유출권한 액세스 유출목록 중 비율 - <1%
  6. 토지 확장 유출토지 확장 유출목록 중 비율 - <1%
  7. 인간이 아닌 것으로 의심되는 행위자인간이 아닌 것으로 의심되는 행위자목록 중 비율 - <1%
  8. 권한 있는 사용자의 데이터 유출권한 있는 사용자의 데이터 유출목록 중 비율 - <1%

표 03. 비정상적인 위치에서 발생한 과도한 사용 정의: 사용자가 짧은 시간 이내에 매우 큰 볼륨의 데이터에 액세스하거나 다운로드하는 것입니다. 이는 엔터프라이즈 사용자가 이전에 그렇게 많은 용량에 액세스한 적이 없으며 대규모 사용자 풀을 참조하더라도 데이터 볼륨 자체가 많기 때문에 심각한 문제입니다. 비정상적인 위치에서 발생한 과도한 사용 위협이 전체 클라우드 위협 중에서 가장 높은 순위를 차지했으며, 내부자 데이터 유출 및 권한 액세스 오용이 그 뒤를 이었습니다. 비정상적인 위치에서 발생한 과도한 사용은 기록된 위협 중 62%를 차지했습니다.

2021년 2분기에 가장 흔히 발생한 클라우드 위협

엔터프라이즈
  1. 금융 서비스금융 서비스목록 중 비율 - 33%
  2. 보건의료보건의료목록 중 비율 - 13%
  3. 제조제조목록 중 비율 - 9%
  4. 소매소매목록 중 비율 - 9%
  5. 전문 서비스전문 서비스목록 중 비율 - 8%
  6. 여행 및 숙박여행 및 숙박목록 중 비율 - 7%
  7. 소프트웨어 및 인터넷소프트웨어 및 인터넷목록 중 비율 - 6%
  8. 기술기술목록 중 비율 - 5%
  9. 컴퓨터 및 전자컴퓨터 및 전자목록 중 비율 - 4%
  10. 비영리 기구비영리 기구목록 중 비율 - 3%

표 04. 금융 서비스는 보고된 클라우드 사고 중 가장 많이 표적이 되었으며, 보건의료, 제조, 소매, 그리고 전문 서비스가 그 뒤를 이었습니다. 금융 서비스를 표적으로 한 클라우드 사고는 보고된 상위 10대 산업 중 33%를 차지했으며, 보건의료 및 제조(8%)가 그 뒤를 이었습니다.

분야별 전 세계 총 클라우드 사고

전 세계 클라우드 분야 국가

금융 서비스금융 서비스/미국목록 중 비율 - 23%

미국

금융 서비스금융 서비스/싱가포르목록 중 비율 - 15%

싱가포르

보건의료보건의료/미국목록 중 비율 - 14%

미국

소매소매/미국목록 중 비율 - 12%

미국

전문 서비스전문 서비스/미국목록 중 비율 - 8%

미국

금융 서비스금융 서비스/중국목록 중 비율 - 7%

교통

제조제조/미국목록 중 비율 - 5%

미국

금융 서비스금융 서비스/프랑스목록 중 비율 - 5%

프랑스

소매소매/캐나다목록 중 비율 - 5%

캐나다

금융 서비스금융 서비스/호주목록 중 비율 - 4%

호주

표 05. 금융 서비스는 미국, 싱가포르, 중국, 프랑스, 캐나다 및 호주에서 발생한 사건을 비롯하여 전 세계 2021년 2분기 10대 클라우드 표적 사건 중 50%를 차지했습니다. 미국 내 표적 분야에 발생한 클라우드 사고 건수는 상위 10대 국가에서 기록된 사고의 34%를 차지했습니다.

미국 클라우드 분야
  1. 금융 서비스금융 서비스/호주목록 중 비율 - 29%
  2. 보건의료보건의료목록 중 비율 - 17%
  3. 소매소매목록 중 비율 - 15%
  4. 전문 서비스전문 서비스목록 중 비율 - 10%
  5. 제조제조목록 중 비율 - 7%
  6. 미디어 및 엔터테인먼트미디어 및 엔터테인먼트목록 중 비율 - 5%
  7. 여행 및 숙박여행 및 숙박목록 중 비율 - 5%
  8. 정부정부목록 중 비율 - 4%
  9. 소프트웨어 및 인터넷소프트웨어 및 인터넷목록 중 비율 - 4%
  10. 교육교육목록 중 비율 - 3%

표 06. 금융 서비스는 2021년 2분기에 미국에서 발생한 클라우드 위협 사고의 주요 표적이었습니다 금융 서비스를 표적으로 한 사고는 상위 10대 부문에서 전체 클라우드 사고의 29%를 차지했습니다.

국가별 클라우드 사고 발생 건수: 2021년 2분기

국가
  1. 미국미국목록 중 비율 - 47%
  2. 인도인도목록 중 비율 - 10%
  3. 호주호주목록 중 비율 - 6%
  4. 캐나다캐나다목록 중 비율 - 6%
  5. 브라질브라질목록 중 비율 - 6%
  6. 일본일본목록 중 비율 - 6%
  7. 멕시코멕시코목록 중 비율 - 4%
  8. 영국영국목록 중 비율 - 4%
  9. 싱가포르싱가포르목록 중 비율 - 4%
  10. 독일독일목록 중 비율 - 3%

표 07. 국가를 표적으로 한 클라우드 사고는 미국에서 가장 많이 보고되었고 인도, 호주, 캐나다, 브라질이 그 뒤를 이었습니다. 미국을 표적으로 한 클라우드 사고는 상위 10대 국가에서 기록된 사고의 52%를 차지했습니다.


국가, 대륙, 부문 및 벡터별 위협

국가 및 대륙: 2021년 2분기

2021년 2분기에 공개적으로 보고된 사건 중 주목할 만한 국가 및 대륙별 증가는 다음과 같습니다.

  • 미국은 2021년 2분기에 사고가 가장 많이 보고됐습니다.
  • 유럽은 2분기에 보고된 사고가 52%로 가장 많이 증가했습니다.

공격 부문: 2021년 2분기

2021년 2분기에 공개적으로 보고된 부문별 사고 중 주목할 만한 증가는 다음과 같습니다.

  • 여러 산업이 매우 많이 표적이 되었습니다.
  • 주목할 만한 증가율을 보인 것으로 공공 서비스(64%) 및 엔터테인먼트(60%) 부문을 들 수 있습니다.

공격 벡터: 2021년 2분기

2021년 2분기에 공개적으로 보고된 벡터별 사고 중에 주목할 만한 증가는 다음과 같습니다.

  • 맬웨어는 2021년 2분기에 보고된 사건 중 가장 자주 사용된 기법입니다.
  • 스팸은 2021년 1분기에서부터 2분기까지 보고된 사고 중 가장 높은 증가율(250%)을 보였으며, 악성 스크립트가 125%, 맬웨어가 47%로 그 뒤를 이었습니다.

# 2021년 2분기 상위 MITRE ATT&CK 기법

전술 기법
(전술당 상위 5개)
의견

Initial Access

Spearphishing Attachment

스피어피싱(링크 및 첨부 파일)은 공용 영역 애플리케이션을 악용하면서 상위 3대 초기 액세스 기술을 공유하고 있습니다.

 

Exploit public facing application

 

 

Spearphishing Link

 

 

Valid Accounts

 

 

External Remote Services

 

Execution

Windows Command Shell

이번 분기에 우리는 PowerShell 또는 Windows 명령 셸을 사용하여 메모리에서 맬웨어를 실행하거나 이중 사용/비악성 도구를 사용함으로써 네트워크 악용 시도를 지원하는 여러 공격을 관찰했습니다. 명령줄 스크립트는 흔히 실행 편의성 강화를 위해 Cobalt Strike와 같은 Pentesting 프레임워크에 통합됩니다.

 

PowerShell

 

 

Malicious File

 

 

Windows Management Instrumentation

 

 

Shared Modules

 

Persistence

Registry Run Keys / Startup Folder

 

 

Scheduled Task

 

 

Windows Service

 

 

Valid Accounts

 

 

DLL Side-Loading

 

Privilege Escalation

Registry Run Keys / Startup Folder

 

 

Process Injection

프로세스 주입은 자주 사용되는 권한 상승 기술 중 하나입니다.

 

Scheduled Task

 

 

Windows Service

 

 

Portable Executable Injection

 

Defense Evasion

Deobfuscate/Decode Files or Information

 

 

Obfuscated Files or information

 

 

Modify Registry

 

 

System Checks

 

 

File Deletion

 

Credential Access

Keylogging

웹 브라우저 키로깅 및 자격 증명 수집은 원격 액세스 트로이 목마(RAT)의 대표적인 기능입니다.

 

Credentials from Web Browsers

 

 

OS Credential Dumping

이 기술은 자격 증명 수집 도구 Mimikatz의 핵심 기능으로, ATR은 이를 2분기에 분석된 많은 캠페인에서 관찰했습니다.

 

Input Capture

 

 

LSASS Memory

 

Discovery

System Information Discovery

 

 

File and Directory Discovery

 

 

Process Discovery

 

 

System Checks

 

 

Query Registry

 

Lateral Movement

Remote Desktop Protocol

 

 

Exploitation of Remote Services

 

 

Remote File Copy

 

 

SMB/Windows Admin Shares

 

 

SSH

 

Collection

Screen Capture

2분기에 원격 액세스 트로이 목마(RAT)와 관련된 여러 캠페인이 발생했습니다. 화면 캡처는 RAT 맬웨어 변종 대다수가 배포한 기술이었습니다.

 

Keylogging

 

 

Data from Local System

 

 

Clipboard data

 

 

Archive Collected Data

 

Command and Control

Web protocols

 

 

Ingress Tool transfer

 

 

Non-Standard Port

 

 

Web Service

 

 

Non-Application Layer Protocol

 

Exfiltration

Exfiltration Over Command and Control Channel

 

 

Exfiltration Over Alternative Protocol

 

 

Exfiltration to Cloud Storage

랜섬웨어 위협 행위자는 피해자 데이터를 다양한 클라우드 스토리지 제공업체로 계속 유출했습니다. 대부분 Rclone 및 MEGASync와 같은 광고를 사용하여 수행됩니다.

 

Automated Exfiltration

 

 

Exfiltration over unencrypted/obfuscation Non-C2 Protocol

 

Impact

Data Encrypted for impact

강력한 효과를 위해 데이터를 암호화하는 방법은 ATR이 조사한 캠페인 및 위협 전반에 걸쳐서 가장 많이 사용되는 기술입니다. 이번 분기 동안 여러 랜섬웨어군에서 ESXi Server를 표적으로 설정한 Linux 기반 락커를 출시하여 기술 사용량을 더욱 늘렸습니다.

 

Inhibit System Recovery

시스템 복구 금지는 랜섬웨어 조직이 최종 페이로드를 전달하기 전에 자주 사용하는 기술입니다. 볼륨 섀도 사본을 삭제하면 피해자의 공격 피해 복구가 더 어려워집니다.

 

Resource Hijacking Service

 

 

Service Stop

 

 

System Shutdown/Reboot

 


# 이러한 위협에 대응하는 방법

2021년 2분기에 다양한 위협 유형이 관찰되었고 언급됐습니다. 다행히 저희는 귀하 및/또는 귀사를 보호할 수 있는 조언과 제품을 제공할 수 있습니다. 예를 들면 다음과 같습니다. ENS 10.7 구성, 임의 변경 방지, 롤백 방법을 배워서 Cuba 랜섬웨어에서부터 보호하거나 방어자를 염두에 두면서 작성한 세부 블로그를 심층적으로 연구할 수 있습니다.

브라우저에서 성가신 팝업을 전부 차단하는 방법과 WebAdvisor 및 Web Control을 통해 악성 사이트로부터 고객을 보호하는 방법을 살펴볼 수 있습니다.

사기꾼이 Windows Defender를 가장하여 악성 Windows 앱을 심는 방법과 이에 대처할 수 있는 안전 팁을 읽어볼 수 있습니다. WebAdvisor 및 Web Control 고객이 알려진 악성 사이트만 차단하는 반면 Real Protect 클라우드가 머신 러닝을 통해 사전 예방적으로 보호하는 것을 확인하고 나면 분명 만족하실 것입니다.

이번 분기에 관찰되었던 DarkSide 같은 악명 높은 랜섬웨어 중 하나를 예시로 들어 네트워크를 보호하고 모니터링할 수 있는 모범 사례를 알아볼 수 있습니다. 또한 이 블로그에서는 EPP, MVISION Insights, EDR 및 ENS를 비롯하여 적용 범위 및 보호에 관해 풍부한 정보도 제공하고 있습니다.

마지막으로 사이버 범죄자에게 가상 머신이 매우 중요한 이유와 영향을 받는 VMware 사용자가 즉시 패치를 설치해야 하는 이유를 알아볼 수 있습니다. 패치를 바로 설치할 수 없는 사람들을 위해 실용적인 팁과 Network Security Platform으로 해당 CVE 서명을 제공한다는 알림을 제공합니다.


리소스

최신 위협 및 연구를 추적하려면 다음과 같은 당사 팀의 리소스를 참조하십시오.

위협 센터 - 당사 팀이 현재 가장 영향력이 큰 위협을 확인했습니다.

Twitter:

PDF 다운로드       보관 확인