Kant's IT/Issue on IT&Security

Akira 랜섬웨어 분석

Kant Jo 2024. 10. 9. 22:25

Threat Brief: Understanding Akira Ransomware | Qualys Security Blog

 

Threat Brief: Understanding Akira Ransomware | Qualys Security Blog

Akira is a prolific ransomware that has been operating since March 2023 and has targeted multiple industries, primarily in North America, the UK, and Australia. It functions as a Ransomware as a…

blog.qualys.com

 

  • 개요
    • Akira 랜섬웨어는 2023년 3월부터 활동을 시작했으며, 주로 북미, 영국, 호주의 다양한 산업을 대상으로 공격을 수행함
    • Ransomware as a Service(RaaS) 모델로 운영되며, 데이터를 암호화하기 전에 데이터를 유출하여 이중 협박을 통한 공격을 실행함
    • Akira는 Conti 랜섬웨어 그룹과 코드 중복을 가지고 있으며, 이전 Conti 그룹 멤버들이 관련된 것으로 추정됨
  • 공격 기법 및 절차
    • 초기 접근
      • 해킹된 자격 증명 사용
      • 초기 접근 브로커를 통해 구매한 인증서를 사용하거나 MFA를 사용하지 않은 취약점을 악용함
      • CVE-2021-21972, CVE-2019-6693, CVE-2022-40684, CVE-2023-20269와 같은 취약점을 악용하여 접근함
    • 탐색 및 네트워크 스캔
      • Active Directory 정보를 수집하고 네트워크를 스캔하여 측면 이동(Lateral Movement)을 준비함
      • 사용 도구
        • Get-ADUser, Get-ADComputer, SoftPerfect Network Scanner, SharpHound
    • 지속성 유지 및 명령 제어
      • RSAT-AD, NetCat, AnyDesk, Ngrok 등과 같은 도구를 통해 접근을 유지하고 원격 제어를 실행함
    • 자격 증명 탈취
      • Mimikatz, LaZagne, NTDS dump와 같은 도구를 사용해 자격 증명을 탈취함
    • 방어 회피 및 데이터 탈취
      • Windows Defender 비활성화, 사용자 목록 수정, BYOVD 공격을 통해 보안 제품을 비활성화함
      • WinScp, Rclone과 같은 도구로 데이터를 수집하고 TOR 웹사이트에 유출함
  • 악성코드 샘플 분석
    • 파일 암호화
      • ChaCha 알고리즘을 사용하여 파일을 암호화하며, 로그 파일을 생성해 실행 과정을 기록함
    • 특정 명령어를 사용하여 디스크 복사본을 삭제함
      (e.g. powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject")
    • 로그 파일 생성 및 명령행 인자를 통해 암호화 경로, 네트워크 드라이브 등을 정의함
  • 결론
    • RaaS고급 기술이 없는 공격자들도 랜섬웨어 공격을 실행할 수 있도록 하여 중대한 위협으로 부상하고 있음
    • Akira는 빠르게 확산 중이며, 조직은 다중 인증(MFA) 사용을 통해 외부로부터의 접근을 보호하고 엔드포인트 보호 솔루션을 통해 방어해야 함
  • MITRE ATT&CK 기술
    • T1190: 공개된 애플리케이션 취약점 악용
    • T1133: 외부 원격 서비스
    • T1078: 유효한 계정 사용
    • T1486: 데이터를 암호화하여 피해 유발
    • T1021.001: 원격 데스크톱 프로토콜
  • 침해 지표 (IoCs)
    • Akira 샘플
      • e57340a208ac9d95a1f015a5d6d98b94
      • e8139b0bc60a930586cf3af6fa5ea573
      • a1f4931992bf05e9bff4b173c15cab15