Kant's IT/Issue on IT&Security
RansomHub 랜섬웨어의 EDRKillShifter 사용을 통한 EDR 및 안티바이러스 보호 비활성화
Kant Jo
2024. 9. 24. 23:08
How Ransomhub Ransomware Uses EDRKillShifter to Disable EDR and Antivirus Protections
How Ransomhub Ransomware Uses EDRKillShifter to Disable EDR and Antivirus Protections
Trend Micro tracked this group as Water Bakunawa, behind the RansomHub ransomware, employs various anti-EDR techniques to play a high-stakes game of hide and seek with security solutions.
www.trendmicro.com
- 개요
- RansomHub 랜섬웨어는 Water Bakunawa로 알려진 해킹 그룹에 의해 운영되며, EDRKillShifter 도구를 사용하여 엔드포인트 탐지 및 대응(EDR) 및 안티바이러스 솔루션을 무력화
- 이 랜섬웨어는 여러 산업 및 중요 인프라를 대상으로 하여 보안 솔루션을 피하며 피해를 극대화하는 기술을 사용
- 주요 공격 방법
- 초기 접근
- 피싱 이메일, 제로로그온(Zerologon, CVE-2020-1472) 취약점 악용, 패스워드 스프레이 공격 등으로 네트워크에 첫 번째 진입
- 피싱 공격을 통한 계정 탈취 및 공격 확산
- 회피 기술
- 배치 스크립트(예:
232.bat,tdsskiller.bat,killdeff.bat,LogDel.bat)를 사용하여 Windows Defender 비활성화, 레지스트리 수정 및 안티바이러스 서비스 비활성화 - EDRKillShifter는 취약한 드라이버를 악용하여 안티바이러스 및 보안 솔루션을 우회
- 배치 스크립트(예:
- EDRKillShifter 분석
- EDRKillShifter는 취약한 드라이버를 사용하여 EDR 솔루션을 비활성화하고, 악성코드를 실행하는 역할을 담당
- 리소스 해독 및 드라이버 투하 후, 취약한 드라이버를 악용하여 보안 솔루션을 종료
- 크리덴셜 접근
- Task Manager를 이용해 LSASS 메모리 덤프를 통해 크리덴셜을 추출, 더 깊은 공격을 위한 기반 마련
- 네트워크 탐색 및 횡적 이동
- NetScan 도구를 사용하여 네트워크 탐색을 수행하고, SMB/Windows Admin Shares를 통해 횡적 이동을 시도
- 명령 및 제어 (C2)
- AnyDesk를 사용하여 원격 시스템 제어 및 데이터를 유출하고 공격 관리
- rclone 명령줄 도구를 사용해 민감한 파일을 외부 서버로 전송
- 파일 암호화 및 시스템 복구 방해
- RansomHub 랜섬웨어는 암호화된 파일에 랜섬 노트와 관련된 확장자를 추가하며, VSS 스냅샷을 삭제해 복구 방해
- 초기 접근
- 보안 방어 전략
- 엔드포인트 보호 강화: 행동 분석 및 휴리스틱 스캔을 통해 이상 활동을 탐지 및 차단
- 드라이버 및 커널 레벨 보호: 서명된 드라이버만 실행되도록 설정하고, 커널 활동 모니터링을 통해 보안 도구 보호
- 크리덴셜 및 인증 보안 강화: 다중인증(MFA) 도입 및 역할 기반 접근 제어
- 이상 행위 감시: 비정상적인 파일 암호화나 횡적 이동을 감지하여 조기 대응
- 결론
- RansomHub는 EDRKillShifter와 같은 고급 기술을 사용하여 보안 솔루션을 우회하고, 이러한 공격에 대응하려면 다층 방어 전략을 채택해야 함