침해사고 분석 보고서 사례 – RMM 도구를 초기 액세스 -> hive 랜섬웨어 사진 링크 new

検出された言語がありません。

入力言語を確認してください。

스크린 커넥트에서 61시간 만에 하이브랜섬웨어로 – DFIR 보고서 2022년에 DFIR 보고서는 원격 관리 및 감시(RMM) 도구의 적대적 사용 증가를 관찰했습니다. 단말에 크게 의존하고 있는 재생 후의 채널과 비교하면, 다음과 같은 것이 있습니다. Morethedfirreport.com 를 봐주세요

[본문 중의 번역]2022년 DFIR보고서는 RMM(원격 관리 및 모니터링)툴의 적대적 사용이 증가했다는 것을 알았습니다.Cobalt Strike또는 Metasploit처럼 터미널에 크게 의존하는 착취 후의 채널과 비교하면 RMM이 제공하는 그래픽 유저 인터페이스는 더 유저 프렌들리입니다.SaaS(Software as a Service)모델의 인기로 많은 RMM이 클라우드 기반의 서비스로서 추가로 제공됩니다.명령 및 제어 채널이 합법적인 클라우드서비스에 의존하도록 함으로써 공격자는 귀속과 혼란을 더욱 복잡하게 합니다.RMM을 활용하면 탐지(예를 들면, 신뢰할 수 있는 도메인이나 서명된 실행 파일)가 방해될 가능성이 있습니다.2022년 RMM사용량의 증가는 업계 전반에서 관찰됐으며 CISA의 “원격 모니터링 및 관리 소프트웨어의 악의적인 사용으로부터 보호”권고도 보장되었습니다.2022년 제4분기에 발생한 이 다중 RMM침입은 이전의 관찰을 보완하는 역할을 하고 궁극적으로는 현재 중단된 Hive란 섬 웨어의 배포에 연결됩니다.사례 요약 2022년 10월에 발생한 이번 침입에서 우리는 위협 행위자가 RMM도구를 초기 접근으로 사용하는 것을 관찰하고 다소 잘못된 Hive란 섬 웨어의 배포로 끝났어요.초기의 유료 하중은 합법적인 문서에 꾸며실행 파일이었습니다.Huntress에 따르면 이 캠페인은 링크를 포함한 전자 메일을 통해서 전달된 가능성이 높아 클릭하면 실행 파일이 다운로드됩니다.파일을 실행하면 ScreenConnect가 설치되었습니다.조사 중에 권한의 낮은 사용자는 설치에 실패할 가능성이 있기 때문에 이 초기 접근 방법을 사용하려면 일반 사용자가 로컬 관리자인 필요가 있음을 확인했습니다.실행에서 약 1시간 후, 위협 행위자는 systeminfo, ipconfig, net과 같은 표준 Windows유틸리티를 사용하고 ScreenConnect를 통해서 검색 명령을 개시했습니다.몇분 후, 위협 행위자는 BITS발송 작업을 수행하고 Cobalt Strike비콘을 배포했습니다.1시간 활동이 일시 정지된 후 위협 행위자는 ScreenConnect를 사용하여 추가의 바이너리를 다운 받았습니다.이 새로운 파일은 Metasploit셸 코드로 뒷문이 설치된 트로이 목마 ApacheBench실행 파일이었습니다.실행되면, 셸 코드는 Meterpreter명령과 제어 채널을 시작합니다.이 새로운 명령 및 제어 채널을 시작한 뒤 위협 행위자는 원격 서비스를 사용하여 서버에서 Atera및 Splashtop용 PowerShell및 MSI설치 프로그램을 실행하는 측면 이동으로 이동했습니다.추가의 코발트 스트라이크 거점을 구축하기 위해서 추가 BITS이전이 관찰되었습니다.이 활동 후 약 20분 동안 위협 행위자는 Impacket의 wmiexec.py스크립트를 사용하여 다른 호스트에 향하고 측면 이동을 계속했습니다.이 측면 이동에는 quser를 사용하여 원격 호스트를 확인하고 BITS전송을 시작한 Cobalt Strike를 실행하는 것이 포함되어 있습니다.다음날 공격자는 복수의 서버에 Mimikatz바이너리를 드롭하고 wmiexec을 사용하여 원격에서 실행했습니다.위협 행위자가 환경 전체의 여러 호스트에 새로운 Cobalt Strike비콘을 실행하기 위해서 되돌아오기까지 활동은 몇시간 중단되었습니다.이 불빛에서 몇가지 발견 명령이 내려지자 위협 행위자는 다시 휴면 상태가 되었습니다.다음날 위협 행위자는 내장된 PowerShell유틸리티를 사용하고 Active Directory데이터를 추출하는데 사용되는 배치 파일을 실행했습니다.그 뒤 위협 행위자가 돌아오고, RDP를 통해서 호스트에 접속하기 시작했다 늦게 날까지 활동이 중단되었습니다.위협 행위자는 이러한 RDP세션을 통해서, 네트워크 내의 파일 공유와 백업을 검토했습니다.그 후, 공격자는 파일 공유가 있는 서버에 Rclone을 삭제하고 SSH를 통해서 원격 서버로의 접속을 구성하였습니다.일단 연결되면 위협 행위자는 SSH접속을 통해서 파일 공유 콘텐츠를 추출하기 위해서 이동했습니다.유출이 진행하는 동안 위협 행위자는 서버에 인터넷 스캔을 드롭하고 특히 RDP서비스에 초점을 맞추어 네트워크 검사를 실행했습니다.유출이 시작된 지 약 3시간 후, 위협 행위자는 Hive란 섬 웨어를 배포하는 최종 조치를 개시했습니다.들어가기 때문에 그들은 관리자 암호를 변경한 후 몇몇 주요 서버에서 런 섬 웨어를 수동으로 실행했습니다.이들의 수동 런 섬 웨어의 실행 후 위협 행위자는 도메인 전체의 암호화를 시도했습니다.이 때문에 위협 행위자는 네트워크 공유에 런 섬 웨어 바이너리를 준비하고 도메인에 가입한 각 호스트에서 런 섬 웨어 바이너리를 실행하도록 일정된 작업을 사용하여 새로운 도메인 전체 GPO을 생성했습니다.GPO와 일정된 작업 생성에 잘못된 설정이 포함되어 있기 때문에 도메인 전체의 런 섬 웨어의 배포에 실패했습니다.다만 수동 런 섬 웨어의 배포와 실행으로 키 서버가 정상적으로 암호화되었습니다.최초 접속에서 런 섬 웨어 도달 시간(TTR)은 61시간이였습니다.서비스에서는 Cobalt Strike, Metasploit, Empire, Havoc등의 명령과 제어 체제를 추적하는 Threat Feed서비스를 포함한 다양한 서비스를 제공하고 있습니다.이 서비스에 대한 자세한 내용은 이쪽을 보실 수 있습니다.당사의 모든 Intel서비스에는 비공개 사례 데이터를 포함한 미니 리포트, 익스 프로 토이 벤트, 장기 인프라 추적, 뭉치기, C2구성 및 기타의 엄선된 정보가 포함됩니다.곧 비공개의 룰 세트를 발표할 예정입니다.베타 판을 할인 가격으로 이용하고 싶은 경우는, 문의 부탁 드립니다.당사의 서비스에 대해서 더 알고 싶거나 무료 트라이얼에 대해서 이야기하고 싶으면, 문의 페이지를 사용하고 문의 주세요.우리는 당신의 의견을 기다리겠습니다.0xThiebaut, UC2및 0xtornado에 의해서 분석 및 보고가 완료했습니다.초기 접속 침입은 document8765.exe라는

検出された言語がありません。

入力言語を確認してください。

시큐리티 프로젝트 님의 강의 – 인프론 | 온라인 강의 플랫폼인 프론 시큐리티 프로젝트 님의 강의 페이지입니다. – 보안 프로젝트 소개 | 인프론 www.inflearn.com

시큐리티 프로젝트 님의 강의 – 인프론 | 온라인 강의 플랫폼인 프론 시큐리티 프로젝트 님의 강의 페이지입니다. – 보안 프로젝트 소개 | 인프론 www.inflearn.com

시큐리티 프로젝트 님의 강의 – 인프론 | 온라인 강의 플랫폼인 프론 시큐리티 프로젝트 님의 강의 페이지입니다. – 보안 프로젝트 소개 | 인프론 www.inflearn.com

error: Content is protected !!