비교하고 잘 사는, 다나와 : 가격비교 사이트

다나와 앱
다나와 앱 서비스 목록
다나와 APP
다나와 가격비교 No.1 가격비교사이트 다나와 앱으로
간편하게 최저가를 확인하세요.
- -
QR코드
빈 이미지
다나와 앱 서비스 목록 닫기

아키라 랜섬웨어 공격 패턴과 탐지 방법

IP
2025.02.13. 12:28:45
조회 수
594
8
댓글 수
16

공유하기

레이어 닫기

지금 보는 페이지가 마음에 든다면
공유하기를 통해 지인에게 소개해 주세요.

로그인 유저에게는 공유 활동에 따라
다나와 포인트가 지급됩니다.

자세히 >

URL이 복사되었습니다.
원하는 곳에 붙여넣기(Ctrl+V)하세요.

레이어 닫기

* 출처는 안랩입니다.


아키라(Akira)는 2023 3월부터 활동을 시작한 비교적 최근에 등장한 랜섬웨어 공격자다른 랜섬웨어 공격자들과 유사하게 조직에 침투한 이후 파일을 암호화하고 민감한 정보를 탈취이를 협상 도구로 활용한다. 2024년 통계에서도 아키라 랜섬웨어에 의해 피해를 입은 기업의 수가 상위권을 차지하며위협의 심각성을 더욱 부각시키고 있다이번 글에서는 아키라 랜섬웨어 공격자의 알려진 공격 방식들을 소개하고이를 안랩의 EDR로 탐지하는 방법들을 살펴본다.



2024년 랜섬웨어 별 피해 기업에 관한 통계는 [그림 1]과 같다. 아키라 랜섬웨어가 가장 높은 수치를 기록한 것을 확인할 수 다.


[그림 1] 2024년 랜섬웨어 피해 통계



공격자는 랜섬웨어를 통해 조직의 시스템을 암호화한 후 협상을 위한 토어(Tor) 웹사이트를 안내하는데요구사항이 충족되지 않을 경우 공격 과정에서 탈취한 민감한 정보를 공개하기도 한다실제 공격자가 운영하는 토어 웹사이트에서도 피해 업체들이 지속적으로 공개되고 있다.


[그림 2] 아키라 공격자의 토어 웹사이트


초기 침투 방식으로는 다중 요소 인증(MFA)이 적용되지 않은 VPN 계정을 악용하거나 다양한 취약점들을 공격하는 것으로 알려져 있다. 대표적으로 포티넷(Fortinet)사의 CVE-2019-6693와 CVE-2022-40684, CVE-2023-48788, 그리고 시스코 사의 CVE-2020-3259, CVE-2023-20269이 있다. 또한, 소닉월(SonicWall) 제품의 CVE-2024-40766 취약점을 공격하기도 했다. 아키라 랜섬웨어 공격자는 이외에도 공격 과정에서 권한 상승을 목적으로 빔 백업&리플리케이션(Veeam Backup & Replication) 서버의 CVE-2024-40711 취약점이나 VM웨어 ESXi(VMware ESXi)의 CVE-2024-37085 취약점을 악용하기도 했다.


안랩은 자사 EDR 솔루션인 ‘AhnLab EDR’을 활용해 아키라 랜섬웨어를 탐지했다. 안랩에 따르면, 아키라 랜섬웨어는 다음 7단계를 과정을 거쳐 공격 행위를 펼치는 것으로 확인된다.


[그림 3] AhnLab EDR


1. 탐지(Discovery)

공격자들은 포트 스캐닝을 통해 공격 대상 도메인에서 현재 활성화된 시스템 및 포트 번호, 다시 말해동작 중인 서비스의 정보를 획득할 수 있다. 이러한 네트워크 탐색 과정을 통해 서브넷 정보, 호스트 정보 등 네트워크 구조를 확인한다. 아키라 랜섬웨어 공격자는 네트워크 정보를 수집하는 과정에서 고급 IP 스캐너(Advanced IP Scanner)나 넷스캔(NetScan) 도구를 활용하는 것으로 알려져 있다.

 

이후 도메인 컨트롤러나 도메인 트러스트 관계 등 현재 네트워크 상의 액티브 디렉터리(Active Directory) 정보를 수집한다. 공격자는 윈도우 기본 도구인 Nltest를 활용하거나 대표적인 도구인 AdFind를 설치하기도 한다. 공격자는 AdFind의 결과를 활용해 도메인 환경의 구조를 파악하고, 측면 이동을 위한 공격 대상을 식별할 수 있다.

 

또한, 공격자는 블러드하운드(BloodHound)도 사용한다. 블러드하운드는 액티브 디랙터리 도메인 관련 정보를 수집권한 상승이 가능한 공격 경로를 분석하는 도구이다. 이 도구는 GUI 기반의 모델링 결과를 제공하며, 공격자가 도메인 내에서 관리자 권한을 얻기 위한 최단 경로를 그래프 형태로 시각화해 보여준다.


[그림 4] 디스커버리 단계에서 사용되는 공격자의 행위들에 대한 EDR 탐지


* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/ko/contents/content-center/35770

공감/비공감

공감/비공감안내도움말 보기
유용하고 재미있는 정보인가요?
공감이 된다면 공감 버튼을, 그렇지 않다면 비공감 버튼을 눌러 주세요!
공감이나 비공감을 선택 하는 경우 다나와 포인트를 적립해 드립니다. ※ 공감 버튼의 총 선택 횟수는 전체 공개입니다. 비공감 버튼의 선택 여부는 선택한 본인만 알 수 있습니다.

plc-wave 님의 다른 글 보기

1/8
자유게시판 최신 글 전체 둘러보기
1/1
챗GPT 5.6 나왔습니다
이삿짐센터 예약은 언제부터? (4)
방향지시등 안 켜는 사람들 신고하기 (2)
늦어진 루틴들.... (4)
상가 앞 인도 위에 위험한 물건들이 나와 있어서 지자체에 해결을 요청했더니.... (4)
홈플러스 망하면 어떡하죠? (7)
데일리가방 사달라는데... 이거 정품이겠죠? (4)
컴퓨존 메모리 이벤트 당첨자가 나왔네요 (6)
집 근처 지하철역 가는길에 설치된 무료 생수 자판기 입니다. (14)
마카오에서 망신당한 중국 인민해방군 (8)
전쟁 속 사랑 (6)
건강식품 체험사기가 아직도 진행중이네요. (9)
습도 높고 흐린 날씨에 금요일이네요. (7)
비가 내리네요. (9)
오딧세이 ...영화.............. 논란중... (7)
[주간 랭킹] 4위 (9)
7월 9일 박스오피스 / 눈동자 100만 돌파 (7)
에어컨 사용하기 위해 청소를~^^ (9)
6월 출석발표 났군요 (7)
타오바오는 정말 나에게 신세계 +_+! 건담방패 키라야마토 헬맷 쿨러마스터 마스터허브 ROG보조 디스플레이 (9)
이 시간 HOT 댓글!
1/4