본문 바로가기
Analysis

Ransomware 공격 흐름 분석 및 탐지 포인트

by ms-eo 2025. 11. 18.

랜섬웨어란?

랜섬웨어는 단순하게 생각하면 개인 데이터를 암호화하는 악성코드의 한 종류 입니다.

시스템을 감염시켜 접근하지 못하게 하며, 복호화 키를 조건으로 몸값을 요구하죠.

https://ko.wikipedia.org/wiki/%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4

 

랜섬웨어 - 위키백과, 우리 모두의 백과사전

위키백과, 우리 모두의 백과사전. WannaCry 랜섬웨어에 감염된 모습 랜섬웨어(영어: ransomware)는 몸값을 지불할 때까지 피해자의 개인 데이터를 암호화하는 악성 소프트웨어의 한 유형이다. 컴퓨터

ko.wikipedia.org

 

랜섬웨어가 동작하는 방식은 아래와 같습니다.

  • 공격자는 먼저 피싱, 취약한 RDP, 익스플로잇 등을 통해 내부에 침투합니다.
  • 침투 후 권한 상승과 크리덴셜 탈취를 통해 더 높은 권한(admin 및 관리자 권한 등)을 확보하고, 내부 확산을 통해 중요 서버나 파일서버에 접근합니다.
  • 중요 데이터를 대량으로 탈취(또는 스냅샷)한 뒤, 파일을 암호화해 정상적인 접근을 차단합니다.
  • 공격자는 피해자에게 금전(대부분 암호화폐) 요구와 함께 복호화 툴 제공을 조건으로 협박하거나, 유출된 데이터를 공개하겠다고 압박합니다. (이 때 확인할 수 있는 파일로 랜섬노트가 있습니다.)

유형

  • Crypto-ransomware(파일 암호화형) : 파일을 암호화해 접근 불가 상태로 만듦(예: 초기의 CryptoLocker 계열)
  • Locker-type(시스템 잠금형) : 시스템 전체 화면을 잠가 사용을 막음
  • Data exfiltration + extortion(이중 갈취) : 암호화 전에 데이터를 탈취해 유출을 협박
  • RaaS(서비스형 랜섬웨어) : 툴, 인프라를 제공하는 운영자와 실행자가 역할을 분담하는 비즈니스 모델

암호화와 기술적 특징

  • 대다수 랜섬웨어는 대칭(예: AES) + 비대칭(예: RSA) 혼합 방식을 사용합니다. 대칭키로 파일을 빠르게 암호화하고, 그 대칭키를 비대칭 방식으로 공격자 소유의 공개키/비밀키 구조로 보호합니다.
  • 암호화 이전에 중요한 파일을 스캔하고 제외 대상(운영체제, AV 관련 폴더 등)을 우회하는 로직이 포함되는 경우가 많습니다.
  • 난독화, 인젝션, 서명 위조, 삭제 루틴 등 탐지를 회피하기 위한 기법도 동반됩니다.

좀 더 자세하게 알아보면 아래와 같이 분석할 수 있습니다.

최초침투

1) 관련 MITRE ATT&CK 매핑

ATT&CK ID
기술명
설명
T1566
Phishing
사용자를 속여 악성 페이로드 전달
T1566.001
Spearphishing Attachment
첨부파일 기반 악성 코드 유포 (매크로 등)
T1078
Valid Accounts
탈취한 자격증명으로 합법적인 접근 시도
T1110
Brute Force
비밀번호 무차별 대입
T1190
Exploit Public-Facing Application
외부 노출 웹 서비스 취약점 악용
T1195
Supply Chain Compromise
서드파티/공급망을 통한 침투
T1189
Drive-by Compromise
브라우저 취약점 및 악성 광고 활용
T1200
Hardware Additions
USB 등 물리 장치를 통한 감염

피싱 / 스피어피싱 (Phishing) (T1566)

  • 기법 : 매크로, HTML smuggling, 링크 리디렉션 등을 통해 악성 페이로드 전달
  • 목적 : 사용자의 부주의를 이용해 초기 실행 환경 확보 (예: 다운로더, PowerShell Loader 등)
  • 탐지 : 메일 게이트웨이: SPF/DKIM/DMARC 실패, 의심 URL 체인, 첨부 MIME 불일치, 엔드포인트 : winword.exe → powershell.exe 또는 mshta.exe 실행(Sysmon ID 1), Encoded PowerShell 명령(EncodedCommand), regsvr32 호출 패턴 탐지

유효 계정, 크리덴셜 악용 (Valid Accounts / Credential Stuffing) (T1078 / T1110)

  • 기법 : 탈취 또는 재사용된 자격증명으로 인증 시도
  • 특징 : Credential Stuffing, Brute Force 등 자동화된 로그인 시도, RDP(3389), SSH(22), VPN 등 원격 접속 서비스 대상
  • 탐지 : Windows Event ID 4625 (로그인 실패) 반복 발생 → 4624(성공)로 이어짐, 동일 계정의 다중 지역, 시간 로그인 (UEBA 이상징후), 네트워크 : 외부 IP의 다수 RDP/SSH 시도, TOR/VPN IP 탐지

공개 인터넷 서비스 취약점 악용 (Exploit Public-Facing Application) (T1190)

  • 기법 : 웹 애플리케이션 취약점(SQLi, RCE, 파일 업로드 등) 이용해 웹셸 또는 원격 코드 실행
  • 탐지 : 웹서버 로그 : 비정상 POST/PUT 요청, Base64, eval 포함 페이로드, 호스트 : w3wp.exe 또는 httpd.exe에서 cmd.exe/powershell.exe 자식 프로세스 생성(Sysmon ID 1), 웹 루트 경로 내 신규 .aspx / .php 파일 생성(Sysmon ID 11)

원격 접속 서비스(RDP/VPN) 취약점 / 무차별 대입(Brute Force) (T1110)

  • 기법 : RDP나 VPN 취약점 익스플로잇, 무차별 로그인 시도로 진입
  • 탐지 : Event ID 4625/4776/4771 다수 발생, 4624(성공) 직후 관리자 권한 사용, RDP 연결의 외부 IP, 비인가 국가 IP 탐지, 네트워크 : 비정상 RDP 트래픽 패턴, 연속 인증 시도 감지

공급망 / 클라우드 접근 (Supply Chain / Cloud Compromise) (T1195 / T1552.005)

  • 기법 : 서드파티 업데이트, 인증 토큰, API 키 탈취를 통한 침입
  • 탐지 : CloudTrail 등에서 콘솔 로그인 실패/성공 및 IAM 권한 변경 이벤트, 디지털 서명 불일치, 비정상 업데이트 소스 탐지, 토큰/키 재사용, OAuth 토큰 남용

드라이브바이 / 멀버타이징 (Drive-by Compromise) (T1189)

  • 기법 : 악성 광고 또는 취약한 브라우저 구성요소를 통해 로더 자동 실행
  • 탐지 : 브라우저가 의심 도메인 접속 후 비정상 프로세스(msedge.exe → rundll32.exe), 임시 디렉토리에 인메모리 로더 생성(Sysmon ID 11)

물리적·내부자 침입 (T1200)

  • 기법 : USB 장치나 내부자 계정을 이용한 직접 실행
  • 탐지 : 엔드포인트 : 새 USB 마운트 이벤트, 비인가 실행 파일 생성, 내부자 계정의 비정상 시간대 접근, 관리자 권한 변경 탐지

지금까지 최초침투 경로에 대해서 알아봤습니다.

이제 그럼 권한상승은 어떻게 하는지, 또 내부이동 및 암호화, 지속성은 어떻게 하는지 알아봅시다.

권한상승

1) 관련 MITRE ATT&CK 매핑

ATT&CK ID
기술명
설명
T1003
Credential Dumping
시스템 메모리, 파일에서 크리덴셜 수집
T1003.001
LSASS Memory
lsass.exe 메모리 덤프를 통한 해시·토큰 추출
T1055
Process Injection
권한 있는 프로세스에 코드 인젝션
T1134
Access Token Manipulation
토큰 위조 및 임퍼스널리제이션
T1134.001 / .002
Token Impersonation / Token Duplication
권한 토큰 복제 또는 위조
T1207
DCSync
AD 복제 API를 악용한 해시 탈취
T1484.001
Domain Policy Modification
도메인 정책 조작으로 권한 확대
T1548
Abuse Elevation Control Mechanisms
UAC, 서비스 권한, 시스템 권한 오용
T1078
Valid Accounts
탈취한 자격증명으로 관리자 권한 확보

LSASS 메모리 덤프 (Credential Dumping) (T1003 / T1003.001)

  • 목적 : lsass.exe 메모리에서 평문 패스워드, NTLM 해시, Kerberos 티켓, 액세스 토큰 추출
  • 특징 : ProcDump로 LSASS 덤프 생성 후 Mimikatz로 해시 분석, SeDebugPrivilege 권한을 활성화한 도구가 LSASS 직접 접근, Reflective DLL Load 방식으로 메모리에서만 실행 (파일 흔적 최소화)
  • 탐지 : LSASS 접근(Sysmon Event ID 10), ProcDump.exe 실행 후 lsass.exe 핸들 접근, rundll32.exe, comsvcs.dll 비정상 로드 탐지

토큰 탈취 / 재사용 (Token Impersonation / Pass-the-Hash / Pass-the-Ticket) (T1134, T1078, T1550.002, T1550.003)

  • 목적 : 탈취한 크리덴셜로 타 시스템이나 서비스에 접근 및 권한 확장
  • 특징 : NTLM 해시 직접 인증, Kerberos 티켓 위조나 재사용, DuplicateToken API로 관리자 토큰 복제
  • 탐지 : 동일 계정의 다중 호스트 로그인(Event ID 4624 Type 3), lsass.exe, winlogon.exe 핸들 접근 이상, mimikatz.exe, sekurlsa::logonpasswords 명령 패턴 탐지

DCSync / NTDS.dit 접근 (T1003.006 / T1207)

  • 목적 : 도메인 컨트롤러의 AD 복제 API를 통해 계정 해시이나 정책 직접 수집
  • 특징 : AD 복제 권한을 가진 계정으로 가장, Mimikatz lsadump::dcsync 명령 활용
  • 탐지 : DC의 Event ID 4662, 비정상 LDAP 복제 요청 탐지, NTDS.dit 접근 및 LSASS RPC 호출 패턴

서비스 권한 변경 / 오용 (Service Abuse) (T1548 / T1569.002)

  • 목적 : 높은 권한 계정으로 서비스 실행, 악성 DLL 인젝션, 지속성 확보
  • 특징 : sc config로 서비스 실행 계정 변경, binpath= 수정으로 악성 바이너리 실행, 신규 서비스 등록 후 자동 실행(Event ID 7045)
  • 탐지 : sc.exe 실행 및 서비스 등록 로그, SYSTEM/도메인 관리자 계정으로 실행 변경, 비정상 DLL 로드(Sysmon ID 7)

로컬 관리자 계정 생성 / 그룹 멤버십 변경 (T1136.001 / T1098)

  • 목적 : 신규 관리자 계정 생성 또는 기존 사용자에 관리자 권한 부여
  • 특징 : net user와 net localgroup 명령으로 관리자 추가, 그룹 정책 변경으로 지속적 권한 확보
  • 탐지 : Event ID 4720 (계정 생성), 4728 (그룹 추가), 비업무시간대 계정 생성 또는 관리자 권한 부여 탐지

권한 상속 남용 (Privilege Abuse) (T1548 / T1134.002)

  • 목적 : SeDebugPrivilege, SeImpersonatePrivilege 등을 이용해 SYSTEM 권한 획득
  • 특징 : PrintSpoofer, RoguePotato, JuicyPotato 등 취약 서비스 악용, 정상 프로세스(spoolsv.exe, services.exe)를 이용한 권한 상승
  • 탐지 : SeImpersonatePrivilege 활성화 프로세스 이상, 권한 상승 직후 신규 서비스나 프로세스 생성(Sysmon ID 1, Event ID 4688)

내부이동

1) 관련 MITRE ATT&CK 매핑

ATT&CK ID
기법명
설명
T1021
Remote Services
PsExec, SMB/Windows Admin Shares, RDP, SSH 등 원격 서비스 악용
T1021.002
SMB / Windows Admin Shares
SMB/C$를 통한 파일 복사 및 실행
T1021.005
Pass-the-Hash / Pass-the-Ticket
인증 해시나 티켓을 재사용하여 원격 명령 실행
T1078
Valid Accounts
탈취한 계정·자격증명 재사용
T1210
Exploitation of Remote Services
원격 서비스 취약점 악용을 통한 이동
T1570
Lateral Tool Transfer
PsExec, WMI Script, 공격 도구 전파
T1086
PowerShell
PowerShell Remoting 통한 원격 실행
T1170
Lateral Movement via Admin Shares
Windows Admin Shares 경유 이동

PsExec 기반 원격 실행 (T1021.006)

  • 목적 : SMB(Admin$, C$) 및 Service Control을 이용해 원격 명령/바이너리 실행
  • 특징 : psexec.exe \host -u user -p pass cmd.exe 또는 서비스 등록 후 실행 형태, SMB 세션(Admin$)을 통해 원격 호스트에 명령 전달
  • 탐지 : psexec.exe 실행(Sysmon ID 1), 신규 서비스 등록(Event ID 7045), SMB 연결(Sysmon ID 3, 포트 445)

WMI(Remote WMI / Event Subscription) (T1047)

  • 목적 : 원격 명령 실행 및 Event Subscription을 통한 은폐된 지속성 확보
  • 특징 : wmic /node :host process call create "cmd /c <명령>", WMI Event Filter/Consumer/Binding 구성으로 자동 실행
  • 탐지 : wmic.exe 또는 powershell.exe를 통한 WMI 호출(Sysmon ID 1), WMI Provider Host(wmiprvse.exe)의 원격 네트워크 연결(Sysmon ID 3), 비정상 Event Filter 생성(Windows WMI Operational 로그 5861)

SMB / Windows Admin Shares (C$, ADMIN$) (T1021.002)

  • 목적 : 원격 복사 후 도구 배포 → 서비스나 스케줄러로 실행
  • 특징 : SMB 트리를 통해 공유 리소스 접근 및 파일 생성/쓰기
  • 탐지 : Event ID 5140 (Share Access), 5145 (File Access), Sysmon ID 11(FileCreate): \\host\C$\Windows\Temp\... 경로 생성, 비인가 시스템 간 SMB 세션 다발 발생

RDP / Remote Desktop 세션 재사용 (T1021.001)

  • 목적 : GUI 기반 원격 제어 및 세션 하이재킹을 통한 lateral movement
  • 탐지 : Event ID 4624(Logon Type 10), 동일 계정으로 다중 호스트에서 로그인 시도, 세션 유지 시간 이상치, 비정상 국가 IP

Pass-the-Hash / Pass-the-Ticket / Overpass-the-Hash (T1550)

  • 목적 : NTLM 해시 또는 Kerberos 티켓 재사용·위조로 인증 우회
  • 탐지 : 동일 계정이 다수 호스트에서 거의 동시에 로그인(Event ID 4624 Type 3), 비정상 인증 실패(4625) 후 성공(4624), Kerberos 티켓 재사용 탐지(Security Event 4769)

원격 PowerShell / WinRM (T1059.001)

  • 목적 : PowerShell Remoting을 통한 스크립트 기반 원격 명령 실행
  • 특징: powershell.exe -EncodedCommand, Invoke-Command, Enter-PSSession
  • 탐지 : Sysmon ID 1: PowerShell 프로세스 생성, Sysmon ID 3: WinRM 네트워크 연결, Logon Type 3 (네트워크 로그인) 이벤트 연계 분석

Lateral Tool Transfer (T1105)

  • 목적 : 공격 도구(Mimikatz, PsExec, webshell 등) 원격 복사 후 실행
  • 탐지 : Sysmon ID 11(FileCreate): \host\C$\Users\Public\... 경로 내 파일 생성, SMB 트래픽 증가, 비정상 실행 파일명, 내부망 내 동일 파일 다수 복제

데이터 암호화 및 유출

1) 관련 MITRE ATT&CK 매핑

ATT&CK ID
기술명
설명
T1486
Data Encrypted for Impact
파일·시스템 암호화로 가용성 저해
T1041
Exfiltration Over C2 Channel / T1011/T1537
C2나 외부 채널을 통한 데이터 유출
T1560
Archive Collected Data
자료를 압축/묶음으로 준비(전송 용이화)
T1537
Transfer Data to Cloud Account
클라우드 스토리지로의 대량 전송
T1490
Inhibit System Recovery
백업/복구 무력화(볼륨 섀도 복사 삭제 등)
T1070
Indicator Removal on Host
로그/증적 삭제로 포렌식 불가

이중 갈취 (Data Exfiltration → Encryption)

  • 목적 : 데이터 유출로 협상력 확보 → 암호화로 서비스 중단을 유도하여 협상 압박 극대화
  • 특징 : 민감 데이터(데이터베이스 덤프, 고객정보, 재무자료 등)를 사전에 수집이나 전송, 유출 증거를 공개하거나 협박 사이트에 게시하는 데이터 공개 압박 포함
  • 탐지 : DLP 경보(민감파일 외부 전송), 프록시 로그의 대량 업로드(HTTPS POST/PUT), 내부에 수집 스테이징 서버 생성 및 대량 파일 이동(파일 생성/수정 이벤트)

암호화 방식 (AES + RSA 혼합)

  • 목적 : 빠른 암호화(대칭키 사용)와 키 보호(대칭키를 공격자 공개키로 암호화) 결합
  • 특징 : 호스트/세션별로 임시 대칭키(AES)를 생성 → 파일을 AES로 암호화 → AES 키를 공격자 RSA 공개키로 암호화, 각 파일 또는 파일 그룹에 대한 키 관리 로직 내장
  • 탐지 : 대량 파일 쓰기, 파일 헤더 변화(엔트로피 상승), 동시다발적 확장자 변경 이벤트(FIM), 암호화 수행 프로세스의 높은 CPU/디스크 I/O 사용량

랜섬 노트 생성(README.txt, DECRYPT_INSTRUCTIONS.html 등)

  • 목적 : 피해자에게 몸값이나 연락 절차 안내, 복호화 방법이나 지불 조건 제시
  • 특징 : 표준화된 파일명/내용과 Tor 사이트 링크, 샘플 데이터 공개 약속 등 포함
  • 탐지 : 특정 패턴(README*, DECRYPT, .html/.txt 포맷)의 파일 생성(Sysmon FileCreate), 랜섬노트 텍스트 패턴 매칭(DLP/EDR 또는 SIEM 룰)

대량 파일 접근 및 쓰기(암호화 전 스테이징 포함)

  • 목적 : 암호화 대상 선별이나 집계 및 실제 암호화 수행
  • 특징 : 짧은 시간 내 많은 파일의 read/write/rename 이벤트 발생, 특정 프로세스(예: ransomware.exe, powershell.exe, mshta 등)가 대량 파일을 처리
  • 탐지 : FIM(File Integrity Monitoring)의 FileModify/FileRename 급증 경보, 동일 프로세스의 다수 파일 쓰기 이벤트(Sysmon/FileCreate 또는 EDR)

백업·스냅샷 무력화 (Inhibit Recovery)

  • 목적 : 복구 수단을 제거해 피해 복구를 어렵게 하고 협상 압박을 강화
  • 특징 : vssadmin delete shadows 같은 볼륨 섀도 복사 삭제, 백업 계정 접근 시도 또는 백업 데이터 암호화
  • 탐지 : vssadmin/wbadmin 실행 로그, 백업 시스템에서의 대량 삭제/변조 이벤트, 백업 서버 계정의 비정상 활동/접속

대용량 외부 업로드 (HTTPS POST, Cloud Storage 등)

  • 목적 : 탈취한 데이터를 외부로 전송(유출)하여 추후 공개 협박에 사용
  • 특징 : HTTPS/TLS를 이용해 전송하여 콘텐츠 심층 분석 차단, 공격자가 클라우드 스토리지(S3 등)나 파일 호스팅을 이용하는 경우 다수 관찰
  • 탐지 : 프록시/방화벽 로그의 단기간 대량 바이트 전송(POST/PUT), 비정상 대상 도메인 접속, SNI/Cert 정보, TLS 세션 바이트 수 분석을 통한 의심 업로드 식별

압축·아카이빙 (Archive Collected Data)

  • 목적 : 전송 효율성 위해 대량 파일을 묶어 압축 후 전송
  • 특징 : ZIP/7z/rar 등 대형 아카이브 파일 생성 후 외부 전송 또는 스테이징
  • 탐지 : 대형 아카이브 파일 생성(Sysmon FileCreate), 압축 툴 실행 프로세스 관찰

탐지 회피 (로그, 증적 제거)

  • 목적 : 포렌식 방해 및 탐지 이력 삭제
  • 특징 : 이벤트 로그 삭제, 보안 솔루션 프로세스 중지, 증적 흔적의 난독화
  • 탐지 : 이벤트 로그 클리어 시도(Windows Event Log Clear), AV/EDR 서비스 중지 이벤트, 증적 삭제 직전의 비정상적 파일/서비스 조작 로그

지속성 유지

관련 MITRE ATT&CK 매핑

ATT&CK ID
기술명
설명
T1547
Boot or Logon Autostart Execution
시스템 부팅/로그온 시 자동 실행 설정 (Run keys, services, scheduled tasks 등)
T1547.001
Registry Run Keys / Startup Folder
HKCU/HKLM Run 키, 시작 폴더 등
T1053
Scheduled Task/Job
스케줄러 작업 생성 (schtasks)
T1543
Create or Modify System Process
서비스 생성/수정, 서비스 실행계정 변경
T1218
Signed Binary Proxy Execution (LOLBins)
rundll32, regsvr32 등 정상 바이너리를 이용한 지속성
T1543.003
Windows Service
서비스 기반 지속성 유지
T1574
Hijack Execution Flow
DLL 검색 순서 하이재킹 등으로 지속성 확보

레지스트리 Run 키 등록 (HKCU/HKLM Run keys) (T1547.001)

  • 목적 : 사용자 로그인 시 임의 프로그램이나 스크립트를 자동 실행시켜 재접근 확보
  • 특징 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run 또는 HKLM\...\Run에 값 추가, 값 이름은 정상적인 프로그램과 유사하게 위장(예 : Windows Update 형태)
  • 탐지 : 레지스트리 Run 키의 신규/변경 이벤트 모니터링(Sysmon RegistryChange / Windows Event), 실행 경로가 비표준(예: C:\Users\Public\...) 또는 서명되지 않은 바이너리일 경우 경보

예약 작업 생성 (schtasks / Task Scheduler) (T1053)

  • 목적 : 특정 시간 또는 트리거(로그온, 부팅 등)에 페이로드 자동 실행
  • 특징 : schtasks /create /sc onlogon /tn "Updater" /tr "C:\Users\Public\evil.exe" 형태로 등록, 설정에서 관리자 권한으로 실행되도록 구성되는 경우가 많음
  • 탐지 : Event ID 4698 (새 작업 생성), 4702 (작업 수정) 등 보안 이벤트, Windows Task Scheduler operational 로그(Windows 이벤트 로그)에서 비정상 태스크 확인

서비스 등록 / 서비스 인젝션 / 백도어 설치 (T1543 / T1543.003)

  • 목적 : 서비스로 등록하여 시스템 시작 시 자동 실행하고, 고권한으로 백도어나 로더 실행
  • 특징 : sc create 또는 New-Service 등으로 서비스 등록, 서비스 실행 계정 변경(SYSTEM 또는 도메인 관리자 사용) 또는 서비스 바이너리 패스 변경(binPath)으로 악성 실행, 서비스에 악성 DLL 주입 또는 드라이버 설치(커널 영역 유지) 형태도 존재
  • 탐지 : Event ID 7045 (서비스 설치), 서비스 실행 경로/계정의 비정상 변경, 새로운 서비스 바이너리가 C:\Users\Public 또는 임시 경로에 존재하는지 확인, Sysmon ImageLoad(또는 Event ID 7)로 의심 DLL 로드 탐지

정규 바이너리 오용 (LOLBins / Signed Binary Proxy Execution) (T1218)

  • 목적 : regsvr32, rundll32, wmic, mshta 등 정상 도구를 이용해 페이로드 로드 및 실행(탐지 회피)
  • 특징 : 디스크에 파일을 남기지 않거나 정상 프로세스에 인젝션하여 흔적을 최소화, 서명된 바이너리를 이용하면 EDR/AV 우회 가능성 증가
  • 탐지 : LOLBin 프로세스가 의심스러운 명령행 인자와 함께 실행되는지 모니터링(Sysmon CommandLine), 정상 프로세스의 비정상적 네트워크 연결/파일 액세스 연계 탐지

시작 폴더 / 서비스 레지스트리 외 다른 자동실행 포인트 (T1547 변형)

  • 목적 : 다양한 시작 지점(서비스, 시작폴더, Winlogon, Scheduled Tasks, WMI subscriptions 등)에 페이로드 등록
  • 특징 : WMI Event Subscription, COM 객체 등록, Browser Helper Objects 등 지속성 확보
  • 탐지 : WMI 필터/consumer/binding의 신규 생성(Operational 로그), COM 등록(레지스트리에 새 CLSID/ProgID) 또는 시작폴더 내 의심 파일 생성

파일/프로세스 경로나 서명 위조 (비정상 경로/서명)

  • 목적 : 악성코드가 탐지를 피하기 위해 정상 경로 또는 서명을 위조하거나, 비표준 경로에 설치
  • 특징 : C:\Users\Public\..., 임시 폴더, AppData 등 쓰기 가능한 경로를 이용, 바이너리가 서명되지 않았거나, 서명이 위조된 경우가 종종 존재
  • 탐지 : 자동실행 항목의 실행 파일 경로가 비정상인지(Users/Public, Temp 등) 또는 디지털 서명 불일치 확인

지금까지 랜섬웨어 분석을 진행하면서 확인할 수 있는 경로들에 대해서 알아보았습니다.

위에 정리한 내용들 외에도 분석을 진행하면서 확인할 수 있는 부분들은 많습니다.

관련하여 제가 잘못알고 있는 내용이나 추가해야될 부분이 있다면 알려주시면 감사하겠습니다.

 

참고

https://attack.mitre.org/

'Analysis' 카테고리의 다른 글

사이버 공격 유형 분석 및 분석 방법  (0) 2025.11.19
IIS, Apache, Nginx 웹셸(Webshell) 행위 분석  (0) 2025.11.18

관련글

티스토리툴바