Splunk, 랜섬웨어 변종의 암호화 속도 테스트 진행해

2022년 3월 23일, Splunk의 연구원들아 10개의 랜섬웨어 변종을 테스트하여 파일의 암호화 속도를 판단하고 공격에 적시에 대응하는 것이 얼마나 실현 가능한지 평가했습니다.

 

랜섬웨어는 손상된 시스템의 파일과 디렉터리를 열거하고 유효한 암호화 대상을 선택한 다음, 데이터를 암호화하여 해당 복호화 키가 없으면 사용할 수 없도록 하는 악성 프로그램입니다.

 

이를 통해 데이터 소유자가 파일에 접근하는 것을 방지하므로, 랜섬웨어 공격은 데이터 파괴 및 운영 중단 또는 금전적 갈취를 위해 수행되어 암호 해독 키에 대한 대가로 몸값 지불을 요구합니다.

 

따라서 시스템 암호화가 더 빨리 감지될수록 손상이 적고 복원해야 하는 데이터의 양이 최소한으로 유지되기 때문에, 시스템이 얼마나 빨리 암호화되는지 아는 것이 중요합니다.

랜섬웨어 테스트

Splunk의 연구원들은 10개의 서로 다른 패밀리, 패밀리당 10개의 샘플, 다른 성능 사양을 반영하는 4개의 서로 다른 호스트 프로필로 구성된 400개의 암호화 테스트를 수행하였습니다.

 

Splunk 보고서에 따르면, Windows 10과 Windows Server 2019 운영 체제로 구성된 4개의 서로 다른 ‘피해자’ 프로필을 생성했는데, 각각은 고객 환경에서 벤치마킹한 두 가지 성능을 사용하였습니다. 그런 다음, 연구원들은 테스트를 위해 10개의 서로 다른 랜섬웨어 제품군과 각 제품군에서 10개의 샘플을 선택했습니다.

[그림 1] VirusTotal의 랜섬웨어 패밀리 및 해당 Microsoft Defender 탐지 식별자

 

해당 테스트가 진행되는 동안, 연구원들은 기본 Windows 로깅, Windows 수행 통계, Microsoft Sysmon, Zeek 및 stoQ와 같은 다양한 도구를 사용하여 총 53GB의 파일 98,561개에 대해 암호화 속도를 평가했습니다.

 

호스트 시스템 하드웨어 및 OS 구성은 실제 기업 네트워크 설정을 반영하도록 다양했고, 분석가는 모든 암호화 시간을 측정하고 각 변종에 대한 암호화 속도의 중앙값을 도출했습니다.

 

테스트 장비에서 10개의 랜섬웨어 변종의 모든 100개 샘플에 대한 총 중앙값 시간은 42분 52초였습니다.

 

그러나 [그림 1]의 표에서 볼 수 있듯이, 일부 랜섬웨어 샘플은 42분 52초의 중앙값에서 크게 벗어났습니다.

[그림 2] 10개의 랜섬웨어 패밀리에서 측정된 암호화 속도의 중앙값 (출처 : Splunk)

 

가장 빠른 LockBit 랜섬웨어 변종은 분당 25,000개의 파일을 암호화하며, 평균 5분 50초를 달성했습니다. 

 

LockBit은 오랫동안 제휴 프로모션 페이지에서 파일 암호화를 위한 가장 빠른 랜섬웨어라고 광고했으며, 30가지가 넘는 다양한 랜섬웨어 변종에 대한 자체 벤치마크를 발표했습니다.

 

Avaddon은 평균 13분을 조금 넘었고, REvil은 약 24분 만에 파일을 암호화했습니다. BlackMatter와 Darkside는 45분 만에 암호화를 완료했습니다.

 

Conti 랜섬웨어는 54GB의 테스트 데이터를 암호화하는 데 거의 1시간이 걸렸고, Maze와 PYSA는 거의 2시간 만에 완료했습니다.

시간 소요

시간이 중요한 요소이지만, 일반적으로 정찰 기간, 측면 이동, 자격 증명 도용, 권한상승, 데이터 유출, 섀도우 복사 등 본 비활성화 등이 포함되는 랜섬웨어 공격에서 시간이 유일한 탐지 기회는 아닙니다.

[그림 3] 랜섬웨어 공격에서 가능한 모든 탐지 (출처 : certnz)

 

암호화가 끝난 후 공격의 결과가 얼마나 오래 지속되거나 관리 가능한지를 결정하는 것은 암호화 체계 자체의 강도이므로 속도보다 강도가 더 중요합니다.

 

랜섬웨어가 궁극적으로 배포되었을 때 대응하는 시간이 짧다는 것은 특정 탐지 및 완화 기회에 초점을 맞추는 것이 비현실적이고 궁극적으로 잘못된 것임을 강조합니다.

 

Splunk 보고서에서 언급하듯이, 연구는 조직이 사고 대응에서 랜섬웨어 감염 예방으로 초점을 전환해야 할 필요성을 보여줍니다.

 

전체 중앙값인 43분은 네트워크 방어자가 랜섬웨어 활동을 탐지할 수 있는  아주 작은 기회입니다.

 

대부분의 랜섬웨어 그룹은 IT 팀의 인력이 부족한 주말에 공격을 받기 때문에 대부분의 암호화 시도가 성공적으로 완료되므로 암호화 시간은 방어자에게 중요한 고려 사항이 아닙니다.

 

궁극적으로 최선의 방어는 랜섬웨어가 배포되기 전에 정찰 단계에서 비정상적인 활동을 탐지하는 것입니다.

 

여기에는 의심스러운 네트워크 활동, 비정상적인 계정 활동 찾기, Cobalt Strike, AFind, Mimikatz, PsExec, Metasploit 및 Rclone과 같이 공격 전에 일반적으로 사용되는 도구 탐지가 포함됩니다.

(출처:

https://www.bleepingcomputer.com/news/security/ten-notorious-ransomware-strains-put-to-the-encryption-speed-test/

Ten notorious ransomware strains put to the encryption speed test

https://www.splunk.com/en_us/blog/security/gone-in-52-seconds-and-42-minutes-a-comparative-analysis-of-ransomware-encryption-speed.html

Gone in 52 Seconds…and 42 Minutes: A Comparative Analysis of Ransomware Encryption Speed

)

보안관제센터 MIR Team