H0lyGh0st 랜섬웨어
Contents
H0lyGh0st 랜섬웨어
2022.08
새로운 북한 공격그룹 등장, 안다리엘과의 연관성 포착
샌드박스 탐지기능 포함, 기존 APT솔루션으로는 탐지불가
H0lyGh0st 랜섬웨어
요약
1. 안다리엘 해킹그룹과의 연관성 포착 → 새로운 북한 해킹그룹으로 추정
2. 샌드박스 탐지기능 포함 → APT 솔루션으로는 탐지 불가
3. 인터넷에 공개된 오픈소스를 사용해 제작
4. 공개키 암호화 알고리즘을 사용해 데이터 암호화
5. 복호화비를 지불하지 않을 경우
데이터를 소셜미디어에 게시하거나 고객에게 전송하겠다고 협박
대응 방안
1. Privacy-i EDR과 같은 EDR 솔루션의 '행위기반 탐지엔진'으로 차단
: 일반 Anti-Virus 솔루션에서도 대부분 차단 가능하나 최신 업데이트 필요
2. 악성코드 주요 감염경로인 P2P, 음란, 도박 등 불법 웹사이트 연결 사전차단
3. 메일 내용과 보내는이 계정에 연관성이 없거나, 문법적으로 어색하고,
신뢰할 수 없는 링크 또는 첨부파일 클릭을 유도하는 메일은 실행 금지
4. OS 및 소프트웨어 보안 업데이트 최신형상으로 유지
1
2022.08 H0lyGh0st 랜섬웨어
목차
1. 개요
1.1 배경
1.2 파일정보
2. 분석
2.1 관리자 권한 여부 확인
2.2 RCE (Remote Code Execution)
2.3 공유 폴더 연결 해제
2.4 예약된 작업 제거
2.5 암호키 생성 및 관리
2.5.1 공격자의 공개키 다운로드 성공 시
2.5.2 공격자의 공개키 다운로드 실패 시
2.6 파일 암호화 대상 선정
2.7 파일 암호화
2.8 랜섬노트 생성
2.9 피해자 …
2022.08
새로운 북한 공격그룹 등장, 안다리엘과의 연관성 포착
샌드박스 탐지기능 포함, 기존 APT솔루션으로는 탐지불가
H0lyGh0st 랜섬웨어
요약
1. 안다리엘 해킹그룹과의 연관성 포착 → 새로운 북한 해킹그룹으로 추정
2. 샌드박스 탐지기능 포함 → APT 솔루션으로는 탐지 불가
3. 인터넷에 공개된 오픈소스를 사용해 제작
4. 공개키 암호화 알고리즘을 사용해 데이터 암호화
5. 복호화비를 지불하지 않을 경우
데이터를 소셜미디어에 게시하거나 고객에게 전송하겠다고 협박
대응 방안
1. Privacy-i EDR과 같은 EDR 솔루션의 '행위기반 탐지엔진'으로 차단
: 일반 Anti-Virus 솔루션에서도 대부분 차단 가능하나 최신 업데이트 필요
2. 악성코드 주요 감염경로인 P2P, 음란, 도박 등 불법 웹사이트 연결 사전차단
3. 메일 내용과 보내는이 계정에 연관성이 없거나, 문법적으로 어색하고,
신뢰할 수 없는 링크 또는 첨부파일 클릭을 유도하는 메일은 실행 금지
4. OS 및 소프트웨어 보안 업데이트 최신형상으로 유지
1
2022.08 H0lyGh0st 랜섬웨어
목차
1. 개요
1.1 배경
1.2 파일정보
2. 분석
2.1 관리자 권한 여부 확인
2.2 RCE (Remote Code Execution)
2.3 공유 폴더 연결 해제
2.4 예약된 작업 제거
2.5 암호키 생성 및 관리
2.5.1 공격자의 공개키 다운로드 성공 시
2.5.2 공격자의 공개키 다운로드 실패 시
2.6 파일 암호화 대상 선정
2.7 파일 암호화
2.8 랜섬노트 생성
2.9 피해자 …
IoC
99fc54786a72f32fd44c7391c2171ca31e72ca52725c68e2dde94d04c286fccd
bea866b327a2dc2aa104b7ad7307008919c06620771ec3715a059e675d9f40af
f8fc2445a9814ca8cf48a979bff7f182d6538f4d1ff438cf259268e8b4b76f86
[email protected]
http://gcrtutk2fjcut4lmllvkg5dojbwgu4yvw5rqxmpd2xjeqlogrdeyxoad.onion
https://usaupload.com/6qsy/Pictures.7z
https://usaupload.com/cache/plugins/filepreviewer/374400/e13cb2db41809
bea866b327a2dc2aa104b7ad7307008919c06620771ec3715a059e675d9f40af
f8fc2445a9814ca8cf48a979bff7f182d6538f4d1ff438cf259268e8b4b76f86
[email protected]
http://gcrtutk2fjcut4lmllvkg5dojbwgu4yvw5rqxmpd2xjeqlogrdeyxoad.onion
https://usaupload.com/6qsy/Pictures.7z
https://usaupload.com/cache/plugins/filepreviewer/374400/e13cb2db41809