IOC:
097cc44444c6733bc6b32cb1c4c87ddd
097CC44444C6733BC6B32CB1C4C87DDD
7E37F198C71A81AF5384C480520EE36E
요약:
랜섬웨어 공격이 지난 1년 동안 급격히 증가했으며 2022년에는 전체 사이버 위협의 25%로 추정된다는 보고서가 있는데, 문제는 어떻게 이러한 규모의 암호화를 수행하는 것이 관리자 수준으로 확대되고 있느냐는 것입니다?
이 블로그에서 Quick Heal의 연구원들은 시스템의 모든 파일을 암호화하기 위해 멀웨어가 사용하는 가능한 기술 중 하나를 해독합니다.
그럼 시작해볼까요.
소개:
랜섬웨어는 사이버 공격의 가장 흔한 형태 중 하나일 뿐만 아니라 가장 파괴적인 악성코드 유형 중 하나이기도 하다. 일반적으로 암호화 키로 피해자의 시스템을 암호화하고 공격자에게 암호 해독 키에 대한 몸값을 요구한다. 그러나 흥미로운 점은 관리자만 사용할 수 있는 시스템 권한을 가진 시스템 루트 드라이브("C" 드라이브)를 암호화하는 기능입니다. 이것은 적절한 분석과 사건 대응이 수행되기 전까지는 미스터리이다.
일반적으로 악성 프로그램은 시스템에 진입하고 권한을 얻으며 시스템의 정상 상태를 변경하기 위해 다양한 기술을 사용합니다. 랜섬웨어가 한 예에 불과하지만, 이것은 모든 악성코드 제품군에도 적용된다. 이 블로그에서는 공격 체인의 중요한 단계, 즉 악성 프로그램이 시스템의 변경을 수행하기 위한 관리 권한을 어떻게 달성할 수 있는지에 대해 논의할 것이다.
시스템에서 실행 중인 프로그램은 아래 표와 같이 다른 수준의 권한으로 실행됩니다. 다음은 프로그램이 실행할 수 있는 특정 수준의 권한을 부여하는 무결성 수준을 보여줍니다
Sysinternals 제품군의 프로세스 탐색기 도구를 사용하여 주어진 프로세스의 무결성 수준을 찾을 수 있습니다.
UAC(User Account Control)는 프로그램 실행 수준을 차별화하는 데 큰 역할을 합니다. 사용자 계정 컨트롤은 실행 중인 프로그램이 관리자 수준의 권한을 얻을 수 있도록 하는 프로그램입니다. 내장된 보안 메커니즘으로, 사용자에게 프로그램을 관리자로 승격할지 여부를 묻는 메시지를 표시합니다.
이것은 우리 대부분이 마주쳤을 것입니다, il...
CMSTP를 사용한 UAC 바이패스:
https://blogs.quickheal.com/uac-bypass-using-cmstp/
댓글0