1. 개요 (Overview)
1.1. 위협 케이스 분석(Threat Case Study)
○ GSC(Genians Security Center)는 위협 케이스 분석을 통해 지속적으로 고도화되는 공격자의 Operations과 TTPs에 효율적으로 대응하기 위한 연구를 진행하고 있습니다.
○ 위협 케이스 중 탐지를 피하기 위한 보안 우회 전술의 의도가 반영되어 만들어진 LockBit 랜섬웨어 배포용 DeliveryBox를 분석해 공격자의 도구들(Tools)과 TTPs를 식별했습니다.
○ 이번 LockBit 랜섬웨어 케이스는 IMG 파일로 유포되며, 내부에 패키징된 LNK, BAT 및 VBS 파일을 통해 LockBit 랜섬웨어를 실행하는 복잡한 과정을 가지고 있습니다. 또한, 보안 솔루션의 탐지를 피하기 위해 안전 모드를 악용하는 정황을 보여주고 있습니다.
1.2. LockBit 랜섬웨어란?
○ 2019년 말에 등장한 LockBit 랜섬웨어 조직은 러시아에 기반을 두고 전 세계의 기업 및 공공기관을 대상으로 활동하고 있습니다. 모든 랜섬웨어 조직들 중 가장 활발히 활동하고 있으며, 올해 상반기에만 300개 이상의 기업을 공격해 전체 랜섬웨어 공격의 3분의 1이상을 기록하고 있습니다.
○ 국내에서는 이력서와 저작권 관련 내용으로 위장한 피싱 메일을 통해 꾸준히 유포되고 있으며, 올해 3월에는 국세청을 해킹했다고 주장해 화제가 되기도 했습니다.
![[그림 01] 2023 상반기 랜섬웨어 그룹별 활동 빈도(Dark Web Profile)](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2001%5D%202023%20%EC%83%81%EB%B0%98%EA%B8%B0%20%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4%20%EA%B7%B8%EB%A3%B9%EB%B3%84%20%ED%99%9C%EB%8F%99%20%EB%B9%88%EB%8F%84(Dark%20Web%20Profile).png?width=600&height=390&name=%5B%EA%B7%B8%EB%A6%BC%2001%5D%202023%20%EC%83%81%EB%B0%98%EA%B8%B0%20%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4%20%EA%B7%B8%EB%A3%B9%EB%B3%84%20%ED%99%9C%EB%8F%99%20%EB%B9%88%EB%8F%84(Dark%20Web%20Profile).png)
[그림 01] 2023 상반기 랜섬웨어 그룹별 활동 빈도(Dark Web Profile)
출처 : SOCRadar - Dark Web Profile: LockBit 3.0 Ransomware
1.3. 공격 흐름도(Attack Flow)
○ 공격자는 사용자의 의심을 피하기 위해 해외 컨설팅 업체의 이름으로 위장한 IMG 파일로 LockBit 랜섬웨어를 유포했으며, IMG 파일 내부에는 LNK 파일을 제외한 BAT, VBS, 7z.exe, Autologon.exe, LockBit 랜섬웨어가 숨겨져 있습니다.
○ 공격자는 LNK 파일을 초기 실행 단계로 사용했으며, LNK 파일을 실행할 경우, 각 BAT 파일이 단계별로 실행됩니다. 실행된 각 파일들은 권한 상승과 지속성 유지 및 안전 모드 부팅 등의 악성 행위를 수행하고 최종적으로 안전 모드에서 LockBit 랜섬웨어를 실행합니다.
![[그림 02] LockBit 랜섬웨어 실행 과정](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2002%5D%20LockBit%20%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4%20%EC%8B%A4%ED%96%89%20%EA%B3%BC%EC%A0%95.png?width=1798&height=561&name=%5B%EA%B7%B8%EB%A6%BC%2002%5D%20LockBit%20%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4%20%EC%8B%A4%ED%96%89%20%EA%B3%BC%EC%A0%95.png)
[그림 02] LockBit 랜섬웨어 실행 과정
2. 공격 단계 (Attack Step)
○ 이번 위협 케이스의 유포 과정은 정확히 알려지지 않았지만, 악성 IMG 파일이 첨부된 피싱 메일을 통해 유포된 것으로 예상하고 있습니다.
2.1. romeroconsultores.img
○ 공격자는 LockBit 랜섬웨어가 포함된 IMG 파일을 해외 컨설팅 업체의 이름으로 위장해 유포하고 있습니다.
![[그림 03] romeroconsultores.img](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2003%5D%20romeroconsultores.img.png?width=381&height=258&name=%5B%EA%B7%B8%EB%A6%BC%2003%5D%20romeroconsultores.img.png)
[그림 03] romeroconsultores.img
| 파일명 | romeroconsultores.img |
| 파일 크기 | 2.37MB |
| MD5 | 012477baee020f9639e9002015492b99 |
| SHA256 | 781ead305cdb5fa0153369431dedd40fe138308fcdf5dfda1cfeaaba296752e3 |
[표 01] romeroconsultores.img 파일 정보
○ 해당 IMG 파일을 더블 클릭할 경우 DVD 드라이브에 자동으로 마운트 되며, “Documentos.lnk” 파일을 제외한 나머지 파일들은 숨김 설정되어 보이지 않습니다. 공격자는 이 방법을 통해 사용자로부터 의심을 피하고 LNK 파일 실행하도록 유도합니다.
![[그림 04] DVD 드라이브에 마운트된 IMG 파일](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2004%5D%20DVD%20%EB%93%9C%EB%9D%BC%EC%9D%B4%EB%B8%8C%EC%97%90%20%EB%A7%88%EC%9A%B4%ED%8A%B8%EB%90%9C%20IMG%20%ED%8C%8C%EC%9D%BC.png?width=774&height=222&name=%5B%EA%B7%B8%EB%A6%BC%2004%5D%20DVD%20%EB%93%9C%EB%9D%BC%EC%9D%B4%EB%B8%8C%EC%97%90%20%EB%A7%88%EC%9A%B4%ED%8A%B8%EB%90%9C%20IMG%20%ED%8C%8C%EC%9D%BC.png)
[그림 04] DVD 드라이브에 마운트된 IMG 파일
![[그림 05] 숨김 설정된 파일](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2005%5D%20%EC%88%A8%EA%B9%80%20%EC%84%A4%EC%A0%95%EB%90%9C%20%ED%8C%8C%EC%9D%BC.png?width=778&height=297&name=%5B%EA%B7%B8%EB%A6%BC%2005%5D%20%EC%88%A8%EA%B9%80%20%EC%84%A4%EC%A0%95%EB%90%9C%20%ED%8C%8C%EC%9D%BC.png)
[그림 05] 숨김 설정된 파일
2.2. Documentos.lnk
○ “Documentos.lnk” 파일은 cmd 명령어를 포함하고 있으며, 실행 시 cmd.exe를 통해 IMG 파일 내부에 숨겨진 “anguisheddarkness.bat” 파일을 실행합니다.
![[그림 06] Documentos.lnk 파일 속성](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2006%5D%20Documentos.lnk%20%ED%8C%8C%EC%9D%BC%20%EC%86%8D%EC%84%B1.png?width=451&height=440&name=%5B%EA%B7%B8%EB%A6%BC%2006%5D%20Documentos.lnk%20%ED%8C%8C%EC%9D%BC%20%EC%86%8D%EC%84%B1.png)
[그림 06] Documentos.lnk 파일 속성
![[그림 07] anguisheddarkness.bat 탐지 정보](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2007%5D%20anguisheddarkness.bat%20%ED%83%90%EC%A7%80%20%EC%A0%95%EB%B3%B4.png?width=1519&height=1031&name=%5B%EA%B7%B8%EB%A6%BC%2007%5D%20anguisheddarkness.bat%20%ED%83%90%EC%A7%80%20%EC%A0%95%EB%B3%B4.png)
[그림 07] anguisheddarkness.bat 탐지 정보
2.3. anguisheddarkness.bat
○ LNK 파일에 의해 실행되는 “anguisheddarkness.bat” 파일은 “net session” 명령어를 실행한 뒤, 출력되는 에러 레벨을 통해 현재 사용자의 권한을 확인하고 권한에 따라 지정된 함수를 실행합니다.
![[그림 08] anguisheddarkness.bat 상세 정보](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2008%5D%20anguisheddarkness.bat%20%EC%83%81%EC%84%B8%20%EC%A0%95%EB%B3%B4.png?width=1365&height=1226&name=%5B%EA%B7%B8%EB%A6%BC%2008%5D%20anguisheddarkness.bat%20%EC%83%81%EC%84%B8%20%EC%A0%95%EB%B3%B4.png)
[그림 08] anguisheddarkness.bat 상세 정보
1) 관리자 권한일 경우
- darknessuntrue.bat 파일을 실행합니다.
2) 관리자 권한이 아닐 경우
- “%temp%” 경로에 “subduedice.vbs” 파일을 생성하고 실행한 뒤 삭제합니다.
![[그림 9] subduedice.vbs 관련 이벤트](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%209%5D%20subduedice.vbs%20%EA%B4%80%EB%A0%A8%20%EC%9D%B4%EB%B2%A4%ED%8A%B8.png?width=796&height=138&name=%5B%EA%B7%B8%EB%A6%BC%209%5D%20subduedice.vbs%20%EA%B4%80%EB%A0%A8%20%EC%9D%B4%EB%B2%A4%ED%8A%B8.png)
[그림 09] subduedice.vbs 관련 이벤트
2.4. subduedice.vbs
○ 이전 BAT 파일 실행 시 현재 사용자 권한이 낮을 경우, VBS(Visual Basic Script) 파일을 생성합니다. 해당 VBS 파일은 UAC(User Account Control) 창을 띄워 사용자로부터 권한 상승을 유도하고 이전 과정에서 실행했던 “anguisheddarkness.bat” 파일을 상승된 권한으로 다시 실행합니다.
![[그림 10] subduedice.vbs 탐지 정보](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2010%5D%20subduedice.vbs%20%ED%83%90%EC%A7%80%20%EC%A0%95%EB%B3%B4.png?width=1418&height=1038&name=%5B%EA%B7%B8%EB%A6%BC%2010%5D%20subduedice.vbs%20%ED%83%90%EC%A7%80%20%EC%A0%95%EB%B3%B4.png)
[그림 10] subduedice.vbs 탐지 정보
![[그림 11] UAC를 통한 권한 상승 유도](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2011%5D%20UAC%EB%A5%BC%20%ED%86%B5%ED%95%9C%20%EA%B6%8C%ED%95%9C%20%EC%83%81%EC%8A%B9%20%EC%9C%A0%EB%8F%84.png?width=458&height=315&name=%5B%EA%B7%B8%EB%A6%BC%2011%5D%20UAC%EB%A5%BC%20%ED%86%B5%ED%95%9C%20%EA%B6%8C%ED%95%9C%20%EC%83%81%EC%8A%B9%20%EC%9C%A0%EB%8F%84.png)
[그림 11] UAC를 통한 권한 상승 유도
2.5. darknessuntrue.bat
○ 권한 상승 후, 실행되는 “darknessuntrue.bat” 파일은 LockBit 랜섬웨어의 실행 및 지속성 유지에 필요한 파일들을 임의 경로에 복사합니다. 이후, 현재 사용자 계정 비밀번호를 변경하고 Autologon.exe 도구를 통해 부팅 시 변경한 계정으로 자동 로그인하도록 설정합니다.
○ 또한, 공격자는 보안 솔루션이 안전 모드에서 정상적으로 실행이 어렵다는 점을 노리고 "bcdedit.exe" 도구를 통해 시스템이 안전 모드로 부팅되도록 설정합니다. 이후, 안전 모드에서도 지속성을 유지할 수 있도록 레지스트리 및 서비스를 추가하고 시스템을 재부팅 합니다.
![[그림 12] darknessuntrue.bat 상세 정보](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2012%5D%20darknessuntrue.bat%20%EC%83%81%EC%84%B8%20%EC%A0%95%EB%B3%B4.png?width=1488&height=1015&name=%5B%EA%B7%B8%EB%A6%BC%2012%5D%20darknessuntrue.bat%20%EC%83%81%EC%84%B8%20%EC%A0%95%EB%B3%B4.png)
[그림 12] darknessuntrue.bat 상세 정보
○ 먼저 xcopy 명령어를 통해 “C:\ProgramData” 경로에 BAT, VBS, LockBit 랜섬웨어를 복사하고 “C:\Windows\Temp” 경로에 7z.exe을 복사합니다.
![[그림 13] 파일 복사 이벤트](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2013%5D%20%ED%8C%8C%EC%9D%BC%20%EB%B3%B5%EC%82%AC%20%EC%9D%B4%EB%B2%A4%ED%8A%B8.png?width=766&height=174&name=%5B%EA%B7%B8%EB%A6%BC%2013%5D%20%ED%8C%8C%EC%9D%BC%20%EB%B3%B5%EC%82%AC%20%EC%9D%B4%EB%B2%A4%ED%8A%B8.png)
[그림 13] 파일 복사 이벤트
○ 다음으로 “net user” 명령어를 통해 현재 사용자 계정 비밀번호를 변경하고 Microsoft Sysinternals에서 제공하는 자동 로그인 도구인 Autologon.exe을 통해 부팅 시 해당 계정으로 자동 로그인 되도록 설정합니다.
![[그림 14] 자동 로그인 설정](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2014%5D%20%EC%9E%90%EB%8F%99%20%EB%A1%9C%EA%B7%B8%EC%9D%B8%20%EC%84%A4%EC%A0%95.png?width=1496&height=1076&name=%5B%EA%B7%B8%EB%A6%BC%2014%5D%20%EC%9E%90%EB%8F%99%20%EB%A1%9C%EA%B7%B8%EC%9D%B8%20%EC%84%A4%EC%A0%95.png)
[그림 14] 자동 로그인 설정
○ 부팅 설정 관련 도구인 bcdedit.exe를 통해 안전 모드로 부팅되도록 설정을 변경합니다.
![[그림 15] 안전 모드 부팅 설정](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2015%5D%20%EC%95%88%EC%A0%84%20%EB%AA%A8%EB%93%9C%20%EB%B6%80%ED%8C%85%20%EC%84%A4%EC%A0%95.png?width=1284&height=1023&name=%5B%EA%B7%B8%EB%A6%BC%2015%5D%20%EC%95%88%EC%A0%84%20%EB%AA%A8%EB%93%9C%20%EB%B6%80%ED%8C%85%20%EC%84%A4%EC%A0%95.png)
[그림 15] 안전 모드 부팅 설정
○ 이후, 안전 모드에서도 지속성을 유지하기 위해 안전 모드에서 자동 실행되는 서비스 레지스트리 경로에 “tckzpj” 이름의 키 생성을 시도하고 성공 여부에 따라 다음 과정을 수행합니다.
![[그림 16] 레지스트리 키 생성](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2016%5D%20%EB%A0%88%EC%A7%80%EC%8A%A4%ED%8A%B8%EB%A6%AC%20%ED%82%A4%20%EC%83%9D%EC%84%B1.png?width=1254&height=1031&name=%5B%EA%B7%B8%EB%A6%BC%2016%5D%20%EB%A0%88%EC%A7%80%EC%8A%A4%ED%8A%B8%EB%A6%AC%20%ED%82%A4%20%EC%83%9D%EC%84%B1.png)
[그림 16] 레지스트리 키 생성
1) 성공할 경우
- “removalculpable.vbs” 파일이 안전 모드에서 지속성을 유지할 수 있도록 서비스를 생성하고 위 과정에서 생성한 “tckzpj” 레지스트리 키에 해당 서비스를 값을 추가합니다.
![[그림 17] 서비스 생성](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2017%5D%20%EC%84%9C%EB%B9%84%EC%8A%A4%20%EC%83%9D%EC%84%B1.png?width=1342&height=1083&name=%5B%EA%B7%B8%EB%A6%BC%2017%5D%20%EC%84%9C%EB%B9%84%EC%8A%A4%20%EC%83%9D%EC%84%B1.png)
[그림 17] 서비스 생성
![[그림 18] 레지스트리 값 추가](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2018%5D%20%EB%A0%88%EC%A7%80%EC%8A%A4%ED%8A%B8%EB%A6%AC%20%EA%B0%92%20%EC%B6%94%EA%B0%80.png?width=1334&height=1074&name=%5B%EA%B7%B8%EB%A6%BC%2018%5D%20%EB%A0%88%EC%A7%80%EC%8A%A4%ED%8A%B8%EB%A6%AC%20%EA%B0%92%20%EC%B6%94%EA%B0%80.png)
[그림 18] 레지스트리 값 추가
2) 실패할 경우
- 로그인 후 자동 시작되는 쉘 프로그램 레지스트리에 “darknessimmerse.bat” 를 추가합니다.
![[그림 19] 레지스트리 추가](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2019%5D%20%EB%A0%88%EC%A7%80%EC%8A%A4%ED%8A%B8%EB%A6%AC%20%EC%B6%94%EA%B0%80.png?width=1296&height=1046&name=%5B%EA%B7%B8%EB%A6%BC%2019%5D%20%EB%A0%88%EC%A7%80%EC%8A%A4%ED%8A%B8%EB%A6%AC%20%EC%B6%94%EA%B0%80.png)
[그림 19] 레지스트리 추가
2.6. darknessimmerse.bat
○ 이전 단계의 “darknessuntrue.bat” 파일에 의해 시스템은 안전 모드로 부팅되며, “darknessimmerse.bat” 파일이 실행됩니다.
○ 해당 BAT파일은 “.7z” 형식으로 암호 압축된 LockBit 랜섬웨어를 7z.exe을 통해 “C:\ProgramData” 경로에 압축 해제한 이후, 특정 인자 값을 통해 실행합니다.
![[그림 20] darknessimmerse.bat 상세 정보](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2020%5D%20darknessimmerse.bat%20%EC%83%81%EC%84%B8%20%EC%A0%95%EB%B3%B4.png?width=1200&height=920&name=%5B%EA%B7%B8%EB%A6%BC%2020%5D%20darknessimmerse.bat%20%EC%83%81%EC%84%B8%20%EC%A0%95%EB%B3%B4.png)
[그림 20] darknessimmerse.bat 상세 정보
2.7. LockBit 랜섬웨어
○ 실행된 LockBit 랜섬웨어는 사용자의 파일을 암호화하고 “.BQuqYjUgg” 확장자를 추가한 뒤, 파일 아이콘을 변경합니다.
○ 이후, “BQuqYjUgg.README.txt” 이름의 랜섬노트를 생성해 피해자로부터 랜섬머니를 요구합니다.
![[그림 21] LockBit 랜섬웨어에 감염된 시스템](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2021%5D%20LockBit%20%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4%EC%97%90%20%EA%B0%90%EC%97%BC%EB%90%9C%20%EC%8B%9C%EC%8A%A4%ED%85%9C.png?width=1588&height=1125&name=%5B%EA%B7%B8%EB%A6%BC%2021%5D%20LockBit%20%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4%EC%97%90%20%EA%B0%90%EC%97%BC%EB%90%9C%20%EC%8B%9C%EC%8A%A4%ED%85%9C.png)
[그림 21] LockBit 랜섬웨어에 감염된 시스템
3. 결론 및 대응 방법(Conclusion)
3.1. 결론
○ 공격자는 LNK, BAT, VBS 파일을 통해 LockBit 랜섬웨어를 실행합니다. 이러한 과정을 거칠 경우 악성코드 자체의 코드와 행위를 줄일 수 있고 보안 솔루션의 탐지를 어렵게 합니다. 또한, 피해자의 시스템을 성공적으로 감염시키기 위해 보안 솔루션이 정상적으로 실행되지 않는 안전 모드 환경을 악용하고 있어 탐지 및 대응을 더욱 어렵게 만듭니다.
○ 또한, 이번 케이스에서는 공격자가 IMG 파일을 통해 LockBit 랜섬웨어를 유포하고 있습니다. 그 이유는 디스크 이미지(IMG, ISO, VHD) 형식의 파일이 MOTW(Mark of the Web)를 우회해 신뢰할 수 없는 다운로드 파일에 대해 아래 그림과 같은 SmartScreen 경고 창 없이 실행될 수 있기 때문입니다.
![[그림 22] SmartScreen 창](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2022%5D%20SmartScreen%20%EC%B0%BD.png?width=532&height=498&name=%5B%EA%B7%B8%EB%A6%BC%2022%5D%20SmartScreen%20%EC%B0%BD.png)
[그림 22] SmartScreen 창
3.2. Genian EDR 제품을 통한 대응(Response)
○ Genian EDR 환경에서는 탐지 시각에 따른 위협 이벤트 조회를 통해 빠르고 정확하게 해당 위협을 탐지할 수 있습니다. 이번 케이스는 다단계 방식을 사용하고 안전 모드를 악용해 탐지가 어려운 형태 중 하나입니다. 하지만 Genian EDR 제품을 사용할 경우, 실행 초기 단계에서 핵심 위협 이벤트를 탐지하고 대응할 수 있습니다.
![[그림 23] Genian EDR 위협 탐지 스토리 라인](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%2023%5D%20Genian%20EDR%20%EC%9C%84%ED%98%91%20%ED%83%90%EC%A7%80%20%EC%8A%A4%ED%86%A0%EB%A6%AC%20%EB%9D%BC%EC%9D%B8.png?width=1142&height=1126&name=%5B%EA%B7%B8%EB%A6%BC%2023%5D%20Genian%20EDR%20%EC%9C%84%ED%98%91%20%ED%83%90%EC%A7%80%20%EC%8A%A4%ED%86%A0%EB%A6%AC%20%EB%9D%BC%EC%9D%B8.png)
[그림 23] Genian EDR 위협 탐지 스토리 라인
4. 공격 지표 (Indicator of Attack)
4.1. MITRE ATT&CK Matrix Tactic Technique Description
| Tactic | Technique | Description |
| Initial Access | T1566.001 | Phishing: Spearphishing Attachment |
| Execution | T1059.003 | Command and Scripting Interpreter: Windows Command Shell |
| T1059.005 | Command and Scripting Interpreter: Visual Basic | |
| T1204.002 | User Execution: Malicious File | |
| Persistence | T1543.003 | Create or Modify System Process: Windows Service |
| T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | |
| T1547.004 | Boot or Logon Autostart Execution: Winlogon Helper DLL | |
| Defense Evasion | T1027.002 | Obfuscated Files or Information: Software Packing |
| T1548.002 | Abuse Elevation Control Mechanism: Bypass User Account Control | |
| T1553.005 | Subvert Trust Controls: Mark-of-the-Web Bypass | |
| T1562.009 | Impair Defenses: Safe Mode Boot | |
| T1564.001 | Hide Artifacts: Hidden Files and Directories | |
| Impact | T1486 | Data Encrypted for Impact |
| T1529 | System Shutdown/Reboot |
[표 02] Mitre Att&ck Tactics and Techniques
4.2. 주요 MD5 Hash
- 012477baee020f9639e9002015492b99
- 86358056a97b768f1768e07e46c5540a
- ba0cdcb6efe81b188f346be3d45566e8
- c7fdc61e64c9311857c1fabb2e0dc436
- 2cf4d5f4535b5ea277b965d036174a4b
- 89f9bfb649abe4ae5ba693cae113d0bf
- 0563f083ab08c6f688a0a91136a7d801
5. 참고 자료 (Reference)
- Fortinet - Can You See It Now? An Emerging LockBit Campaign
 |
 |
