RansomHub 랜섬웨어 갱은 Kaspersky의 합법적인 도구인 TDSSKiller를 사용하여 표적 시스템의 엔드포인트 탐지 및 응답(EDR) 서비스를 비활성화하고 있습니다. 이 도구는 루트킷과 부트킷, 즉 표준 보안 도구를 회피할 수 있는 매우 어려운 감지 유형의 악성 코드를 찾아내는 데 사용됩니다. EDR 에이전트는 파일 접근, 프로세스 생성, 네트워크 연결 등의 저수준 시스템 활동을 모니터링하고 제어하는 커널 수준에서 작동하는 고급 솔루션입니다.
RansomHub는 TDSSKiller를 악용하여 Malwarebytes Anti-Malware Service(MBAMService)를 비활성화하는 등의 커널 수준 서비스와 상호 작용합니다. 이 도구는 합법적이고 유효한 인증서로 서명되어 있어, 보안 솔루션에 의해 공격이 중단되거나 플래그가 표시되는 위험을 감수하지 않습니다. 또한, RansomHub는 LaZagne 도구를 사용하여 데이터베이스에 저장된 자격 증명을 추출하려고 시도합니다.
LaZagne의 탐지는 대부분의 보안 도구가 악성으로 표시하기 때문에 간단하지만, TDSSKiller가 방어를 비활성화하면 활동이 보이지 않게 될 수 있습니다. 따라서 보안 회사는 EDR 솔루션의 방해 방지 기능을 활성화하고, TDSSKiller와 같은 도구로 공격자가 이를 비활성화하지 못하게 하는 것을 제안합니다.

요약
- RansomHub 랜섬웨어 갱은 Kaspersky의 합법적인 도구인 TDSSKiller를 사용하여 표적 시스템의 EDR 서비스를 비활성화하고 있다.
- 이 도구는 루트킷과 부트킷을 감지하는 데 사용되며, 보안 솔루션에 의해 공격이 중단되거나 플래그가 표시되는 위험을 감수하지 않는다.
- RansomHub는 LaZagne 도구를 사용하여 데이터베이스에 저장된 자격 증명을 추출하려고 시도한다.
- LaZagne의 탐지는 간단하지만, TDSSKiller가 방어를 비활성화하면 활동이 보이지 않게 될 수 있다.
- 보안 회사는 EDR 솔루션의 방해 방지 기능을 활성화하고, TDSSKiller와 같은 도구로 공격자가 이를 비활성화하지 못하게 하는 것을 제안한다.

Reference
https://www.bleepingcomputer.com/news/security/ransomhub-ransomware-abuses-kaspersky-tdsskiller-to-disable-edr-software/ https://www.bleepstatic.com/content/hl-images/2024/08/27/ransomware-2.jpg

※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.