Hive 랜섬웨어: Illumio 제로 트러스트 세그멘테이션으로 스팅을 제한하는 방법

산업 솔루션 마케팅 담당 시니어 디렉터

September 29, 2021

23 최소 읽기

Hive 랜섬웨어 그룹은 2021년 중반부터 활동했으며, 이에 대한 공격을 통해 악명을 얻었습니다. 메모리얼 헬스 시스템.Hive가 지금까지 겪은 사건 중 가장 두드러진 사건으로, 이 공격으로 Memorial 전체 온라인 플랫폼이 폐쇄되어 조직은 응급 치료 환자를 네트워크 외부 시설로 리디렉션해야 했습니다.올해만 해도 세 번째입니다. 랜섬웨어 민간인에게 직접적인 영향을 미친 공격 — 공격자에 이어 콜로니얼 파이프라인 그리고 JBS 푸드.

Hive와 덜 복잡한 점은 무엇입니까? 랜섬웨어 일반적으로 “스프레이 앤 프레이” 접근 방식 (예: 데이터 손상에 거의 관심을 갖지 않고 최대한 빠른 시간 내에 최대한 많은 시스템을 잠그는 방식) 을 채택하는 공격자입니까?

Hive 랜섬웨어는 무엇인가요?

Hive 랜섬웨어 그룹은 대상을 잠그기 전에 대상의 중요 데이터를 빼내는 '이중 갈취' 방식을 활용하며, 양쪽 모두를 랜섬 비용을 높이는 지렛대로 사용하는데, 이 전략은 공격자들 사이에서 주목을 받고 있습니다.

공격자가 운영 중단과 중요한 데이터에 대한 액세스 모두에 초점을 맞추고 있다는 점을 고려하면 일반적인 장애 중심 랜섬웨어 공격을 넘어서는 수준의 상호 작용과 지속성이 필요합니다.이는 유출이 정당화될 만큼 가치가 높은 데이터를 식별하는 데 추가 시간과 노력이 필요하기 때문일 수 있습니다.

Hive 랜섬웨어의 작동 원리

Hive는 다양한 전술과 기술을 사용하여 공격을 실행합니다.

1.공격은 피해 환경에 액세스할 수 있는 사용자에 대한 피싱 공격 또는 사용자가 자신도 모르게 파일을 다운로드하게 하는 표적 이메일을 통해 시작됩니다. 악성 페이로드.

2.페이로드는 보통 코발트 스트라이크 (재미있게도 처음에는 펜 테스터들이 공격을 시뮬레이션할 때 사용하는 도구로 사용되었음) 비콘으로, 지속성, 콜백, 측면 이동 및 보조 페이로드의 전달을 용이하게 합니다.

3.다음은 로컬 호스트에 자격 증명을 덤핑하고 Active Directory 환경을 매핑하는 작업입니다.

4. 측면 이동 Microsoft의 원격 데스크톱 프로토콜 (RDP) 을 사용하면 맬웨어의 광범위한 확산이 촉진됩니다.그러나 Hive 그룹은 공격을 진행하기 위한 수단으로 취약점을 악용하는 것으로도 알려져 있습니다.공격 대상 네트워크에서 ConnectWise Automate 엔드포인트 관리 취약점을 악용한 사례가 있는데, 해당 도구가 공격 대상 네트워크에서 발견된 경우, 이는 소프트웨어 공급업체가 제기하는 공급망 위험을 더 잘 보여줍니다.

5.아웃바운드 콜백 채널이 설정된 후 Cobalt Strike 비콘으로 지침을 전송하면 보조 페이로드를 쉽게 다운로드할 수 있습니다.이 페이로드는 악의적인 행동을 실행하여 궁극적으로 랜섬 수요를 조장합니다.

6.페이로드는 다음 작업을 수행합니다.

진행을 방해하거나 경고를 생성할 수 있는 서비스 중지
관련성이 있을 수 있는 파일에 대한 모든 첨부 스토리지 열거
특정 파일 유출
동일한 파일의 로컬 암호화
랜섬 노트 생성

Illumio 제로 트러스트 세그멘테이션이 도움을 줄 수 있는 방법

멀웨어와 랜섬웨어는 조직에 처음 진입한 후 적절한 사용자 자격 증명에 대한 액세스를 악용하여 일반적으로 측면 이동을 사용하여 환경 내에서 확산됩니다.

Hive는 원격 데스크톱 프로토콜 (RDP) 을 활용하여 측면으로 이동합니다.RDP는 원격 액세스와 원격 관리를 모두 용이하게 하기 위해 액세스 가능한 상태로 두는 경우가 많으며, 그 결과 인기 있는 초기 랜섬웨어 공격 벡터입니다.

따라서 조직에서 Hive 랜섬웨어에 대한 방어 체계를 개선하기 위해 취할 수 있는 몇 가지 단계가 있습니다.일루미오 코어:

모니터: Illumio 에이전트를 모든 엔드포인트에 배포하고 트래픽 흐름을 모니터링합니다.이렇게 하면 다음과 같은 이점이 있습니다. 모든 플로우에 대한 가시성 SOC (Security Operations Center) 는 엔드포인트와 주고받으며, 보안 운영 센터 (SOC) 에서 정상 동작 패턴을 벗어난 RDP 연결과 알려진 악의적인 공격자에 대한 발신 연결 (예: Hive Command & Control 인프라) 을 식별하는 데 사용할 수 있습니다.
노출 제한: 워크로드 간 액세스가 더 개방적일수록 랜섬웨어가 더 빠르게 확산될 수 있습니다.유비쿼터스 RDP가 필요하지 않다는 점을 알고 있다면 활용하십시오. 집행 경계 엔드포인트 간 RDP를 기본적으로 차단합니다.관리 호스트 및 원격 액세스 게이트웨이에서의 액세스가 계속 허용되도록 예외 규칙을 작성할 수 있습니다.이로 인해 랜섬웨어가 확산되는 속도가 제한될 것입니다.
조직은 Illumio Core를 활용하여 이러한 제어를 더욱 강화할 수 있습니다. 적응형 사용자 세분화 권한 있는 Active Directory 그룹에 연결된 사용자만 전용 점프호스트에서 RDP를 사용할 수 있도록 하는 기능입니다.
C2 콜백 채널의 효과를 제한하려면 유사한 경계 개념을 구현하여 Hive와 관련된 모든 공용 IP 또는 FQDN에 대한 액세스를 거부하고 이를 정기적으로 업데이트하십시오.
포함: SOC가 감염 가능성이 있는 워크로드를 식별하면 대응 플레이북을 실행하여 대상에 격리 워크로드를 구현하여 승인된 조사 장비와 포렌식 도구를 통해서만 액세스할 수 있습니다.

랜섬웨어로부터 조직을 보호하는 것은 어렵습니다.하지만 Illumio Core를 사용하면 랜섬웨어를 쉽게 차단하여 침해로 인한 영향을 크게 줄일 수 있습니다.

자세히 알아보려면: