사이버안전센터 운영

Kaspersky의 TDSSKiller를 악용하는 Ransomhub
제목 Kaspersky의 TDSSKiller를 악용하는 Ransomhub
작성자 사이버보안팀 등록일 2024-10-31 조회수 43
내용

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C7.png

RansomHUB의 유출 사이트내 소개 페이지
%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C8.png

Kaspersky의 TDSSKiller 소개 

RansomHUB와 TDSSKiller 


RansomHUB는 다양한 국적의 해커들로 이루어진 랜섬웨어 공격 그룹입니다. 이들은 자신들의 홈페이지에서 특정 국가와 비영리 단체에 대한 공격을 금지한 다고 명시하고 있으며, 특히 CIS, 쿠바, 북한, 중국을 표적으로 삼지 않겠다고 명시했습니다. 글로벌 해커라는 그들의 주장과는 다르게 전통적인 러시아 랜섬웨어 공격 조직과 유사한 모습을 보입니다. 


Kaspersky는 표준 보안 도구를 우회를 할 수 있으며, 탐지하기 어려운 두가지 멀웨어인 루트킷과 부트킷을 시스템에서 탐지할 수 있는 도구로 TDSSKiller를 만들었습니다. RansomHUB 그룹은 오히려 Kaspersky의 TDSSKiller를 사용하여 대상 시스템을 공격해 엔드포인트 탐지 및 대응(EDR) 서비스를 비활성화하려고 시도하고 있습니다.  

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C9.png
TDSSKiller에서 지원하는 명령 매개변수 (출처: Malwarebytes) 

RansomHUB의 공격 흐름


RansomHub는 TDSSKiller를 악용하여 컴퓨터에서 실행 중인 안티 악성소프트웨어 서비스를 비활성화하는 스크립트 및 배치 파일을 사용해 서버의 커널에 접근을 시도합니다. RansomHub는 TDSSKiller를 사용해 동적으로 생성된 이름의 파일을 임시 디렉토리에서 실행하여 스캐닝을하고, 권한 획득에 사용합니다. 

TDSSKiller는 유효한 인증서로 서명된 합법적인 도구로 인식되어 보안 솔루션이 TDSSKiller를 악용한 RansomHub의 공격을 탐지하거나 차단할 수 없게 됩니다. 


공격에 성공한 다음 RansomHub는 LaZagne 도구를 사용하여 데이터베이스에 저장된 크리덴셜을 추출하려고 시도합니다. 이들은 크리덴셜을 탈취한 후 시스템을 조작합니다. 그 후 해당 로그를 삭제하여 자신들의 활동을 은폐하려 합니다. 

결론 

Kaspersky의 합법적인 도구인 TDSSKiller를 악용하는 공격조직 RansomHUB가 등장했습니다. 이들은 TDSSKiller를 악용해 인 프라 스캐닝을 진행하고, 커널에 접근하여 권한을 상승시킵니다. 공격에 성공한다면 LaZagne 도구를 사용해 크리덴셜을 탈취하고 접근 로그를 삭제해 흔적을 지우려 합니다. 이번 공격은 TDSSKiller를 악용했기에 시스템 상에서는 합법적인 도구로 판단, 탐지 및 차단이 어렵습니다.


RansomHUB 에 대한 보안 권장 사항 


 • TDSSKiller의 악용을 통해 EDR 솔루션을 비활성화 할 수 없도록 EDR 솔루션의 변조 방지 기능을 활성화 


 • 서비스 비활성 화 및 삭제를 위한 매개변수 ‘-dcsvc’ 플래그 모니터링


 • TDSSKiller 자체의 실행 모니터링  

이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.
이전 글&다음 글
이전 글 치명적인 Apache OFBiz 취약점
다음 글 DISCORD 봇으로 구현한 RAT PySilon


  • 담당부서 : 사이버보안팀
  • 전화번호 : 02-6908-8235
  • 담당자 : 심재인

Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?

평균 4.3점 / 39명 참여