[Sigma Rule] 제22화: 최신 랜섬웨어 공격 시나리오로 구현하는 실전 Sigma 프로젝트

이번 글에서는 최신 랜섬웨어 공격 흐름을 가정해 Sigma 룰을 어떻게 설계하고 묶어낼지 실전 관점에서 정리해드리겠습니다.

랜섬웨어는 이제 단일 악성코드보다 초기 침투, 자격증명 탈취, 수평 이동, 배포 자동화가 결합된 공격 체인으로 움직이며, DFIR Report와 SOC Prime 사례도 이런 다단계 전개를 강조합니다.

SigmaHQ 공식 문서는 Sigma가 YAML 기반 탐지 언어이며, 로그 소스별로 행동 패턴을 표준화해 SIEM으로 변환할 수 있다고 설명합니다.

 

◎ 왜 시나리오형 프로젝트인가

• 랜섬웨어 탐지는 개별 IOC만으로는 부족합니다. 
• 최근 공격은 피싱으로 초기 진입을 만든 뒤, Cobalt Strike 같은 원격 제어 도구를 올리고, LSASS에서 자격증명을 빼낸 후, PsExec와 WMI로 암호화 페이로드를 퍼뜨리는 식으로 이어집니다. 
• DFIR Report가 분석한 Quantum 사례는 초기 감염에서 도메인 전체 암호화까지 4시간도 채 걸리지 않았다고 설명합니다.
• 그래서 실전 Sigma 프로젝트는 단일 룰 모음이 아니라 공격 단계별 탐지 체인으로 설계하시는 편이 훨씬 강합니다.

 

◎ 프로젝트 목표

 - 이번 프로젝트의 목표는 다음 네 단계를 하나의 탐지 흐름으로 연결하는 것입니다.

• 초기 침투: 악성 ISO, 문서 매크로, 취약점 악용.
• 포스트 익스플로잇: Cobalt Strike, 계정 탐색, LSASS 접근.
• 수평 이동: PsExec, WMI, RDP.
• 랜섬웨어 실행: 서비스 생성, 배포 스크립트, 대량 암호화.

 - 이 흐름을 Sigma로 쪼개면, 각 단계에서 경고를 만들고 이후 상관분석으로 하나의 인시던트로 묶을 수 있습니다.

 

◎ 1단계 초기 침투

• 공격의 시작은 보통 피싱 이메일, 악성 ISO, Office 문서입니다. 
• Picus Security는 DarkSide 초기 단계에서 Word가 Filter Loader를 호출하는 비정상적인 프로세스 관계를 Sigma로 탐지하는 예시를 제시합니다.

 - 같은 원리로 다음과 같은 규칙을 먼저 둘 수 있습니다.

title: Suspicious Office Child Process logsource:   category: process_creation   product: windows detection:   selection:     ParentImage|endswith:       - '\WINWORD.EXE'       - '\EXCEL.EXE'     Image|endswith:       - '\powershell.exe'       - '\cmd.exe'       - '\wscript.exe'   condition: selection level: high

• 이 규칙은 Office 문서가 스크립트 인터프리터를 호출하는 장면을 잡는 기본형입니다.

 

◎ 2단계 포스트 익스플로잇

• Quantum 사례에서는 IcedID 감염 이후 Cobalt Strike Beacon이 올라오고, 이후 LSASS 접근과 도메인 탐색이 이어졌습니다. 
• SOC Prime은 Quantum 관련 Sigma 세트에 Cobalt Strike pipe 이벤트, 의심스러운 프로세스 생성, 예약 작업 생성 같은 탐지를 포함한다고 설명합니다.

 

 - 이 구간에서는 아래처럼 프로세스 생성과 파이프 이벤트, 예약 작업을 함께 보는 것이 좋습니다.

title: Suspicious Cobalt Strike-like Activity logsource:   category: process_creation   product: windows detection:   selection:     Image|endswith:       - '\rundll32.exe'       - '\powershell.exe'     CommandLine|contains:       - 'download'       - 'http'       - 'sleep'   condition: selection level: high

• 이후에는 LSASS 접근 이벤트, 새 서비스 생성, 의심스러운 named pipe를 추가해서 체인을 넓히시면 됩니다.

 

 

◎ 3단계 수평 이동

• 랜섬웨어 조직은 흔히 PsExec와 WMI를 이용해 감염을 확산합니다. 
• DFIR Report와 SOC Prime 사례 모두 Quantum 공격에서 WMI, PsExec, RDP가 수평 이동의 핵심이었다고 밝힙니다.

 

 - 실전에서는 아래 두 축이 매우 중요합니다.

title: PsExec Service Installation logsource:   category: registry_set   product: windows detection:   selection_key:     TargetObject|contains:       - '\System\CurrentControlSet\Services'   selection_details:     Details|contains|all:       - 'ADMIN$'       - '.exe'   condition: all of selection_* level: high

 

• 그리고 서비스 생성 이벤트를 따로 두어야 합니다.
• FortiSIEM이 Sigma에서 차용한 Cobalt Strike 서비스 설치 룰도 ADMIN$와 COMSPEC, powershell 패턴을 강조합니다.

 

• 이런 룰은 단독 탐지보다 연결 탐지가 더 중요합니다.
• 예를 들어 “Cobalt Strike 의심 프로세스 → PsExec 서비스 생성 → 원격 실행” 순서를 30분 이내로 묶으면 경보 품질이 훨씬 높아집니다.

 

◎ 4단계 랜섬웨어 실행

• 마지막은 암호화 페이로드 배포입니다. 
• LockBit과 Quantum 사례 모두 WMI 또는 PsExec로 다수 호스트에 페이로드를 복사하고 실행하는 방식이었습니다. 
• SOC Prime의 LockBit 탐지 자료도 서비스 설치, 레지스트리 변경, 명령행 패턴 같은 실행 흔적을 별도로 다룹니다.

 

 - 이 단계에서는 다음과 같은 규칙이 유효합니다.

title: Possible Ransomware via PsExec or WMI logsource:   category: process_creation   product: windows detection:   selection:     ParentImage|endswith:       - '\psexesvc.exe'       - '\wmiprvse.exe'     Image|endswith:       - '\cmd.exe'       - '\powershell.exe'       - '\rundll32.exe'   condition: selection level: critical

• 또는 서비스 생성 후 바로 실행되는 패턴을 붙여서, 실제 암호화 직전의 행위를 포착하시면 좋습니다.

 

◎ 프로젝트 구성 방법

 - 이 프로젝트는 단일 룰 1개보다 룰 세트 + 상관분석으로 구성하시는 것이 좋습니다.

• Rule 1: Office/ISO 초기 실행 탐지.
• Rule 2: Cobalt Strike 의심 행위.
• Rule 3: PsExec/WMI 수평 이동.
• Rule 4: 서비스 생성 및 랜섬웨어 실행.
• Correlation: 1→2→3→4를 시간순으로 묶기.

 - SigmaHQ의 규칙 구조 문서도 logsource, detection, metadata를 분리해 유지보수성을 높이라고 권장합니다. 즉, 룰을 길게 한 줄로 쓰기보다 단계별로 잘라두는 것이 실무적입니다.

 

◎ 오탐을 줄이는 법

 - 랜섬웨어 시나리오형 탐지에서 가장 큰 문제는 관리 도구와의 혼동입니다. 

 - PsExec, WMI, PowerShell, RDP는 모두 관리자도 쓰기 때문입니다.

 - 따라서 다음 기준이 필요합니다.

• 배포 서버, 점프 서버, 운영 계정은 화이트리스트로 두십시오.
• 야간 시간대와 비정상 작업 시간을 구분하십시오.
• 한 호스트에서 끝나는 단발성 이벤트보다 다수 호스트 연쇄를 더 높게 평가하십시오.

 - SOC Prime과 Picus 사례도 결국 TTP 조합이 있어야 오탐을 줄일 수 있다고 말합니다.

 

◎ 마무리

• 최신 랜섬웨어는 단순 악성 파일이 아니라 초기 침투부터 배포까지 자동화된 공격 체인입니다. 
• 그래서 Sigma 프로젝트도 IOC 중심이 아니라 행위 중심, 단계 중심, 상관분석 중심으로 설계하셔야 합니다.