은밀하게 침투하는 새로운 랜섬웨어, 마모나(Mamona) 주의보!

최근 발견된 새로운 랜섬웨어 변종, 마모나(Mamona)가 보안 전문가들의 주목을 받고 있습니다. 기존 랜섬웨어와는 다른 은밀한 실행 방식과 흔적을 지우는 능력으로 탐지를 더욱 어렵게 만들기 때문입니다. 마모나에 대한 최신 정보와 대응 전략을 자세히 알아보겠습니다.

마모나 랜섬웨어의 특징: 조용하고 은밀한 침투

마모나는 인터넷 연결 없이 로컬에서 실행되는 독립적인 바이너리 파일 형태입니다. 이는 네트워크 트래픽 분석에 의존하는 기존 보안 도구를 무력화시키며, 오프라인 환경에서 발생하는 위협에 대한 보안 허점을 드러냅니다. 특히 명령-제어(C&C) 서버와의 통신 없이 자체적으로 작동하여 네트워크 기반 탐지를 회피합니다.

자가 삭제와 회피 기술: 흔적을 지우는 악성 코드

마모나는 실행 후 3초의 지연 시간을 가진 후 스스로 삭제됩니다. `cmd.exe /C ping 127.0.0.7 -n 3 > Nul & Del /f /q` 명령어를 사용하여 탐지 규칙을 우회하고, 디지털 흔적을 최소화하여 포렌식 분석을 어렵게 만듭니다. 또한, 일반적인 `127.0.0.1` 대신 `127.0.0.7`을 사용하여 탐지를 더욱 어렵게 만듭니다.

랜섬 노트와 파일 확장자 변경: 감염 신호

마모나는 암호화 성공 후 `README.HAes.txt`라는 랜섬 노트를 생성하고, 감염된 파일의 확장자를 `.HAes`로 변경합니다. 이는 랜섬웨어 감염을 알리는 명확한 신호입니다. Wazuh는 마모나의 "플러그 앤 플레이" 특성이 사이버 범죄의 진입 장벽을 낮추고, 랜섬웨어의 상품화를 가속화한다고 경고합니다.

마모나 탐지를 위한 Wazuh의 접근 방식

Wazuh는 Sysmon을 활용한 로그 캡처와 사용자 정의 규칙을 통해 마모나를 탐지합니다. 규칙 100901은 `README.HAes.txt` 파일 생성에, 규칙 100902는 랜섬 노트 활동과 지연/자가 삭제 시퀀스가 함께 나타나는 경우를 탐지합니다. 이러한 규칙은 일반적인 모니터링 시스템에서 놓칠 수 있는 지표를 식별하는 데 도움을 줍니다.

실시간 대응 시스템: 피해를 최소화하는 방어 전략

Wazuh는 YARA 규칙과 실시간 파일 무결성 모니터링(FIM) 시스템을 사용하여 마모나에 즉각적으로 대응합니다. 사용자의 다운로드 폴더와 같이 의심스러운 파일이 추가되거나 수정될 경우, Wazuh Active Response 모듈이 YARA 스캔을 실행하여 즉각적인 조치를 취합니다. 이는 DDoS 공격 방어 전략과 유사하게, 더 심각한 피해가 발생하기 전에 빠르게 대응하는 방식입니다.

진화하는 랜섬웨어에 대한 효과적인 보안 전략

랜섬웨어가 계속 진화함에 따라, 최상의 안티바이러스 솔루션 또한 발전해야 합니다. 완벽한 보호를 보장하는 단일 도구는 없지만, 모듈식 대응 기능을 갖춘 솔루션은 방어자에게 유연하고 진화하는 우위를 제공합니다. 특히, 네트워크 연결 없이 작동하는 랜섬웨어에 대한 대비는 더욱 중요해지고 있습니다.

결론

마모나 랜섬웨어는 기존 보안 시스템의 약점을 파고드는 새로운 위협입니다. 조직은 네트워크 중심의 방어 전략에서 벗어나, 호스트 기반의 위협 탐지 및 대응 능력을 강화해야 합니다. Wazuh와 같은 보안 솔루션을 활용하여 마모나와 같은 새로운 위협에 효과적으로 대응하고, 중요한 데이터를 안전하게 보호해야 합니다.