분류 전체보기에 해당하는글 186

Windows + R 키로 regedit.exe 를 열기에 입력하여 실행합니다.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ 아래의 키 중에서 삭제할 작업을 선택 하여 내보내기 백업 후 삭제하고 윈도우를 재시작합니다.

윈도우 재시작 후 명령 프롬프트(관리자)를 열고 Dism Online을 아래와 같이 실행하여 시스템 이미지를 Clean 복원합니다.

DISM /Online /Cleanup-Image /RestoreHealth

그 다음 sfc /verifyonly 를 실행하여 Clean 복원이 잘 되었는지 시스템을 검사합니다.

검사에 무결성 위반이 발견될 경우, sfc /scannow 를 실행하여 손상된 파일을 복구합니다.

COMMENT : 0 TRACKBACK : 0

날짜

2019. 9. 4. 12:45

[긴급] 랜섬웨어 및 위협공지 - Petya 랜섬웨어 변종 전세계 강타 중, 빠른 대처가 필요합니다


지난 달의 워너크라이(Wannacry) 공격이 전세계 언론의 관심을 끌었던 것에 대해 뜨거운 반응을 보였던 것과 마찬가지로 Petya 랜섬웨어가 급속도로 전세계 공격이 증가하고 있습니다. 기존 Petya의 변종 랜섬웨어로 추정되며 명명은 Petya로 정의하기로 하였습니다.

오늘 아침 일찍 발견된 랜섬웨어는 정부 기관, 주요 공항,  지하철 시스템,  에너지 공급 업체 Ukrenergo, 중앙 은행 및 폐기 된 체르노빌 원자력 발전소에 영향을 미치면서 특히 우크라이나를 심하게 강타했습니다.

영국의 광고 대행사인 WPP, Saint-Gobain, 프랑스 건설 회사, 러시아의 석유 회사인 Rosneft 및 덴마크의 해운회사인 AP Moller-Maersk을 비롯한 유럽의 다른 지역의 기업에서도 감염이 확인되었습니다. 지금까지 랜섬웨어 감염은 미국, 멕시코,이란, 브라질 등 14 개국 이상에서 확인되었습니다. 그러나 우리는 더 많은 국가들이 영향을 받을 것으로 추정하며, 한국도 예외가 아닐 것입니다.

아마도 가장 놀라운 사실은  본 최신 Petya 랜섬웨어 변종은 워너크라이가 올해 5 월에 20 만 대 이상의 컴퓨터를 감염시키는 것과 동일한 NSA 악용을 사용한다는 사실입니다. 계속되는 보안 패치와 조언에도 불구하고 많은 기업들이 보안 전문가의 조언을 듣지 않고 최신 업데이트나 보안 문제에 대한 투자가 아직도 이루어지지 않고 준비가 덜되어 있다는 것입니다.

이 최신 랜섬웨어 공격은 워너크라이 보다 더 악화될 수 있습니다. 컴퓨터와 네트워크를 보호하기 위해 우리가 할 수 있는 것은 무엇이 있을까요? 당연히 랜섬웨어 대응 백신을 도입하고 최신 상태 업데이트하는 것입니다. 그리고 물리적인 백업을 즉각 실행하고 네트워크에서 단절시켜 놓는 것이 무엇보다 중요합니다.


강력한 Petya 랜섬웨어

어떤 면에서 최신 Petya 변종은 기존 Petya 랜섬웨어 패밀리와 밀접한 관련이있는 것으로 보입니다. Petya는 2016 년 3 월 말에 처음으로 공격을 시작하었습니다. Petya는 Windows 대신 설치하고 부팅하는 자체 운영 체제를 구현했기 때문에 다음에 부팅 디스크의 여러 가지 중요한 파일 시스템 구조를 암호화 할 수있었습니다 새로운 Petya 변종은 이 방법과 심지어 Petya 운영 체제의 코드까지 거의 완벽하게 복사했지만 파일을 전파하고 암호화하여 시스템을 감염시키는 자체적 인 방법을 구현합니다.

시스템의 성공적인 감염에 따라, Petya는 posteo.net 주소로 연결된 지갑에 300 달러 상당의 비트 코를 지불하라는 영어로만 제공되는 몸값 스크린을 제공합니다.

이 글을 쓰는 시점에서 3.1 비트 콘은 28 개가 넘는 트랜잭션을 통해 지불되었으며, 랜섬웨어 작성자는 7,300 달러에 몸값 지불을 요구하고 있는 상태입니다.  이 금액은 비교적 적은 편이지만 빠르게 확산되는 점을 감안할 때 더 많은 피해자가 몸값을 지불해야 될 것으로 추정합니다.


Petya 랜섬웨어 어떻게 감염됩니까?

Petya 감염의 초기 파동은 인기있는 우크라이나 회계 소프트웨어 공급 업체 인 MeDoc의 해킹으로 거슬러 올라갑니다. 알려지지 않은 공격자는 소프트웨어 업데이트 서버에 접속하여 Petya 랜섬웨어를 소프트웨어 업데이트로 가장하여 회사 고객사에게 업데이트 정보를 전달했습니다. 이전에는 XData와 같은 랜섬웨어 제품군에서 유사한 공격 방법을 사용하여 초기 공격을 시작했습니다. 다시 말하면 소프트웨어 개발공급사를 먼저 타겟 공격을 하여 고객사에게 사용 중인 소프트웨어를 업데이트 하도록 경고하고 고객사 시스템을 감염시키는 것입니다. 

따라서, 우선은 소프트웨어를 사용하는 일반 기업이나 개인 들도 중요합니다만, 회계 소프트웨어나 회사 운영 소프트웨어를 개발 공급하는 개발사의 보안 강화가 더욱 중요합니다. 대부분의 소프트웨어 도입한 고객들은 일반적으로 소프트웨어 업데이트 요청 메일이나 안내에 따라 업데이트하기 때문에 개발사의 주의가 더욱 필요한 시점입니다.

일단 많은 시스템이 감염되면, Petya는 WannaCry에서도 사용했던 Shadow Brokers 그룹에 의해 유출 된 것과 동일한 NSA 익스플로잇을 통해 네트워크로 급속하게 퍼질 수있었습니다. ETERNALBLUE로 알려진이 익스플로잇은 Microsoft SMBv1 프로토콜의 취약점을 악용하여 침입자가 다음을 수행하는 시스템을 제어 할 수 있도록합니다.

  • SMBv1 프로토콜을 활성화
  • 인터넷에서 액세스 할 수 있으며
  • 2017 년 3 월에 릴리스 된 MS17-010 수정 프로그램으로 패치하지 않은 경우 Petya 랜섬웨어 감염 대상이 됩니다.
따라서 위의 조건에 대하여 보안 대응하여야 합니다. 

ETERNALBLUE 익스플로잇이 성공하면 DOUBLEPULSAR이라는 코드 네임을 사용하는 시스템에 백도어를 설치합니다. DOUBLEPULSAR는 맬웨어가 악용 된 시스템에 자신을 보내고 자체를 실행하는 데 사용됩니다.

또한 Petya는 Windows에 통합 된 다양한 관리 기능을 사용하여 손상된 네트워크에 전파합니다. 즉, 패치되지 않은 단일 시스템은 다른 시스템이 완전히 패치 된 경우에도 전체 네트워크에 감염 될 수 있습니다. Petya는 WMI (Windows Management Instrumentation)와 인기있는 도구 인 PsExec을 관리 네트워크 공유와 함께 사용하여 로컬 네트워크에서 랜섬웨어의 확산을 용이하게합니다.


Petya는 어떤 파일을 어떻게 암호화합니까?

Petya는 두 개의 서로 다른 랜섬웨어 모듈로 구성됩니다. 첫 번째 모듈은 고전적인 랜섬웨어 제품군과 매우 유사합니다. 다음 확장자 중 하나를 사용하여 파일의 첫 번째 1MB까지 암호화합니다.

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql.tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

파일을 암호화하기 위해 128 비트 키가있는 AES 알고리즘을 사용합니다. 그런 다음 해당 키는 랜섬웨어 실행 파일에 포함 된 RSA 공개 키를 사용하여 암호화됩니다. RSA 및 AES를 사용하여 파일을 안전하게 암호화하는 방법에 대한 자세한 내용은 암호화에 대한 주요 기사에서 찾을 수 있습니다.

두 번째 모듈은 Petya 랜섬웨어 제품군에서 곧장 추출되었습니다. 시스템이 MBR을 통해 부팅 할 수 있고 중계 서버가 필요한 권한을 얻을 수있는 경우 시스템의 마스터 부트 레코드(MBR)에 설치되는 맞춤형 작은 운영 체제로 구성됩니다. Petya OS가 부팅되면 Salsa20 스트림 암호를 사용하여 부팅 드라이브의 마스터 파일 테이블을 찾아 암호화합니다.

마스터 파일 테이블은 NTFS Windows 파일 시스템의 내부 데이터 구조입니다. 그것은 본질적으로 각 파일에 대해 데이터가있는 디스크 상의 위치를 ​​추적합니다. 또한 Petya 랜섬웨어 OS는 파일 복구 도구가 제대로 작동하지 못하도록 각 파일의 첫 번째 섹터를 암호화합니다. 마스터 파일 테이블이 없으면 Windows는 디스크의 데이터를 이해할 수 없으므로 기본적으로 사용자를 시스템에서 완전히 잠급니다.


Petya 랜섬웨어 공격으로 부터 자신을 보호하려면 어떻게 해야합니까?

WannaCry 공격 중에 주어진 조언은 Petya의 경우에도 여전히 유효합니다. 즉각적인 조치로서 Windows 컴퓨터 및 서버에 최신 보안 업데이트가 설치되어 있는지 확인하십시오. 이전의 랜섬웨어 감염에 이어 Microsoft는 Windows XP 및 Windows Server 2003과 같은 "지원되지 않는 시스템"에 대한 보안 패치를 릴리스하는 특별한 단계를 밟았으므로 이러한 시스템도 패치 할 수 있습니다.

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

항상 강조한 것처럼 Petya 랜섬웨어가 사용하는 암호화가 매우 강력하기 때문에 최고의 보안은 여전히 안정적이고 입증 된 백업 전략으로 남아 있습니다. 데이터를 다시 얻는 유일한 방법은 랜섬웨어  제작자에게 돈을 주거나 백업에서 복원하는 것 뿐입니다.  중요한 Windows 업데이트를 설치하는 것은 시스템 보호에있어 매우 중요한 단계입니다. Petya의 주요 감염 벡터는 현재 ETERNALBLUE SMBv1 익스플로잇으로 이미 몇 달 동안 패치되었습니다.

규칙적인 백업 외에도 행동감시(Behavior Blocker) 기술이 포함되어 있는 백신의 사용입니다.

소프트메일은 이와 같은 행위기반 감시 엔진과 랜섬웨어 방어 기술 엔진이 탑재된 백신을 강력하게 추천합니다.



작성 : 어베스트코리아 (주)소프트메일

출처: http://blog.avastkorea.com/1203 [Avast 블로그]


소프트메이트 랜섬웨어 방어 백신 백화점 바로가기 : http://storefarm.naver.com/softmate


COMMENT : 0 TRACKBACK : 0

날짜

2017. 6. 28. 11:48

Petya 랜섬웨어의 주요 공격 대상 운영체제는 윈도우 7
 

오늘 어베스트코리아 및 각족 언론에서 발표한 것처럼 Petya 랜섬웨어는 전세계에 급속하게 퍼질 것으로 예상되고 있습니다.

Petya는 윈도우 운영체제의 EternalBlue 취약점을 익스플로잇 공격을 통해 감염시키는 것으로 알려져 있습니다. 어베스트 바이러스랩에 따르면 오늘 하루 약 12,000개의 공격 시도가 감지되어 차단하였고 Wi-Fi를 통한 공격도 확인되었습니다.

약 3천 8백만 대의 PC가 아직 시스템 운영체제와 취약점이 패치되지 않은 것으로 확인되는데 공격에 취약점이 그대로 존재하고 있는 것으로 이는 매우 위험한 상황입니다. 

Petya가 노리고 있는 4개의 목표 운영체제는 윈도우 7 (78%), 윈도우 XP (14%), 윈도우 10 (6%), 윈도우 8.1 (2%)로 단연코 윈도우 7에 대한 공격이 대부분입니다.  



Petya 랜섬웨어 개발자는 사회공학적 기법과 빠르고 광범위한 랜섬웨어 유포를 위해 몸값의 15%만을 직접 챙기고 유포자에게 85%의 이익을 제공하는 것으로 확산을 유도하고 있습니다. 

우리는 윈도우 운영체제 사용자들이 조속히 기업과 개인 관계없이 가능한 모든 패치와 최신 업데이트  백신 사용을 권고합니다. 


작성 : 어베스트코리아 (주)소프트메일

출처: http://blog.avastkorea.com/1204 [Avast 블로그]


소프트메이트 랜섬웨어 방어 백신 백화점 바로가기 : http://storefarm.naver.com/softmate

COMMENT : 0 TRACKBACK : 0

날짜

2017. 6. 28. 11:36



오늘날에는 AirBnB, Homeaway 등 단기임대 중개서비스가 널리 알려져 있다. 수많은 사람들이 임대인 그리고 임차인으로서 이들 서비스를 이용했거나 이용 중이다. 이러한 서비스의 비즈니스모델은 종래 관광산업에 변동을 일으키고 있으며 친구 또는 가족 단위의 여행객들에게 편리하고 유용한 서비스로 인기를 끌고 있다. 필자는 몇몇 임대인의 경우 와이파이 등 개인 물품 및 서비스에 대한 접근을 아주 쉽게 한다는 점을 흥미롭게 생각했다.


최근 사이버보안 컨퍼런스 Black Hat에서 AirBnBeware: Short Term Rentals, Long Term Pwnage라는 발표를 들은 적이 있다. 발표자였던 Jeremy Galloway는 친구들과 여행할 당시 숙소 라우터를 해킹하여 그들의 웹브라우징을 어지럽힌 적이 있다는 경험을 소개했다. 그는 원래 해킹에 몇 시간이 소요되리라고 짐작했으나 라우터가 눈에 뻔히 보이는 위치에 있었고 따라서 컴퓨터를 직접 연결시킬 수 있었기 때문에 실제로는 금방 해킹에 성공했다고 한다.


AirBnB 연간 이용객은 6천만 명이 넘으며 숙소로 등록된 장소는 2백만 곳에 달한다. 다른 단기임대 서비스를 고려할 필요도 없이 이는 그 자체로도 엄청난 숫자로 정말 많은 사람들이 다양한 장소를 오고감을 알 수 있다. 사이버보안 측면에서는 이러한 숙소에 단 하루만 투숙하는 사람도 보안상 위험에 노출될 수 있다.


카스퍼스키는 이미 무료 와이파이를 피해야 하는 이유 그리고 가정용 네트워크의 보안을 개선하는 방법에 대해 소개한 바 있다. 이러한 일상 생활이 아닌 여행에서도 보안은 중요하며 타인의 와이파이를 사용할 때 그 와이파이에 누가 있었는지 그리고 누가 아직도 잔류하고 있는지 알 길이 없다는 점에 유의해야 한다. 위에서 소개한 발표에서는 와이파이 보안과 관련하여 임대인과 임차인이 유의해야 할 사항도 소개됐으며 그 내용은 다음과 같다.


임차인 주의사항

1. 여행 중에도 와이파이가 반드시 필요한지 아니면 모바일네트워크와 숙소 TV만으로도 충분한지 생각한다.

2. 만약 와이파이가 반드시 필요하다면 자신의 휴대전화를 핫스팟으로 사용하는 방법을 고려한다. 이 경우 여행을 위해 구매한 데이터플랜이 사용됨에 유의하고 사용량과 다운로드에 주의하도록 한다. 안전한 접속을 원한다면 VPN을 사용할 수 있다.

3. 온라인뱅킹이 필요하다면 접속을 인증할 수 있는 은행 공식앱을 사용한다.

4. 여행 중에는 언제나 자신을 둘러싼 물리적 및 전자적 사물에 주의해야 한다. 조금이라도 수상한 부분이 있다면 조심해야 한다.


임대인 주의사항

1. 가정용 네트워크에 대한 접속은 허용하지 않는다. 투숙객을 위해서는 별도의 게스트 네트워크를 설치함으로써 투숙객에게 와이파이 서비스를 제공하는 동시에 자신의 개인 네트워크를 안전하게 보호할 수 있다.

2. 라우터의 기본 비밀번호를 변경한다. 대부분의 라우터는 기본 비밀번호가 admin이나 password 등으로 지정돼 있기 때문에 개인 네트워크를  보호하기 위해서는 우선 이 기본 비밀번호를 변경해야 한다.

3. 라우터는 옷장이나 서랍에 보관하고 가능하다면 별도의 잠금장치를 마련하여 혹시라도 생길지 모르는 해킹가능성을 줄여야 한다.

4. 임대를 자주 하는 경우라면 몇 달마다 주기적으로 라우터를 백업하고 재설정하는 게 좋다.

5. 단기임대인들은 대체로 투숙객 안내문에 관광지 추천 등의 팁을 제공하는데 여기에 보안상 유의사항을 추가하여 이를 따르도록 요청한다.




Jeffrey Esposito, Rental Wi-Fi? Think Twice, 8. 9. 2016.

https://usblog.kaspersky.com/short-term-rental-wifi/7499/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 10. 16:45


카스퍼스키가 최근 어도비플래시를 중심으로 한 취약점악용을 막을 수 있는 기술특허를 확보했다. 어도비플래시는 2015년 가장 많이 악용되는 프로그램으로 선정되는 등 사이버보안 측면에서 위험한 프로그램으로 악명이 높다. 자바, 어도비리더, 마이크로소프트 오피스 및 실버라이트 등 다른 프로그램도 취약점악용이 많지만 플래시의 경우 널리 사용되고 취약점의 영향이 중대할 뿐 아니라 사용자의 의한 업데이트가 소극적이라는 점으로 인해 압도적으로 높은 위험성을 가지고 있다.


컴퓨터를 감염시키는 과정은 크게 두 가지가 있다. 먼저 사용자의 직접적인 행동이 개입되는 과정으로 실행파일 다운로드 및 실행, 악성매크로가 포함된 문서 열기, 악성링크 클릭 등이 있다. 한편  범죄자 측에서 운영체제나 프로그램 등의 취약점을 발견하고 악용하는 방식의 경우에는 별도로 사용자의 행동이 요구되지 않는다. 예를 들어 웹브라우저에 취약점이 있다면 악성웹페이지를 열기만 해도 해킹이 가능해진다. 컴퓨터를 감염시키기 가장 쉬운 경로는 인터넷이며 따라서 웹사이트를 통한 취약점악용이 특히 인기를 끌도 있다. 이 경우 취약점악용은 웹브라우저에 국한되지 않으며 웹사이트 멀티미디어 재생에 필요한 자바 또는 어도비플래시 구성요소도 취약점악용의 대상이 되기도 한다.

플래시 영상을 프로그램으로 열리는 파일이 아닌 프로그램 자체로 이해될 수 있다. 플래시 영상은 웹사이트의 다른 컨텐츠와 합께 다운로드되지만 어도비플래시 구성요소를 통해 독자적으로 실행된다. 이 때 어도비플래시는 안전을 위해 자체적인 가상환경에서 이들 프로그램을 실행하며 이를 통해 인터넷에서 받은 코드가 컴퓨터에서 어떤 행동을 개시하려고 해도 파일이나 문서 또는 중요 운영체제 구성요소에 접근할 수 없다.


그러나 이는 이론적으로만 타당하며 실제로는 플래시 취약점악용을 통해 플래시의 가상화 보안대책도 우회될 수 있다. 아울러 플래시 가상환경은 그 속성상 공격자의 의도를 시스템으로부터 숨길 수 있는 수단이 되기도 한다. 특히 해커가 피해자별로 고유한 파일이름을 지정하여 제각기 다른 악성코드 파일을 생성할 수도 있다. 이는 대규모 파일목록에 의존하여 맬웨어를 탐지하는 기존 안티바이러스에게 문제가 된다. 수백만에 달하는 취약점악용은 그 기본적인 방식은 똑같지만 보안솔루션 입장에서는 모두 다르게 인식되기 때문이다. 또한 어도비플래시 프로그램은 프로그래밍 언어 3종으로 제작될 수 있으며 이로 인해 정상적인 플래시 컨텐츠로부터 악성컨텐츠를 탐지해 내는 과정이 더욱 복잡해질 수 있다.


결국 파일이름 표시의 문제도 있고 가상환경을 통해서도 안전을 담보할 수 없기 때문에 보안커뮤니티에서는 근본적 문제해결에 대한 논의가 한동안 정체된 상태였다. 관건은 악성코드를 실행하기 전에 그 속성을 파악하는 방법이다.  이론적으로는 어도비플래시에 코드를 전달하기 전에 별도로 가상환경을 구동할 수도 있으나 이 방법은 상시로 사용하기에는 자원도 많이 소요되고 너무 복잡하다.


카스퍼스키 연구진 Anton Ivanov와 Alexander Liskin이 고안한 신기술은 의심코드에 대한 에뮬레이션을 토대로 하고 있으며 작은 차이점을 가진 유사 오브젝트 다수를 훨씬 빠르게 분석할 수 있다. 연구진은 가상스택머신(virtual stack machine) 접근방식을 채택하여 코드를 직접 실행하지 않고도 그에 대한 정보를 수집할 수 있는 방식을 구현했다.


악성 플래시 오브젝트는 굳이 실행되지 않더라도 본래 속성을 밝혀낼 수 있다. 카스퍼스키 신기술을 적용한다면 맬웨어 제작자가 개별 코드에 변경을 가했다 해도 원래 기획된 악성코드의  속성을 파헤칠 수 있다. 결국 플래시 취약점악용을 파악할 경우 이와 동일한 수법을 사용하는 모든 맬웨어를 자동 차단할 수 있다. 이 신기술을 카스퍼스키 솔루션에 적용한 결과 이들 위협에 대한 탐지율이 두 배 가까이 상승했다. 이 정도의 탐지율 상승은 다른 안티바이러스에서는 목격하기 힘든 수준이다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Marvin the Robot, Disarming Flash exploits, 8. 4. 2016.

https://usblog.kaspersky.com/flash-exploit-patent/7483/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 9. 14:50



게시일: 2016-08-02 l 작성자: Trend Micro

트렌드마이크로에서 제안하는 다층보안설계 중 엔드포인트 솔루션에 대해 설명하고자 합니다.

이 블로그는 네 파트로 이루어진 시리즈의 두 번째 파트로써, 랜섬웨어가 어떤 기술을 활용하여 엔드유저와 기업에 영향을 미치는 지에 대하여 설명합니다. 위협을 최소화하기 위한 다층보안 설계는 게이트웨이 보안 및 엔드포인트, 네트워크, 그리고 서버에 각각 알맞은 보안을 도입해야 한다는 것을 의미합니다.

게이트웨이 보안을 다룬 트렌드마이크로의 블로그를 보시려면, 하단을 클릭하세요:

FBI는 2016년 랜섬웨어 피해가 자그마치 10억 달러 이상 될 것이라 추정했습니다. 랜섬웨어 비즈니스는 급속히 팽창하고 있으며, 사이버 범죄자들은 피해자의 비즈니스 형태 및 규모와 상관없이 끊임없는 공격을 가하고 있습니다.

일반적으로 중소기업에서는 체계적인 보안 솔루션을 유지할 비용적 여유가 없기 때문에 랜섬웨어 보안 등에 큰 투자를 하고 있지 않습니다. 조사에 따르면, 미국 중소기업의 약 65%는 랜섬웨어에 대비한 보안 솔루션을 도입하지 않은 것으로 밝혀졌습니다. 또한, 다층보안설계에 따른 보안 시스템을 구축하고 있다고 하더라도, 파트너사, 벤더, 직원 등의 신뢰할 만한 출처로부터 오는 위협으로 인해 기업 네트워크가 침해 당할 위험이 있습니다. 이러한 상황을 살펴보았을 때, 동작 모니터링과 애플리케이션 컨트롤 기능이 가능한 엔드포인트 솔루션은 기업 랜섬웨어 방어의 최전방이라고 할 수 있습니다.

그림1. 랜섬웨어 공격 종류와 전용 솔루션


동작 모니터링 기능의 이해

트렌드마이크로 오피스스캔 및 Worry-Free 비즈니스 시큐리티와 같은 솔루션에서 제공하는 동작 모니터링 기능은 “이례적”이거나 정상적이지 않은 시스템의 동작 또는 변경을 추적하고 차단합니다. 해당 기능은 암호화, 작업 변경, 파일 드롭, C&C서버 커뮤니케이션 등에 기반하여 랜섬웨어와 크립토랜섬웨어 변종의 알려진 또는 알려지지 않은 공격의 실행을 차단할 수 있습니다. 또한 정보 탈취 랜섬웨어인 RAA 랜섬웨어와 MIRCOP 변종을 차단할 수 있습니다. 동작 모니터링 툴은 시스템 내 저장된 특정 파일을 암호화 하려는 모든 프로그램을 종료시킬 수 있습니다. 실행되는 프로그램이 화이트 리스트에 포함되지 않거나, 랜섬웨어 공격과 관련된 것으로 판정되면, 해당 프로세스의 실행을 즉시 중지합니다.

그림 2. 랜섬웨어가 암호화하는 파일 종류가 나열된 스크린샷


이메일 스캐너를 우회하기 위해 스크립트로 디자인된 Locky, TeslaCrypt 4.0(탐지명 CRYPTESLA), CryptoWall 3.0(탐지명 CRYPTWALL)r과 같은 랜섬웨어 또한 동작 모니터링으로 탐지가 가능합니다. 당사의 동작 모니터링 기술은 VBScript를 사용하는 랜섬웨어(Cerber 및 Locky 변종)와 Jscript 랜섬웨어(RAA)를 탐지 및 차단합니다.

섀도우 복사본을 삭제하는 랜섬웨어 그룹도 존재하는데, 이러한 행동이 특정 OS에서는 일반적인 프로세스로 분류되기 때문에 곧바로 차단되지 않는 경우도 있습니다. 하지만 동작 모니터링 기술로 랜섬웨어 감염의 가능성이 있다고 판단할 수 있습니다.

랜섬웨어 변종 중에는 정식 프로그램, 서비스, 프레임워크 등을 악용하여 시스템이 악성코드를 감치 및 제거하는 것을 우회하기도 한다. 예시로, PowerWare는 윈도우 PowerShell을 악용한다. 동작 모니터링 툴은 정식 프로그램, 서비스, 프레임워크가 악성으로 활용되거나, 정식 프로그램이 암호화에 이용될 경우와 같은 특정 이벤트를 감시하고 방지할 수 있습니다.

그림 3. PowerShell을 악용하는 PowerWare 코드


일반 사용자들의 경우, 랜섬웨어 악성코드가 일반적인 정식 프로그램에 의해 실행될 경우 크게 주의 깊게 살펴보지 않을 수도 있습니다. 하지만, 동작 모니터링 툴이 있다면, 랜섬웨어의 침투 경로와 후킹 등과 같은 행위를 저지하고 차단할 수 있습니다.


애플리케이션 컨트롤 기능의 이해

동작 모니터링 이외에 엔드포인트 솔루션에서 실행할 수 있는 좋은 대응 기능은 바로 애플리케이션 컨트롤 입니다. 화이트 리스팅(White Listing)이라고도 알려진 해당 기능은, 랜섬웨어의 실행을 방지하여 백업 파괴 등의 더 큰 피해를 방지할 수 있는 기능입니다. 애플리케이션 컨트롤은 비악성 경로, 파일, 프로세스만이 시스템에서 실행하도록 합니다.

그림 4. 트렌드마이크로의 애플리케이션 컨트롤이 JIGSAW 실행 방지


IT 관리자들은 애플리케이션 컨트롤을 통해 시스템에서 실행할 수 있는 프로그램, 파일, 프로세스를 결정할 수 있습니다. 엔드포인트에서 카테고리, 벤더, 앱, 또는 기타 역학적 평가 가치들로 목록을 만들 수 있습니다. 앱이 허용될 경우, 해당 앱의 업그레이드 버전 또는 업데이트 버전도 사용할 수 있습니다. IT 관리자는 시스템 파일, 데스트탑 앱, 모바일 앱 등의 안전 앱 디폴트 목록을 사용할 수 있다.

앱을 화이트 리스팅 하는 것 이외에도 애플리케이션 컨트롤은 특정 파일 경로에서 프로그램, 파일, 프로세스가 실행하는 것을 방지합니다. IT 관리자들은 특정 디렉토리에 관한 블로킹 룰(Blocking Rule)을 생성할 수 있습니다. 랜섬웨어 변종 중에는 일반적으로 %Temp% 또는 %User Temp% 디렉토리에 복사본을 다운로드 합니다. 해당 경로는 일반적으로 대다수의 악성코드가 사용하는 것입니다. JIGSAW와 같은 랜섬웨어는 %Application Data% 과 %AppDataLocal%의 파일 경로를 사용합니다. IT 관리자들은 특정 변종이 일반적으로 사용하는 경로를 알아내서, 해당에 대한 블로킹 룰을 생성할 수 있습니다.

그림 5. 트렌드마이크로 애플리케이션 컨트롤이 차단할 수 있는 특정 경로


트렌드마이크로의 대책

랜섬웨어가 시스템에 침투할 수 있는 방법은 무궁무진하기 때문에, 조직에서는 다층의 방어막으로 엔드포인트, 네트워크와 서버를 지켜야 합니다. 동작 모니터링과 애플리케이션 컨트롤은 랜섬웨어가 게이트웨이를 통과했을 때를 대비한 부가적인 방어막입니다. 위협이 엔드포인트까지 도달하여 기업의 중요 데이터를 포함한 기업 파일을 암호화하기 시작하면 복구가 어렵습니다. 랜섬웨어가 섀도우 복사본을 삭제하거나 암호화보다 더 악의적인 행동을 하게 된다면, 기업 입장에서는 돈을 내고 복구하는 방법 밖엔는 없습니다.

트렌드마이크로 Deep Discovery Email Inspector는 랜섬웨어가 포함된 스피어피싱 이메일을 탐지하여 사용자 수신함에 도달하기 전 사전에 예방할 수 있습니다. 맞춤형 샌드박스 기술로 악성 마크로를 사용하는 랜섬웨어 또한 발견이 가능합니다.

네트워크 보호를 위한 트렌드마이크로 Deep Discovery Inspector는 맞춤형 샌드박스를 이용하여 네트웨크 레벨에서 랜섬웨어를 발견합니다. 이 솔루션은 암호화 행위, 백업 자료의 변경 및 다량의 파일 변경 등을 탐지합니다. 또한 스크립트 애뮬레이션 (script emulation), 제로 데이 공격, 랜섬웨어에 흔히 발견되는 비밀번호가 설정된 악성파일 등을 찾아낼 수 있습니다. 트렌드마이크로 Deep Security는 랜섬웨어가 익스플로잇 킷을 악용하여 시스템과 서버의 취약점을 통한 침투를 방지하여 물리/가상/클라우드 형태로 존재하는 기업 서버에 접근하는 것을 방지합니다.

중소기업의 경우, 트렌드마이크로 Worry-Free 비즈니스 시큐리티 프로그램을 활용하여 랜섬웨어의 탐지 및 차단을 위한 동작 모니터링과 웹 평판 기술을 제공합니다.

트렌드마이크로에서 제공하는 무료 툴인, 트렌드마이크로 화면잠금형 랜섬웨어 툴과 크립토 랜섬웨어 툴을 활용하여 랜섬웨어 감염의 피해를 복구할 수 있습니다.

원문: How Endpoint Solutions Can Protect Businesses Against Ransomware




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


엔드포인트 솔루션을 활용하여 랜섬웨어의 위협으로부터 기업 데이터 보호하기

https://www.trendmicro.co.kr/kr/blog/how-endpoint-solutions-can-protect-businesses-against-ransomware/index.html




참고링크 


<유료안티바이러스 제품비교>


COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 9. 14:21



랜섬웨어는 컴퓨터를 감염시키는 즉시 파일을 암호화시키고 천연덕스럽게 복호화툴 구매를 제안한다. 만약 최근에 백업을 해 뒀다면 돈을 낼 필요가 없겠지만 백업이 없는 상태고 데이터를 복구해야 한다면 돈을 낼 수밖에 없다. 물론 맬웨어 제작자의 실수로 인해 복호화 전문가들이 무료 복호화방법을 찾아내는 경우도 있긴 하지만 이는 지극히 드문 경우다.



랜섬웨어는 주로 이메일 첨부물의 형태로 배포되는데 최근 사례를 표시한 위 그림을 보면 랜섬웨어 제작자들은 DOCX 워드파일이나 JS 자바스크립트파일의 형태로 만든 악성파일을 zip 압축파일에 넣는 방법을 즐겨 사용함을 알 수 있다. 사실 이렇게 압축할 필요 없이 직접 워드문서 또는 자바스크립트를 첨부할 수도 있으며 이 경우 악성코드 실행에 필요한 클릭 과정이 줄어들기도 한다. 하지만 악성코드를 압축파일에 넣는 방법은 세 가지 목적이 있다. 우선 zip과 같은 압축파일은 자바스크립트 파일과는 달리 이메일 첨부물로 흔히 볼 수 있어서 눈에 띄는 인상을 피할 수 있다. 그리고 압축파일의 경우 악성코드 실행에 필요한 클릭 수가 늘어나기 때문에 대부분의 기업이 zip 첨부물에 대해서는 개별 파일에 비해서는 다소 관대하게 대하는 경향이 있다. 아울러 압축파일을 여는 과정은 사용자가 악성코드에 실제 접근할 때 시각적으로 이메일프로그램가 분리되는 효과도 있다.


압축파일을 열면 윈도우 탐색창이 뜨면서 비정상적인 이메일 첨부물이 아닌 믿을 수 있는 일반적인 파일이 들어 있다는 인상을 심어주게 된다. 랜섬웨어는 exe 파일, 엑셀 스프레드시트, PDF, batch 파일 등 다양한 형태로 배포될  수 있지만 최근에는 주로 워드 문서파일과 자바스크립트파일의 형태로 퍼지고 있다. 대부분의 워드문서는 단순 텍스트나 이미지만 있으므로 안전하지만 매크로나 내장된 프로그램 명령어를 담고 있을 수도 있으며 이 경우 랜섬웨어와 같은 맬웨어를 다운받아 설치할 수 있다. 한편 자바스크립트파일은 아이콘 모양이 종이처럼 생겨서 무해한 텍스트파일로 보이지만 사실은 보통의 exe 파일이 수행 가능한 작업을 모두 할 수 있는 프로그램이다.


최근 이들 두 유형 외에 LNK 파일이 새로운 배포유형으로 떠오르고 있다. LNK는 Shell Link Binary 파일인데 일반적인 사용자에게는 바로가기(shortcut)로 잘 알려져 있으며 다른 파일로 위장이 용이하기 때문에 맬웨어제작자들이 종종 사용해 왔다.




위 그림을 보면 왼쪽은 MyDoc.pdf 파일이고 오른쪽은 모양은 같지만 오른쪽 하단 화살표를 보면 링크나 바로가기임을 알 수 있다. 물론 해당 파일을 명령 프롬프트를 통해 조회하거나 마우스 우클릭으로 속성을 조회하면 상세정보를 볼 수 있다. 위 그림을 보면 탐색창 설정을 통해 파일 확장자를 보이도록 했음을 알 수 있지만 LNK 파일의 경우 바로가기 대상이 되는 파일의 이름만 보이며 자체적인 파일이름 및 확장자는 표시하지 않는다.



LNK 파일은 또한 위 그림과 같이 파일이름을 변경하고 아이콘까지 다르게 지정할 수 있으며 명령을 실행하도록 할 수도 있다. 위 LNK 파일은 INVOICE.pdf.lnk로 cmd.exe를 통해 명령 프롬프트를 실행하여 s.js라는 자바스크립트파일을 생성 및 실행하도록 설정된 상태다. 이 파일은 PDF와 아무 관련이 없는데도 INVOICE.pdf라는 PDF파일로 표시되며 클릭하면 명령 프롬프트를 통해 생성된 s.js 파일을 실행하여 Wscript.Echo() 함수를 통해 메시지를 띄우게 된다.



이렇게 보면 오늘날 워드문서파일 및 자바스크립트파일에 대한 경각심이 높아진 상태에서 사이버범죄자 측이 LNK 파일을 악용하리라는 점을 짐작할 수 있다. 위 내용처럼 LNK 파일은 파일 확장자를 표시하는 설정을 따르지 않으며  실제 행동과 일치하지 않는 아이콘을 부여받을 수 있기 때문에 아주 매력적인 기만수단이 될 수 있다.


위에서 확인한 각 이메일은 위 INVOICE.pdf의 경우과 유사한 수법을 사용하는 LNK 파일을 첨부물로 가지고 있다.


LNK 감염은 랜섬웨어 외에도 다양한 악성코드를 배포할 수 있으며 피해자별로 운영체제 버전, 시간대, 지리적 위치 등에 따라 제각각 다른 악성코드를 퍼뜨릴 수 있다.




랜섬웨어 등 악성코드 방지요령


1.윈도우에서 파일 확장자가 보이도록 설정한다. 물론 이 방법은 LNK 파일에 대해서는

소용이 없지만 적어도 이를 제외한 모든 파일의 확장자를 보여준다는 면에서 보안향상에 도움이 된다.

2. 요청하지 않은 첨부물을 주의한다.

3. 실시간 안티바이러스 및 웹필터링 솔루션을 사용하고 업데이트를 최신으로 유지한다.

4. 이메일에 첨부된 LNK 파일은 열지 않는다.

5. 이메일첨부물로 허용되는 파일 목록을 확인한다. 시스템관리자 대부분은 exe 파일이나 미디어파일 등 잘 알려진 파일유형 첨부물을 이메일 유입단계에서 차단한다. LNK 파일의 경우처럼 사이버범죄자 측에서 행동양상을 바꿀 경우 해당 차단목록을  확인하고 필요한 경우 목록을 갱신할 필요가 있다.




Paul Ducklin, Beware of ransomware hiding in shortcuts, 8. 3. 2016.

https://nakedsecurity.sophos.com/2016/08/03/beware-of-ransomware-hiding-in-shortcuts/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>


COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 8. 13:58



문자메시지를 통한 이중인증은 은행들이 많이 사용하는 방식이다. 이중인증은 물론 암호만 확인하는 방식보다는 안전하지만 결코 무적은 아니며 보안전문가 그리고 맬웨어제작자들은 10년 전 이중인증이 널리 채택되기 시작할 당시에 이미 이를 어떻게 속일 수 있는지 간파해 냈다. 그렇기 때문에 트로이목마 제작자들은 일회용 문자메시지 인증을 어렵지 않게 뚫을 수 있으며 그 과정은 다음과 같다.

1. 사용자가 스마트폰에서 정상적인 뱅킹 앱을 실행한다.

2. 트로이목마가 뱅킹 앱을 탐지하고 해당 앱의 인터페이스를 복사하여 자신을 위장한다. 이 경우 가짜 화면과 원래 화면과 동일하게 보인다.

3. 사용자가 가짜 앱에 로그인 아이디와 비밀번호를 입력한다.

4. 트로이목마가 범죄자 측에 로그인 정보를 전송하면 범죄자가 이 정보를 이용하여 사용자의 뱅킹 앱에 접속한다.

5. 범죄자가 자신의 계좌로 돈을 이체하는 과정을 개시한다.

6. 원래 사용자의 스마트폰에 일회용 인증번호가 문자메시지로 전송된다.

7. 트로이목마가 문자메시지에서 비밀번호를 추출하여 범죄자 측에 전송한다.

8. 트로이목마는 해당 문자메시지를 사용자가 확인하지 못하도록 한다. 따라서 원래 사용자는 실제로 계좌이체내역을 확인하기 전까지는 트로이목마의 해킹과정을 알지 못한다.

9. 범죄자는 전송받은 인증번호를 통해 이체를 완료하고 돈을 챙긴다.


오늘날의 뱅킹 트로이목마라면 하나같이 문자메시지 이중인증을 속일 수 있다는 말은 결코 과장이 아니다. 사실 맬웨어제작자들은 은행들이 이중인증과 같은 방어대책을 채택하는 데 적응하는 것일 뿐이다.


사실 위와 같은 해킹이 가능한 악성앱은 결코 적지 않다. 카스퍼스키 연구진은 최근 몇 개월에 걸쳐 3종의 맬웨어에 대한 상세 소개글을 작성한 바 있으며 이를 간략히 요약하면 다음과 같다.

1. Asacub: 본래 스파이앱이었으나 트로이목마로 개량된 후 모바일뱅킹에서 돈을 빼돌릴 수 있다.

2. Acecard: 30종에 달하는 뱅킹앱 인터페이스를 복제할 수 있는 강력한 트로이목마로 현재 모바일맬웨어는 Acecard의 방식을 따르는 추세에 있다. 예전 트로이목마가 하나의 정해진 은행이나 결제서비스를 표적으로 삼았다면 오늘날의 트로이목마는 여러 앱을 동시에 위조할 수 있다.

3. Banloader: 브라질에서 만들어진 트로이목마로 컴퓨터와 스마트폰에서 동시에 실행될 수 있다.


결국 오늘날의 뱅킹트로이목마를 막기에 이중인증은 역부족이다. 이는 사실 몇 년 전부터  이미 존재했던 문제며 앞으로도 이 상황이 변하지는 않을 것으로 보인다. 그렇기 때문에 추가적인 보안대책이 필요하다. 우선 공식 채널을 통해서만 앱을 설치하도록 해야 하지만 구글 플레이스토어나 애플 앱스토어에 트로이목마가 침투한 사례가 있기 때문에 이 방법도 완전히 신뢰할 수는 없다. 따라서 카스퍼스키 솔루션과 같은 우수한 모바일 안티바이러스를 설치하여 사용할 필요가 있다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Alex Drozhzhin, How banking Trojans bypass two-factor authentication, 3. 11. 2016.

https://usblog.kaspersky.com/banking-trojans-bypass-2fa/6849/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 8. 13:03

위로가기