분류 전체보기에 해당하는글 186


랜섬웨어는 데스크탑 컴퓨터 외에 모바일 기기에서도 발견되며 발견빈도 또한 증가추세에 있다. 랜섬웨어의 유형으로는 데이터를 암호화시키고 복구대가로 돈을 요구하는 cryptolocker 랜섬웨어 그리고 운영체제나 브라우저 등 어플리케이션 접근을 차단하고 차단해제에 대해 돈을 요구하는 blocker 랜섬웨어가 있다. 현재 데스크탑 플랫폼에서는 blocker 랜섬웨어는 비교적 소수에 그치는 반면 금전갈취에 더욱 효율적이라고 알려진 cryptolocker 랜섬웨어가 많이 퍼지고 있는 상황이다.


반면 모바일 플랫폼의 경우 안드로이드 운영체제와 앱이 클라우드 백업을 동반하며 따라서 데이터 암호화에 따른 이득이 그만큼 적기 때문에 안드로이드 cryptolocker 랜섬웨어는 거의 전무하다시피 하고 blocker 랜섬웨어가 훨씬 널리 사용된다.  모바일 기기에서 blocker 랜섬웨어는 모든 앱의 인터페이스를 자체적으로 조작하여 피해자가 사용 가능한 어플리케이션이 없게 만들어 버린다. PC의 경우 blocker 랜섬웨어가 있다면 하드드라이브를 분리하여 다른 컴퓨터에 연결한 다음 blocker 파일을 제거해 버리면 그만이다. 하지만 휴대전화의 경우 기본 저장공간이 마더보드에 부착돼 있기 때문에 컴퓨터처럼 쉽게 분리할 수는 없다. blocker 랜섬웨어가 전체의 99%를 차지하는 건 바로 이 때문이다.



주요 모바일 랜섬웨어


2014-2015년 모바일 랜섬웨어 주요 4종은 Svpeng, Pletor, Small, Fusob였다. 오늘날 Pletor 랜섬웨어는 정체된 상태며 해당 제작자들은 새로 선보인 Acecard 트로이목마에 집중하고 있는 상황이다. Svpeng 또한 현재는 주춤한 상태로 해당 제작자들은 금융 트로이목마에 집중하고 있다. 이에 따라 2015-2016년에는 Small 그리고 Fusob 랜섬웨어가 전체의 93%를 차지하고 있다.



Fusob와 Small은 관계당국의 서명과 피해자의 과실 주장을 조작한 화면을 표시하고 피해자가 돈을 지불하지 않으면 형사사건으로 입건된다고 협박하는 등 공통점도 많다. 하지만 차이점이 더욱 극명한데 예를 들어 결제 방식을 보면 Fusob은 iTunes 기프트카드 결제를 요구하며 Small의 경우 Kiwi 결제시스템이나 MoneyPak xpress Packet voucher 결제옵션을 제시한다. 양자 모두 러시아어권 제작자에 의해 만들어졌으나 기획방향은 상당히 다른데 그 구체적인 내용은 다음과 같다.


Fusob은 피해자 기기의 언어를 조사하여 구소련 연방에서 사용됐던 언어에 해당하면 아무런 행동도 하지 않는 반면 다른 언어에 해당할 경우 NSA임을 자처하며 100~200달러 가량의 돈을 요구한다. Fusob 피해자의 주요 거주지는 독일이며(41%) 영국과 미국이 각각 14.5%와 11.4%로 2위와 3위를 차지하고 있다.



Small의 경우 반대로 Fusob가 기피하는 러시아, 카자흐스탄, 우크라이나에서 99% 가까이 발견된다. Small 랜섬웨어는 정부에서 발행한 듯 보이는 안내문에 결제안내, 협박, 700~3500루블(10~50달러) 금전요구 등의 내용을 담고 있다. 영문 버전의 경우 화면 모양이 약간 다르고 FBI를 사칭하면서 300달러 가량을 요구한다. 이 외에 cryptolocker 유형으로 기본 버전과 동일하지만 SD 카드 파일도 암호화하는 변종이 있고 금전탈취, 데이터탈취, 기기잠금 등 여러 기능을 가진 트로이목마 변종도 있다.



모바일 랜섬웨어 향후 전망


모바일 맬웨어는 처음 등장할 때만 해도 큰 관심을 받지 않았지만 오늘날 엄청난 기세로 성장하고 있으며 모바일공격은 2014년에 비해 4배 가까이 증가했다. 모바일 랜섬웨어 피해자 또한 2.04%에서 4.63%로 두 배가 늘었다. 2015년 모바일 랜섬웨어의 최대 표적은 미국이었으며 당시 모바일 피해자 10명 중 1명은 모바일 랜섬웨어에 노출됐다. 오늘날 이 비중은 대폭 늘어서 독일과 캐나다의 경우 10명 중 2명, 영국과 미국 그리고 카자흐스탄은 7명 중 1명, 이탈리아와 네덜란드의 경우 10명 중 1명이 모바일 랜섬웨어를 접했다고 한다. 앞으로도 특히 랜섬웨어를 중심으로 모바일 맬웨어가 더욱 기승을 부릴 전망이다.



모바일 랜섬웨어 방지요령


1. 구글플레이와 같은 공식 채널을 통해서만 어플리케이션 설치. 안드로이드 보안설정을 통해 알지 못하는 출처를 통한 앱 설치를 차단해야 한다.

2. 펌웨어와 어플리케이션을 주기적으로 업데이트한다. 앱의 경우 자동 업데이트가 가능하지만 시스템은 수동으로 업데이트를 직접 해야 한다.

3. 강력한 보안솔루션 사용. 맬웨어는 구글플레이와 같은 공식채널에도 잠입할 수 있으며 미식별 취약점을 파고드는 취약점악용도 가능하기 때문에 별도의 보안솔루션이 필요하다.


<참고: 카스퍼스키 안티바이러스 상세정보>




John Snow, Ransomware on mobile devices: knock-knock-block, 6. 29. 2016.

https://usblog.kaspersky.com/mobile-ransomware-2016/7346/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.08.02 14:44


Shade는 2015년 초 등장한 랜섬웨어며 주로 악성스팸이나 취약점악용(exploit kit)을 통해 배포된다. 취약점악용의 경우 피해자가 감염된 웹사이트를 방문하기만 하면 되고 별도로 어떤 파일을 여는 과정이 불필요하기 때문에 특히 위험하다.



Shade가 피해자 시스템 침입에 성공하면 중앙(C&C) 서버로부터 암호화키를 받으며 서버 사용이 불가능할 경우에 대비하여 자체 암호화키도 예비로 보유하고 있다. 이는 랜섬웨어가 일단 침투하고 나면 피해자 컴퓨터에서 인터넷 연결을 끊는다 해도 예정대로 작동할 수 있음을 의미한다. Shade가 암호화할 수 있는 파일유형은 MS오피스 문서, 이미지, 압축파일 등 150종이 넘으며 암호화 과정에서 파일 이름 뒤에 .xtbl 또는 .ytbl 확장자를 추가한다. 암호화가 완료되면 아래와 같이 금전지급 요구가 화면에 표시된다. 한편 Shade는 암호화를 끝내고 나서도 다른 맬웨어를 다운받는 등 지속적으로 활동한다


카스퍼스키는 네덜란드경찰, 유로폴, 인텔시큐리티(Intel Security)와 연합하여 랜섬외어 복호화툴을 모으고 배포할 목적으로  NoMoreRansom.org라는 웹사이트를 개설했다. 이번에 사이트 개설과 함께 Shade 랜섬웨어 복호화툴이 추가됐으며 사용방법은 다음과 같다.


1. NoMoreRansom.org 방문


2. 인텔시큐리티 또는 카스퍼스키 측 다운로드 링크 선택 (이하 내용은 카스퍼스키 복호화툴 기준으로 작성)


3. ShadeDecryptor.zip 압축 풀고 ShadeDecryptor.exe 실행


4. 실행창에서 Change parameters 클릭



5. 암호화파일을 스캔할 드라이브 선택



6. Delete crypted files after decryption은 복호화가 끝나고 나서 암호화된 파일을 자동 삭제하는 옵션이지만 파일이 완전히 복구됐는지 확신할 수 없다면 이 옵션은 권장하지 않는다.


7. OK를 선택하여 실행창으로 돌아오고 Start scan 클릭



8. Specify the path to one of encrypted files 창에서 암호화된 파일 하나를 선택하고 Open 클릭


9. 만약 피해자의 ID를 자동 탐지할 수 없다는 메시지가 뜬다면 금전지급요구와 피해자 ID가 기재된 readme.txt로 파일경로를 지정하면 된다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Alex Drozhzhin, No More Ransom, 7. 25. 2016.

https://usblog.kaspersky.com/shade-decryptor/7441/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.08.02 13:44



랜섬웨어는 이제 빠른 배포에 그치지 않고 암호화 외에 추가기능까지 생겨나고 있다. 2016년 2월 최초 발견된 Cerber 랜섬웨어는 처음 알려질 당시만 해도 피해자에게 돈을 요구하는 메시지를 음성으로 전달하는 등 음산한 면도 있었으나 기본적으로는 파일복구를 대가로 돈을 요구하는 단순한 구조를 가지고 있었다. 그러나 오늘날 Cerber 최신버전은 피해자 컴퓨터의 파일을 암호화시키는 데서 나아가 그 컴퓨터를 봇넷에 연결된 좀비PC로 만들어 버리기까지 한다. Cerber가 이메일첨부물을 통해 배포되고 실행되면 우선 파일을 암호화시키고 해당 파일의 복구 대가로 돈을 요구한다. 그런데 Cerber는 여기에서 그치지 않고 인터넷 연결을 제어하며 이렇게 되면 피해자 컴퓨터는 분산서비스공격(distributed denial of service, DDoS)이나 스팸전송 등에 활용되는 좀비PC가 된다. 이는 근래 맬웨어가 다목적으로 여러 악성코드를 가지고 있는 경향을 반영하는 사례다.


사실 여러 악성코드를 담은 랜섬웨어는 Cerber 이전에도 목격된 바 있다. Petya 랜섬웨어의 경우 피해자 컴퓨터의 하드드라이브 전체를 암호화하는 데 필요한 승인을 얻기 위해 Mischa 악성코드를 동반한다. CryptXXX 랜섬웨어의 경우 기본적인 암호화 외에 피해자의 개인정보와 비트코인을 훔칠 수 있는 기능까지 가지고 있다.


이렇게 여러 기능을 보유한 랜섬웨어는 기존의 단순한 랜섬웨어에 비해 훨씬 큰 피해를 야기할 수 있으며 따라서 예방의 중요성 또한 더욱 커진다. 사실 Cerber와 같은 랜섬웨어는 감염시 영향은 치명적이지만 충분히 예방할 수 있다. 이메일 주의, 주기적 백업, 운영체제 및 어플리케이션 패치 최신으로 유지, 강력한 보안솔루션 사용 등의 수칙을 따름으로써 랜섬웨어 감염을 예방하고 설령 감염이 발생할지라도 그 피해를 최소화할 수 있다. Kaspersky Lab 보안솔루션은 Cerber 랜섬웨어를 Trojan-Ransom.Win32.Zerber라는 이름으로 탐지해 낼 수 있다.



<참고: 카스퍼스키 안티바이러스 상세정보>




Sarah Pike, Multipurpose malware: Sometimes Trojans come in threes, 5. 27. 2016.

https://usblog.kaspersky.com/cerber-multipurpose-malware/7201/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.08.01 14:16



바이퍼(VIPRE) 안티바이러스가 AV-Comparatives 테스트에서

차단율 100%에 오인탐지 0건을 달성하여 다시금 최고점을 획득했다.


ThreatTrack이 선보이는 강력한 안티바이러스 소프트웨어 바이퍼는 최근 실시된 AV-Comparatives 실제보호성능(Real-World Protection) 테스트에서 차단율 100%에 오인탐지 0건을 기록했으며 최고등급인 Advanced+ 등급을 부여받았다. 지난 2개월 동안 차단율 100%에 오인탐지 0건을 기록한 안티바이러스로는 바이퍼가 유일하다. AV-Comparatives 2016년도 상반기 안티바이러스 소프트웨어 성능평가결과는 다음 링크 참조.


ThreatTrack 제품담당수석 Usman Choudhary는 다음과 같이 설명한다. "ThreatTrack은 2016년 초 신형 바이퍼 안티맬웨어 엔진을 선보인 이후 고객에게 업계 최고의 보안서비스를 제공해 왔다. 이번 AV-Comparavies 테스트 결과는 개인사용자, 기업, 정부기관, 교육기관 등 모든 바이퍼 고객에게 우수하고 안정적인 바이퍼의 성능을 잘 보여준다." 이번 AV-Comparatives 테스트를 통해 ThreatTrack의 안티바이러스 소프트웨어와 엔드포인트 보안솔루션은 동종 최고의 수준임이 입증됐다.


<참고: 바이퍼 안티바이러스 상세정보>




VIPRE Security News, VIPRE Earns the Highest Rating From AV-Comparatives…Again!, 7. 28. 2016.

https://blog.vipreantivirus.com/featured-article/vipre-earns-highest-rating-av-comparativesagain/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.08.01 13:24



Petya 및 Mischa 랜섬웨어 제작자들이  '업계 경쟁세력'에게 일격을 날렸다. 우선 이른바 랜섬웨어서비스(Ransomware-as-a-Service, RaaS)라는 방식으로 랜섬웨어 변종을 대량 배포함으로써 일반인도 범죄의지만 있다면 랜섬웨어로 사이버공격을 행할 수 있는 발판을 마련했다.

참고: http://www.securityweek.com/petya-mischa-ransomware-now-available-service


그리고 Chimera 랜섬웨어에 감염된 시스템에 적용될 수 있다고 주장하면서 3500개의 RSA 개인키를 배포했으며 이는 라이벌 세력인 Chimera 랜섬웨어의 활동을 방해하려는 의도로 보인다. 해당 키는 Pastebin에 게재됐으며 게시글에서는 이를 통해 복호화툴을 만드는 데 도움이 될 수 있다고 밝히고 있다.

참고: http://pastebin.com/7HrZCsmT


Mischa 제작자들이 작성한 내용은 다음과 같다. "2016년 초 우리는 Chimera 랜섬웨어 개발과정에 상당부분이 접근할 수 있었으며 이에 따라 Chimera를 우리 프로젝트에 포함시켰다. 아울러 Chimera에 대한 복호화키 3500개를 공개 배포한다."


해당 복호화키가 실제로 Chimera 랜섬웨어로 암호화된 파일을 복호화할 수 있는지 판별하고 이를 통해 복호화 프로그램이 제작돠려면 시간이 거릴 수밖에 없지만 적어도 가능성은 생겼으므로 Chimera 랜섬웨어 피해자는 섣불리 파일을 삭제하지 말고 기다리는 것도 방법이 될 수 있겠다. 하지만 앞서 언급한 RaaS를 통해 참여자에게 랜섬웨어를 배포하여 수익을 챙길 수 있는 기회를 주는 방식이 출현했으며 상당기간 널리 퍼지리라 예상되므로 결코 주의를 늦출 수는 없다.


컴퓨터기술포럼 BleepingComputer.com 설립자 Lawrence Abrams는 "이번 일을 계기로 Petya 및 Mischa 랜섬웨어의 배포가 더욱 활발하게 일어날 가능성이 높다."는 의견을 피력했다.



Lisa Vaas, Chimera ransomware keys leaked by rival malware developers, 7. 28. 2016.

https://nakedsecurity.sophos.com/2016/07/28/chimera-ransomware-keys-leaked-by-rival-malware-developers/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.29 16:40

VPN과 SSH 터널은 암호화된 접속을 통해 네트워크 트래픽을 안전하게 전송하는 방식으로 부분적으로 유사하기도 하지만 작동방식 등이 근본적으로 다르다. 양자가 가진 차이를 이해할 수 있다면 어떤 방식을 선택할지 판단하는 데 도움이 될 수 있다.




VPN


VPN(virtual private network)이란 '가상 사설 네트워크'로 해석되며 그 명칭에서 알 수 있듯 본래 인터넷과 같은 공개 네트워크를 경유하여 사설 네트워크에 접속하는 데 사용된다. 파일공유지점, 네트워크프린터 등이 연결된 일반적인 사무실 네트워크를 가정해 보면 경우에 따라서는 직원이 사무실 외 공간에서 이 네트워크에 접속해야 하는 일이 생길 수 있다. 하지만 사무실 네트워크는 회사의 중요 자원으로 공개된 공간인 인터넷에 노출되지 않는다. 이 경우 그 회사는 VPN 서버를 설정하여 직원으로 하여금 그 VPN을 통해 외부에서도 사무실 네트워크에 접속하도록 할 수 있다. 접속이 완료된 클라이언트는그 사무실 네트워크에 실제 물리적으로 연결된 것과 동일하게 인식돼 파일공유 등 네트워크자원에 접근할 수 있게 된다. VPN 클라이언트가 인터넷을 통해 서버와 통신하는 접속은 암호화돼 있으며 따라서 그 VPN을 설정한 회사의 경쟁업체 등이 서버와 클라이언트 사이에서 웹브라우징 트래픽 등 접속데이터를 가로채는(snoop) 것을 방지할 수 있다.



VPN은 이러한 특성으로 인해 공용 와이파이 네트워크 등에서 접속내역을 노출시키지 않을 수 있는 방법이 된다. 또한 트래픽의 발신지점이 실제 클라이언트가 아닌 해당 VPN 서버라고 인식되는 점을 이용하여 지역적으로 제한이 걸린 서비스에 접근하거나 웹에 대한 검열을 회피할 수 있는 방법이 되기도 한다.



VPN은 어플리케이션 계층보다는 운영체제 계층에 가깝게 작동한다. VPN 연결이 생성되면 개별 설정에 따라 달라질 수 있으나 기본적으로 운영체제에서 모든 어플리케이션의 네트워크 트래픽을 그 VPN으로 경유시킬 수 있다.



SSH 터널


SSH란 secure shell의 약자로 본래는 네트워크 트래픽을 경유시키는 기능에 국한되지 않고 원격단말세션(remote terminal session)을 안전하게 사용하는 등의 목적으로 사용된다. SSH는 VPN과 마찬가지로 강력한 암호화로 보호되며 이를 활용하여 SSH 클라이언트를 SOCKS 프록시처럼 작동하도록 한 다음 웹브라우저 등 어플리케이션이 그 프록시를 경유하도록 설정할 수 있다. 이 경우 해당 트래픽은 SOCKS 프록시로 들어간 다음 SSH 클라이언트 측에서 이를 SSH 접속을 통해 전송하는데 이를 SSH 터널 혹은 SSH 터널링이라 한다. 웹서버 측에서 해당 트래픽의 발신지를 SSH 서버로 인식하고 접속이 암호화된다는 면에서 이는 VPN과 유사하기도 하다.



다만 운영체제 수준에서 모든 트래픽을 경유시키는 VPN과 달리 SSH의 경우 개별 어플리케이션이 프록시를 통과하도록 설정해야 한다. VPN이 운영체제 측에서 사용자가 원격네트워크에 있는 것으로 인식하도록 하여 윈도 네트워크 파일공유 접속을 용이하게 하는 반면 SSH 터널은 파일공유 접근이 훨씬 어렵다는 점도 다르다.




VPN과 SSH 터널의 보안 비교


회사 입장에서는 시스템의 전체 네트워크 트래픽을 경유시키는 VPN이 보다 더 안전한 방식이라고 할 수 있지만 단순히 카페나 공항 같은 공개 와이파이 등을 통해 인터넷을 사용할 때 접속을 암호화하고자 하는 목적이라면 VPN과 SSH 모두 강력한 암호화를 제공하기 때문에 별 차이가 없다.


한편 VPN은 사용 자체는 간편하지만 서버 설정이 다소 복잡하며 반대로 SSH 터널은 사용이 까다로운 반면 서버 설정은 오히려 쉬운 편이다. 만약 사용자가 별도 설정 없이 SSH 서버에 접속할 수 있는 상태라면 이를 그대로 사용하는 것이 VPN 서버를 설정하여 사용하는 방법보다 훨씬 간편하다. 이 때문에 SSH 터널은 돈이 모자랄 때 사용하는 VPN 대용수단으로 인식되기도 한다.




Chris Hoffman, VPN vs. SSH Tunnel: Which Is More Secure?, 7. 5. 2012.

http://www.howtogeek.com/118145/vpn-vs.-ssh-tunnel-which-is-more-secure/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.28 16:53



질문


어떤 컴퓨터 전문가에 따르면 전문가 아닌 사람들도 인터넷에 올라온 가이드 그리고 특수 소프트웨어(Kali Linux 등)만 가지고 가정용 라우터의 보안을 뚫을 수 있다고 한다. 네트워크 및 라우터 비밀번호가 잘 갖춰지고 네트워크가 숨김상태로 돼 있으며 MAC 필터링이 적용된 경우 이러한 보안대책이 어떻게 뚫릴 수 있는지 궁금하다. 그리고 만약 이러한 가정이 사실이라면 가정용 네트워크의 보안을 개선할 수 있는 조치는 무엇인가.



답변 1


우선 와이파이 비밀번호와 관련하여 와이파이 암호화에는 WEP, WPA, WPA2라는 표준이 있다. WEP의 경우 이미 취약하다는 점이 밝혀졌기 때문에 해당 표준을 채택했다면 비밀번호 자체가 잘 짜여 있어도 어렵지 않게 뚫릴 수 있다. WPA, WPA2 표준은 해킹이 훨씬 어렵지만 WPS(wireless protected setup) 관련 보안문제가 있을 수 있으며 또한 이들 표준을 따르는 경우에도 브루트포스(brute force: 비밀번호를 일일이 찾아나가는 과정) 수법으로 비밀번호를 뚫는 게 가능하다. 예를 들어 Moxy Marlispike라는 유명 해커는 클라우드컴퓨팅을 이용한 브루트포스 해킹 서비스를 30달러 가격에 제공한다고 하며 다만 언제나 성공이 보장되지는 않는다고 한다.


한편 라우터 비밀번호의 경우 와이파이 측에서 라이터를 통해 데이터를 전송하는 것을 방지할 수는 없기 때문에 의미가 없다. 네트워크 숨김(hidden network)이란 허황된 발상에 불과하다. 어떤 네트워크가 웹사이트 목록에서 나타지지 않게 할 수는 있지만 클라이언트가 와이파이 라우터에 자신의 존재를알리기 때문에 네트워크가 숨김 상태로라 해도 결국은 발견될 수밖에 없다. MAC 필터링 또한 대부분의 화이파이 기기가 기존 MAC 주소를 복사하여 MAC 필터링을 통과하도록 프로그래밍될 수 있기 때문에 실질적인 대책이 되지 못한다.


만약 와이파이 네트워크의 보안을 제대로 강화하고자 한다면 네트워크 자체는 운반경로으로만 판단하고 해당 경로를 통과하는 모든 데이터를 암호화 및 필터링하는 방법이 있다. 구체적으로는 라우터가 지정된 VPN 서버로만 접속하도록 하고 각 클라이언트가 해당 VPN에 대해 인증을 거치도록 할 수 있다. 이 경우 와이파이 보안이 뚫려도 VPN 보안대책이 건재하므로 데이터침탈은 훨씬 어려워진다. 이는 일반인이 사용하기에는 약간 과도한 면이 있지만 기업환경에서는 흔하게 채택하는 방식이다.


와이파이 자체를 버리고 유선으로만 네트워크를 사용하면 가정용 네트워크 보안을 보다 간단하게 개선할 수 있지만 이 방법은 휴대폰이나 태블릿을 사용하는 경우에는 실용적이지 못하다. 라우터의 신호강도를 줄임으로써 위협을 제거하지는 못해도 감소시킬 수는 있다. 또한 방이나 가택에 알루미늄 막 등을 씌워서 주파수 유출을 줄이는 방법도 있지만 이 방법 또한 휴대폰 사용에 방해가 된다. 한편 일부 라우터의 경우 네트워크를 경유하는 모든 패킷을 기록하도록 할 수 있다. 다양한 인터페이스에서 바이트 용량 기준으로만 이상징후를 모니터링해도 상당히 좋은 보안대책이 된다.


네트워크 보안은 복잡한 분야지만 기본적으로는 보안대책이 다층적으로 마련되어 일부 대책이 무너져도 전체 보안을 유지할 수 있게 된다. 어떤 시스템이든 충분한 시간, 자원, 지식만 있으면 뚫릴 수 있으며 따라서 보안에서 '해킹이 가능한가'라는 질문은 의미가 없고 '해킹에 시간이 얼마나 소요되는가'가 중요한 문제가 된다. 그런 면에서 본다면 WPS 표준과 우수한 비밀번호는 일반인에 의한 해킹을 저지할 수 있는 정도의 수준이라고 하겠다. 결국 관심을 가져야 할 주안점은 '해킹의 가능성'이 아니라 '해킹에 시간을 소요할 만한 가치를 줄이는 방법' 혹은 '네트워크가 침탈된 경우의 실질적인 비용'이 돼야 한다.



답변 2


네트워크 숨김, 즉 SSID 숨김은 보안대책으로는 의미가 없다. SSID 중계가 없는 경우에도 사용자 네트워크 자신의 존재를 알리며 다만 여기에 SSID를 포함시키지 않을 뿐이기 때문에  기본적으로 윈도8 네트워크 목록에 잡히게 된다. MAC 필터링 또한 WEP 해킹 등을 늦출 수는 있지만 기본적으로 정상적인 MAC 주소를 복제할 수 있기 때문에 실질적인 대책이 될 수 있다.  


와이파이 암호화 측면에서 우선 WEP 표준은 비밀번호 수준에 관계없이 누구나 소프트웨어를 다운로드하여 해킹할 수 있을 정도로 취약하다. WPA의 경우 조금 낫긴 하지만 이 역시 툴을 제대로 사용한다면 해킹이 어렵지 않다. WPA2 표준에 AES 암호화가 조합된다면 상당히 안전한 편이며 우수한 비밀번호를 사용한다면 이를 단시간에 뚫기는 어렵다. 다만 이는 어디까지나 해킹의 비용이 높다는 의미일 뿐이며 충분한 시간과 자원이 주어진다면 WPA2라고 해서 영구적인 안전을 보장할 수는 없다. 한편 WPS는 불필요하며 해롭기만 하므로 어떤 암호화표준을 사용하든 해제해야 한다.


보안의 실질적인 쟁점은 '해킹가능성' 자체보다는 '일정한 역량을 가졌을 때 해킹에 얼마나 소요되는가'에 있다. 이와 관련하여 보안대책을 여러 겹으로 구비하는 다층보안은 상당히 중요한 대책이 된다. 보안이 요구되는 통신내용의 경우 AES와 같은 강력한 암호화 알고리즘을 따르며 TLS나 PKI와 같은 보안대책을 동반하게 된다. 이메일이라든지 기밀정보를 수반하는 웹트래픽이 암호화되도록 하고 파일 또는 프린터 공유를 할 경우에는 우선 적절한 인증체계를 마련해야 한다.




Akemi Iwaya, Is it Really Possible for Most Enthusiasts to Hack Wi-Fi Networks?, 3. 25. 2014.

http://www.howtogeek.com/185526/is-it-really-possible-for-most-enthusiasts-to-hack-wi-fi-networks/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.27 15:57

ThreatTrack 연구진은 최근 Zepto 랜섬웨어 배포수단으로 윈도스크립트파일(WSF, windows scripting file) 압축파일을 첨부한 스팸이 다량 유포되는 현상을 포착했다. 이 수법은 기존에 흔히 쓰인 자바스크립트나 매크로문서 스팸에서 바뀐 것이다. 아래는 이러한 종류의 소셜엔지니어링(social engineering) 수법을 보여주는 실제 이메일이다.










ThreatAnalyzer 분석


위 스팸메일의 WSF를 추출하여 ThreatAnalyzer 맬웨어분석 샌드박스를 통해 분석한 결과는 다음과 같다.




WSF에서 문제되는 부분은 스크립트며 따라서 WScript.exe의 요청트리(call tree)가 판단의 주안점이 됐다.


변경된 파일의 수가 많다는 점은 해당 스크립트가 바이러스나 랜섬웨어일 가능성이 높음을 의미한다.


분석결과 두 장의 스크린샷이 잡혔다.



한편 MODIFED FILES 항목을 펼친 결과는 다음과 같다.




감염된 파일에는 .zepto라는 확장자가 붙게 된다. 위 스크린샷과 파일변경내용으로 볼 때 본 샘플은 Zepto 랜섬웨어의 변종이라고 할 수 있다.



WSF 스크립트 행동양상


C:\Windows\System32\WScript.exe (3388)를 선택하면 WSF 자체의 행동결과를 확인할 수 있다.

-



WSF는 우선 두 개의 파일(UL43Fok40ii, UL43Fok40ii.exe)을 생성하고 mercumaya.net에 대한 HTTP 접속을 개시했다.


아래는 UL43Fok40ii 바이너리 표시다.



아래는 UL43Fok40ii.exe로 PE 파일형식으로 돼 있다.



이들 두 파일을 비교해 보면 각각 용량이 208008바이트와 208004바이트로 그 차이가 4바이트에 불과한데 이를 통해 .exe 확장자가 없는 파일은 복호화를 거쳐 PE 실행파일로 만들어졌다는 추측이 가능하다.


이후 WSF스크립트가 전달인자(arguement) 321을 통해 PE 실행파일을 구동했다.





호스트 주소에 com.my라는 접미어가 들어간다는 사실로 볼 때 서버 위치는 말레이시아로 추정된다.


HTTP 헤더를 봐도 컨텐츠 용량이 208008바이트임을 볼 수 있으며 이는 앞서 본 암호화된 파일의 용량과 동일하다.

WScript.exe가 실행하 WSF 파일은 Windows PE 파일을 다운받아 복호화한 다음 실행시켰다.



다운로드 PE 실행파일


이제 UL43Fok40ii.exe에 대해 살펴본다. 아래 그림에서 판단할 수 있는정보는 다음과 같다.

•  우크라이나에 위치한 일부 정보 게시

•  수백 개의 파일에 접근

•  기본브라우저 실행(본 분석의 경우 크롬)

•  cmd.exe가 포함된 파일 삭제

•  공유폴더 접속

•  파일이 암호화된 모든 폴더에 대해 _HELP_instructions.html 안내문을 생성

•  쓰레드 10개 생성





우크라이나 사이트에 게시된 데이터는 암호화돼있는데 파일 암호화에 필요한  id와 키를 포함하고 있다 추정된다.



ThreatAnayzer 분석결과를 통해 1차(raw) 데이터는 16진법 표시로 볼 수 있다. 1차 데이터를 부분적으로 변환한 결과는 다음과 같다.



아울러 여러 파일의 이름이 변경됐다. 파일이 암호화되는 과정에서 GUID filename을 통해 암호화된 파일 명칭의 접미부분에 .zepto를 붙게 된다.



파일검색을 보면 드라이브 루트 디렉토리로 들어가기에 앞서 연락처 파일를 먼저 노리게 된다.



아래는_HELP_instructions.bmp 파일의 컨텐츠를 보여주는 스크린샷이다.



본 맬웨어 샘플은 구동 중인 실행파일을 Temp 폴더의 파일로 옮기려 한다.



기본브라우저로 설정된 크롬을 통해 바탕화면에 생성된 _HELP_instructions.html이 열린다.

또한 Temp 폴더의 맬웨어 사본이 삭제되는데 이는 사후정리 과정의 하나로 생각된다.


_HELP_instructions.html을 브라우저에서 열면 아래와 같이 나타난다.



Chrome.exe 하부의 프로세스요청트리는 Zepto 악성코드와는 별개로 브라우저에 의해서만 개시됐을 가능성이 높다.




랜섬웨어 방지


오늘날  Zepto와 같은 랜섬웨어의 배후세력은 기업과 정부기관을 침투하기 위해 다양한 방법을 공격적으로 모색하고 있으며 본 사례는 랜섬웨어에 흔히 쓰이는 자바스크립트나 오피스 매크로에서 벗어나 WSF 첨부물을 필터링하지 않는 이메일 게이트웨이 통과를 시도했던 경우에 해당한다.


랜섬웨어와 같은 정교한 위협의 피해를 막기 위해서는 VIPRE Endpoint Security와 같은 지능형 엔드포인트 보안솔루션, ThreatAnalyzer와 같은 맬웨어행동분석툴, ThreatSecure와 같은 사이버공격 방어솔루션 등의 솔루션이 필요하며 중요 데이터를 주기적으로 백업해야 한다.


<참고: ThreatAnalyzer 맬웨어분석 샌드박스> 


<참고: VIPRE 엔드포인트 보안솔루션> 





ThreatTrack Security Labs, Zepto Ransomware Packed into WSF Spam, 7. 25. 2016.

https://blog.threattrack.com/ransomware-packed-into-wsf-spam/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.27 14:39

위로가기