분류 전체보기에 해당하는글 186



게시일: 2016-07-05 l 작성자: Trend Micro

2016년 상반기는 ‘랜섬웨어의 대활약’ 이라고 요약할 수 있습니다. 온라인 뱅킹 해킹도구 등과 같은 기타 사이버 범죄와 달리, 랜섬웨어는 고급 기술을 보유하고 있지 않아도 쉽게 돈을 벌 수 있는 멀웨어입니다. 따라서 2014년과 2015년 확인된 랜섬웨어가 총 49개였던 것과 비교하여 2016년 6월 말 현재, 이미 50개 이상의 새로운 랜섬웨어 그룹이 확인되고 있습니다.

랜섬웨어의 암호화 기술 뒤에 숨겨진 전략을 살펴보는 것 이외에, 침입 전략을 살펴보는 것 또한 중요합니다. 랜섬웨어의 전형적인 침입 전략은 (1) 스팸메일, (2) 변조된 웹사이트 또는 익스플로잇 킷이 포함된 악성 웹사이트 입니다. 위 두 가지 방법은 간단하지만 매우 효과적입니다.

트렌드마이크로에서는 대다수의 랜섬웨어가 네트워크 진입로에서 웹사이트 및 이메일 필터링을 통해 차단될 수 있다는 것을 분석하였습니다. 실제 2016년 1월부터 5월까지 당사에서는 6,600만 이상의 랜섬웨어 관련 스팸메일 및 악성 웹사이트를 차단했습니다. 따라서, 본 게시글에서는 랜섬웨어의 침입 전략과 그 대응법에 대해 확인해보고자 합니다.


침입 전략 1 : 스팸메일

스팸메일을 통한 랜섬웨어 유포 전략과 스팸 필터링 우회 기술에 대해 살펴보고자 합니다. 일반적으로 랜섬웨어 유포에 이용되는 스팸메일은 매크로(macro), 자바스크립트(Javascript) 등의 실행형 첨부파일이 포함되어 있으며, 이러한 첨부파일은 랜섬웨어 본체를 다운로드 하는 역할을 합니다.

예를 들어, 랜섬웨어 CRYLOCK / CRILOCK / CRITOLOCK (CryptoLocker) 는 이메일에 악성 파일을 첨부하며(대부분의 경우 ‘UPATRE’의 변종), 실행 시 ZBOT(ZeuS)를 다운로드하는 역할을 합니다. 이 멀웨어는 사용자의 PC에 CryptoLocker를 다운로드하여 실행합니다.

하지만, 공격은 여기서 멈추지 않습니다. 일부 랜섬웨어는 매크로 공격 방식을 추가하여, 샌드박스 기술을 우회합니다. 사용자가 악성 문서파일에 내포된 매크로 실행을 선택하도록 유도하기 위해, 사용자를 속이기 위한 사회 공학기법이 중요한 역할을 합니다.

Locky 랜섬웨어는 악성 매크로 첨부파일을 이용하는 대표적인 예입니다. 매크로에 존재하는 폼 개체(Form Object)를 이용하여 악성코드를 은폐합니다. 해당 랜섬웨어는 2015년 2월에 미국 캘리포니아 할리우드 장로 병원(Hollywood Presbyterian Medical Center) 를 공격한 바 있습니다. 2016년 5월 말부터 6월 초 모습을 감춘 Locky 랜섬웨어는 최근 활동을 재개하고 있는 것으로 확인되었습니다.

그림1. Locky 랜섬웨어를 유포하는 스팸메일


또한 당사에서는 XORBAT, ZIPPY, CRYPTESLA (TeslaCrypt) 4.0버전, CRYPTWALL (CryptoWall) 3.0버전, LOCKY 변종 등을 자동으로 다운로드 하는 자바스크립트 첨부파일 사례도 확인하였습니다. 사이버 범죄자는 Locky,CERBER와 같은 랜섬웨어를 확산하기 위해 VBScript와 같은 스크립팅 언어도 이용하고 있습니다. 스크립트 언어를 첨부 파일로 사용할 경우, 탐지가 불가능하게 되는 경우가 있기 때문입니다.

그림 2. CryptoWall 3.0 자바스크립트 파일


이메일 제목

랜섬웨어를 유포하는 이메일의 제목은 굉장히 평범합니다. 당사에서 확인한 이메일 제목은 ‘이력서’, ‘청구서’, ‘배송 정보’, ‘계정 동결’ 등이었으며, 해당 메일은 공식 기관의 이메일을 표방하여 제작되었습니다.

그림 3. TorrentLocker 유포 메일

그림 4. TorrentLocker 스팸메일의 예

호주와 유럽에서 유행한 CRYPTLOCK (TorrentLocker)의 스팸메일 활동은 주목할 만 합니다. 전형적인 영어 제목이 아닌, 특정 국가의 언어와 기관 이름을 사용합니다. 예를 들어, 호주를 대상으로 하는 경우 호주연방경찰과 호주우편공사 등 현지 기관의 메일로 위장합니다.

이러한 랜섬웨어의 스팸메일 캠페인에서 주목할 것은, 무작위로 전송하는 것이 아닌 특정 언어의 이메일을 해당 지역 사용자에게만 발송한다는 것입니다. 예를 들어, 이탈리아어로 된 스팸메일은 이탈리아의 사용자에게만 전송되었습니다.


메일 발송 타이밍

사이버 범죄자는 조직이나 기업에 스팸메일을 보낼 때 효과적인 타이밍을 노립니다. 예를 들어, CryptoWall은 사용자의 사서함에 오전 5시~9시(동부표준시) 사이에 도착하며, TorrentLocker는 대상 국가의 업무시간에 맞추어 주중 오후 1시~오후 7시경 발송됩니다. 또한, 한번에 다량의 스팸메일을 보내는 것이 아닌, 시간 별 발송량을 조절하여 최대의 효과를 노립니다. 따라서, 기존 스팸메일 탐지 방법으로 검출되지 않는 것입니다.


침입 전략 #2: 악성 웹사이트

랜섬웨어는 악성 URL 또는 변조된 웹사이트에 숨어 활동하기도 합니다. 웹 서버를 공격하여 사용자를 악성 웹사이트로 유도하는 경우도 있습니다. 웹사이트 변조는 웹 차단 기술을 우회하는 효과적인 방법입니다.

일례로, 2015년 12월 사이버 범죄자는 영국의 주요 신문사인 The Independent 의 블로그를 변조하여 TeslaCrypt 2.0을 확산시켰습니다. 문제의 블로그에 접속한 모든 사용자들은 여러 웹페이지를 거쳐 앵글러 익스플로잇 킷(Angler Exploit Kit)를 호스팅하는 사이트로 연결되었습니다. 만일 사용자의 PC가 특정 어도비 플래시 플레이어 취약점(CVE-2015-7645)을 가지고 있는 경우, 곧바로 랜섬웨어가 감염되었습니다.

웹사이트를 해킹하는 것 이외에도 사이버 범죄자들은 악성 파일을 호스트하기 위해 다양한 정식 서비스를 이용합니다. PETYA 랜섬웨어는 클라우드 스토리지 서비스인 Dropbox를 이용하여 랜섬웨어를 유포하였습니다. 구직 메일로 위장한 스팸메일을 전송하여, 첨부된 문서를 클릭하면 Dropbox에 저장된 악성 프로그램이 다운로드되어 랜섬웨어가 감염되는 것입니다.


웹 차단 우회 방법

TorrentLocker는 랜딩 페이지와 드라이브 바이 다운로드에 의한 악성 파일 다운로드와 같은 탐지 및 차단을 우회하기 위해 CAPTCHA 코드의 인증 시스템을 사용하였습니다. 이 외에도 DNS 레코드에 대한 TTL(Time to Live)를 단기간으로 설정하여, 도메인이 약 1시간 정도의 짧은 시간 동안에 활성화되기 때문에, 관련 URL 차단과 추적이 어렵습니다.


익스플로잇 킷에 의한 확산

악성 광고를 통한 익스플로잇 킷에 의한 랜섬웨어 확산도 발견되고 있습니다. 취약점 업데이트가 미비한 PC가 악성 광고를 통해 악성 웹사이트를 접속한 경우 랜섬웨어 또는 기타 악성 프로그램에 감염될 수 있습니다.

하단의 표는 다양한 익스플로잇 킷에 의해 확산되는 랜섬웨어 그룹의 목록입니다.

익스플로잇 키트확산되는 랜섬웨어 (2015)확산되는 랜섬웨어 (2016)
Angler Exploit KitCryptoWall, TeslaCrypt, CryptoLockerCryptoWall, TeslaCrypt, CryptoLocker, CryptXXX
Neutrino Exploit KitCryptoWall, TeslaCryptCryptoWall, TeslaCrypt, Cerber, CryptXXX
Magnitude Exploit KitCryptoWallCryptoWall, Cerber
Rig Exploit KitCryptoWall, TeslaCryptRansom_GOOPIC
Nuclear Exploit KitCryptoWall, TeslaCrypt, CTB-Locker, TroldeshTeslaCrypt, Locky
Sundown Exploit KitCryptoShocker
Hunter Exploit KitLocky
Fiesta Exploit KitTeslaCrypt

 

앵글러 익스플로잇 킷은 TeslaCrypt를 유포하기 위해 사용되었지만, TeslaCrypt 개발자가 2015년 4월 활동을 중지한 뒤에는 CryptXXX의 확산에 이용되었습니다.

사이버 범죄자들은 또 다른 익스플로잇 킷인 뉴트리노(Neutrino EK), 리그(Rig EK)등을 이용하고 있습니다. CryptXXX를 유포하는 뉴트리노와 Locky를 유포하는 뉴클리어(Nuclear EK)가 각각 확산 중에 있습니다.

운영 체제를 최신 상태로 유지하는 것은 익스플로잇 킷 및 부정 광고를 통한 악성 프로그램 다운로드 방지를 위한 보호 조치입니다. 웹 검증 및 취약점 대책을 이용하여 악성 URL을 차단하는 것은 효과적인 보안 조치입니다.


트렌드마이크로의 대책

랜섬웨어에 의한 피해를 방지하지 위해 네트워크 진입로를 보호하는 것은 매우 중요합니다. 랜섬웨어가 엔드포인트까지 침투할 경우, 파일 또는 시스템 복구가 어렵습니다. 네트워크로 연결된 PC 또는 서버까지 감염이 확산될 경우, 복구는 더욱 어려워집니다. 이러한 랜섬웨어의 특성을 고려하였을 때, 기존 보안 대책으로는 충분하지 않습니다. 기업을 위한 다층 보안 설계를 권장합니다.

트렌드마이크로의 Deep Discovery Email Inspector는 이메일로 들어오는 랜섬웨어가 사용자에게 도달하지 못하도록 방어합니다. 오피스스캔은 동작 모니터링, 애플리케이션 관리, 취약점 보호 등의 기능을 통해 엔드포인트를 보호합니다. Deep Discovery Inspector는 네트워크 상에서 랜섬웨어를 감지하며, Deep Security는 물리적, 가상, 클라우드 서버를 보호하는 역할을 합니다.

중소기업용 Worry-Free 비즈니스 시큐리티는 클라우드 기반 이메일 게이트웨이 보안인 이메일 보안 호스팅을 제공합니다. 또한 동작 모니터링, 실시간 웹 검증을 통해 엔드포인트에 도달하는 랜섬웨어를 탐지하고 차단합니다. 개인용 클라이언트 종합 보안 제품 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

최근 트렌드마이크로에서 발표한 무료 툴인 트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거합니다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구 입니다.

원문: Why Ransomware Works: Arrival Tactics




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


랜섬웨어가 ‘먹히는’ 이유 제2탄: 침투 전략

https://www.trendmicro.co.kr/kr/blog/ransomware-arrival-methods/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.27 13:46



랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략

게시일: 2016-06-17 l 작성자: Trend Micro

기업은 어떻게 랜섬웨어 공격에 대응할 수 있을까요? 최근 여러 기관에서 랜섬웨어 공격에 대비하여 비트코인을 사들이고 있다는 연구가 있었습니다. 공격 받을 시 빠른 시간 내 중요한 파일을 복구하기 위한 대응책입니다. 하지만 돈을 지불하는 것이 파일 복구를 보장하지 않는 것은 물론이고, 추가적인 랜섬웨어 공격으로 이어질 수 있습니다. 그럼에도 불구하고 랜섬웨어 공격으로 인한 기업 손실과 명예 실추로 인해 추가적인 불이익을 예상한다면, 기업의 이러한 대처를 비난할 수는 없습니다.


지속적인 랜섬웨어의 공격

랜섬웨어 피해자가 되지 않기 위해, 이 멀웨어가 어떻게, 그리고 왜 공격을 하는지 이해하는 것이 중요합니다. 물론, 사회공학적 기법과 상용 등급 암호화는 랜섬웨어 공격의 중요한 요소입니다. 하지만 최근 유행하는 랜섬웨어들은 다른 멀웨어의 수법을 차용하여, 복호화를 어렵게 만들고 있습니다.

예를 들어보겠습니다. A 회사에서 ‘파일과 중요 데이터가 모두 암호화 되었으니, 되찾고 싶다면 돈을 지불하라’는 메시지를 수신했습니다. IT 운영자는 즉시 감염된 시스템의 네트워크를 차단하고 분리했습니다. 그 후, 감염된 컴퓨터를 치료하여 파일 복구를 시도합니다. 하지만 이 때 여러 문제점이 발생합니다.

일례로 랜섬웨어가 일반적으로 사용하는 기법 중 하나는 섀도우 복사본을 삭제하는 것입니다. 하단의 커맨드 중 하나를 사용하여 이를 실행합니다.

vssadmin.exe Delete Shadows/All/Quiet

WMIC.exe shadowcopy delete/nointeractive

섀도우 복사본을 삭제함으로써, 사용자가 파일을 복구할 수 없도록 백업 파일을 삭제하게 되는 것입니다.CRYPWALLLockyCERBERCRYPTESLA와 같은 변종 랜섬웨어에서 이와 같은 기능을 사용하고 있습니다. 부팅 변경, 감염 확산, 백신 우회 등과 같은 기법도 널리 활용되고 있습니다.


부팅 변경

마스터 부트 레코드(MBR)의 재작성 또는 삭제로 인해 시스템 부팅이 불가능해집니다. 이를 우회하기 위해 안전모드 부팅을 시도하는 것도 무용지물입니다. PETYA 는 이러한 공격 수법을 가진 대표적인 랜섬웨어입니다.


감염 확산

랜섬웨어에 의해 감염된 1개의 시스템 복구도 어렵지만, 이동식 드라이브와 네트워크를 통해 감염이 확산된다면 또 다른 중요 데이터가 암호화 될 위험에 놓이게 됩니다. 해당 공격 수법을 사용하는 랜섬웨어는Zcryptor(ZCRYPT crypto-ransomware)는 이동식 드라이브와 네트워크의 공유폴더까지 확산하여 감염시킵니다.


백신 우회

워치독 프로세스(Watchdog process)는 멀웨어의 새로운 인스턴스를 부활시키기 위해 svchost.exe로 명명된 regsvr32.exe 또는 rundll32.exe을 복사합니다. 하나의 프로세스가 암호화를 실행하면, 나머지 하나의 프로세스는 워치독으로 활동합니다. 랜섬웨어가 탐지를 우회하기 위해 고용하는 또 다른 기술은, 해당 환경이 VMWare 환경인지 확인하는 것입니다.

그림 1. CryptXXX 감염 프로세스 트리, 워치독 프로세스 포함

VIRLOCK 은 다형성 암호 기법을 가진 랜섬웨어로서, 감염이 실행될 때마다 코드를 변경해 보안 소프트웨어에서 탐지가 매우 어렵습니다. 하단 그림에서와 같이 감염 파일에 무작위 가비지 코드와 API 콜을 삽입하기도 합니다.

그림 2. VIRLOCK의 탐지 우회 기술 코드 정보


또 다른 공격 수법

랜섬웨어의 지속적인 공격에서 주목할 만한 기술은 네트워크 드라이브의 데이터를 암호화하고, 이와 더불어 SMB(Server Message Block)를 공유하여 발견되는 모든 파일을 암호화 하는 것입니다. 2015년 등장한 CryptoFortress는 위와 같은 수법을 사용합니다. CRYPWALL 3버전과 4버전 또한 마찬가지로, 연결된 모든 드라이브로 확산하여 데이터를 암호화 합니다.

또 다른 변종인 PowerWare와 POSHCODER는 윈도우 PowerShell 기능을 악용합니다. CryptoLocker 공격에서는 C&C 서버 연결을 위한 DGA(Domain Generation Algorithm)도 처음 발견되었습니다. CryptXXX의 경우, 피해자의 정보를 탈취하여 지하시장에서 판매합니다.

랜섬웨어 공격자가 취약점을 이용하여 위협을 확산시킬 경우, 감염 피해 복구는 더욱 어려워집니다. SAMSAM은 Jexboss 익스플로잇을 악용하여 네트워크를 통해 취약한 서버에 침투하여 랜섬웨어 공격을 실행하였습니다.


다층 보안 설계

파일 암호화로부터 초래되는 불편함, 파일 복구 시도의 실패, 잠재적인 추가 피해로 인해 몇몇 기관들에서는 랜섬을 지불하는 것을 택하고 있습니다. 하지만 이것은 매우 위험한 결정이라고 할 수 있습니다. 한 번 랜섬을 지불할 경우, 돈을 지불하는 피해자로 인식되어 더 많은 랜섬웨어 공격의 대상이 될 수 있습니다.

랜섬웨어를 이해하는 것은 기업의 IT환경을 보호하기 위한 중요한 시작입니다. 파일을 백업하는 것은 보안의 가장 기초이지만, 그것만으로 끝나는 것이 아닙니다. 백업을 찾아내어 삭제하는 변종들이 계속 새롭게 등장하고 있기 때문입니다. 기업에서는 다층 보안 설계를 구축해야 합니다.

트렌드마이크로는 대기업, 중소기업 및 개인 사용자가 크립토 랜섬웨어의 피해를 최소화할 수 있는 대응책을 제공합니다.

트렌드마이크로의 Deep Discovery Email Inspector는 이메일로 들어오는 랜섬웨어가 사용자에게 도달하지 못하도록 방어합니다. 오피스스캔은 동작 모니터링, 애플리케이션 관리, 취약점 보호 등의 기능을 통해 엔드포인트를 보호합니다. Deep Discovery Inspector는 네트워크 상에서 랜섬웨어를 감지하며, Deep Security는 물리적, 가상, 클라우드 서버를 보호하는 역할을 합니다.

중소기업용 Worry-Free 비즈니스 시큐리티는 클라우드 기반 이메일 게이트웨이 보안인 이메일 보안 호스팅을 제공합니다. 또한 동작 모니터링, 실시간 웹 검증을 통해 엔드포인트에 도달하는 랜섬웨어를 탐지하고 차단합니다.

개인용 클라이언트 종합 보안 제품 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

최근 트렌드마이크로에서 발표한 무료 툴인 트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거합니다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구 입니다.


원문: Why Ransomware Works: Tactics and Routines Beyond Encryption




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략

https://www.trendmicro.co.kr/kr/blog/why-ransomware-works-tactics-beyond-encryption/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.26 15:15

근래 수많은 회사들을 공격한 랜섬웨어는 현존하는 중대한 위협이다. 랜섬웨어를 방지할 수 있는 가장 효과적인 방법은 바로 교육이며 이에 따라 본 인포그래픽은 기업에서 랜섬웨어 방지를 위해 따라야 할 실천수칙을 정리했다. 인포그래픽은 예방을 위한 대책 및 조언 외에 랜섬웨어가 실제 침투한 경우에 대비한 방안도 제시하고 있다.



- 인포그래픽 본문 -


랜섬웨어란 강력한 암호화키로 사용자 파일을 암호화시킨 다음 복호화의 대가로 돈을 요구하는 악성코드다. 랜섬웨어는 주로 이메일 첨부물이나 악성웹사이트 링크를 통해 배포되며 피해방지를 위해서는 예방이 최선책이다.


1.  주기적으로 데이터 백업: 주기적으로 백업이 된 상태라면 랜섬웨어에 감염된 파일을 신속히 되찾을 수 있다. 백업도 감염되는 사태를 방지하기 위해서는 해당 백업을 읽기전용으로 설정하고 오프라인 또는 클라우드로 백업을 격리시켜야 한다.


2. 주기적으로 소프트웨어 패치: 운영체제, 브라우저, 어플리케이션, 네트워크기기의 패치를 최신으로 유지한다면 악성코드에 대한 취약점을 줄이고 랜섬웨어의 일반적 감염경로를 차단할 수 있다.


3. 의심 트래픽 모니터링 및 차단: 침임 탐지⋅방지 시스템(IDS⋅IPS)을 통해 의심스러운 트래픽을 모니터링하고 필요한 경우 사용자에게 알리거나 지정된 조치를 즉각 실행하도록 할 수 있다. 의심 트래픽 차단을 통해 감염확산을 막고 데이터피해 확대를 방지할 수 있다.


4. 인터넷 다운로드파일 검사: 웹모니터링 솔루션을 통해 인터넷에서 다운받은 파일을 검사하고 사용자의 악성웹사이트 접근을 방지할 수 있다. 이 경우 피싱이메일이 필터링을 통과하고 사용자가 링크를 클릭하는 경우에도 악성웹사이트 접속이나 감염된 파일 다운로드를 차단할 수 있다.

<참고: GFI WebMonitor 웹모니터링솔루션>


5. 이메일첨부물 검사: 이메일보안 솔루션을 통해 첨부물을 검사하거나 특정한 파일유형에 해당하는 첨부물을 차단하고 여기에 안티바이러스 솔루션을 통한 엔드포인트 실시간 모니터링을 병행한다면 랜섬웨어를 더욱 효과적으로 방지할 수 있다.

<참고: GFI MailEssential 이메일보안솔루션>


6. 의심 실행파일 구동 차단: 윈도 소프트웨어제한정책(Windows Software Restriction Policy)이나 IPS 소프트웨어를 통해 '%userprofile%\AppData', '%ProgramData%', '%Temp%' 등 랜섬웨어가 사용한다고 알려진 폴더에서 실행파일이 구동되지 못하도록 할 수 있다.


7. "알려진 파일유형 확장자 숨김(Hide extensions for known file types)" 해제: 랜섬웨어는 잘 알려진 파일유형으로 위장을 시도한다. 악성파일이 PDF 문서로 위장할 경우 "’Invoice.pdf.exe"와 같은 이름을 사용하게 되는데 이 경우 파일확장자가 숨겨진다면 사용자 측에서 해당 파일을 식별해내기 어려워진다.


8. 마이크로소프트 오피스제품군 보안설정 강화: 최근 발견된 랜섬웨어들은 감염된 마이크로소프트 워드 문서를  통해 정상적인 인보이스로 위장한 다음 악성코드를 다운받아 구동시킨다. 그룹정책을 통해 마이크로소프트 오피스 어플리케이션의 매크로 작동을 차단함으로써 감염가능성을 줄일 수 있다.


9. 사용자권한 제한: 사용자가 필요한 만큼만 권한을 가지고 로그인하도록 하면 맬웨어 감염의 피해를 줄일 수 있고 랜섬웨어가 네트워크 전체로 번지는 사태를 방지할 수 있다.


10. 사용자교육 실시: 상당수 보안위협대책의 마지막 축은 사용자 측에 있다. 랜섬웨어는 부주의한 사용자가 요청한 바 없는 이메일 첨부물을 열거나 악성링크를 클릭하는 등 직접 감염된 파일을 다운받고 실행하는 행동을 하지 않기만 해도 랜섬웨어의 위협을 크게 줄일 수 있다.

  1. 전송자를 알지 못하는 경우 이메일첨부을 열거나 링크를 클릭하지 않도록 한다.

  2. 예정에 없는 이메일의 경우 도메인 철자오류나 제목 및/또는 본문 형식오류 여부를 확인한다.

  3. 의심 파일이나 이메일은 즉시 관계 인력이나 부서에 연락하도록 한다.





GFI Software, 10 ways to prevent ransomware headaches [infographic], 7. 21. 2016.

http://www.gfi.com/blog/wp-content/uploads/2016/07/GFI_Software_Ransomware_Infographic_final_1.jpg


번역: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.25 16:41

Retefe 트로이목마는 금융고객의 계정 등 개인정보를 탈취하는 악성코드며 주로 악성 자바스크립트가 문서파일을 첨부물로 하는 피싱 이메일을 통해 배포된다. Retefe는 스웨덴, 스위스, 일본 등지에서 발견된 바 있으며 최근에는 영국의 Smile 은행을 목표로 공격을 실행했다.


이번 사례를 보면 감염경로, 악성인증서 설치과정 등 기본적인 부분은 크게 바뀌지 않았다. 악성 자바스크립트가 실행되면 우선 웹브라우저 프로세스 종료를 시도한다. 그리고 허위 인증서를 설치한 다음 프록시 자동설정 URL을 변경한다. 스크립트는 Dean Edwards 패커를 통해 난독화돼 있다.


다만 Smile 사례에서 새로운 점이 있다면 악성 구성요소가 하나 추가됐다는 사실이다. 원래 자바스크립트에 포함됐던 파웨쉘 스크립트는 2종으로 허위인증서 설치과정에서 나타나는 확인창에서 "OK"를 클릭하는 ConfirmCert 그리고 허위인증서를 파이어폭스 브라우저에 추가하는 AddCertFF가 있다. 이번에 새로 추가된 InstallTP 스크립트는 Task Scheduler Wrapper, 토르(Tor) 클라이언트, Proxifier를 다운받아 설치한다.


우선 Task Scheduler Managed Wrapper는 Codeplex를 통해 다운로드되며 "New-Object Microsoft.Win32.TaskScheduler.TaskService"라는 오브젝트를 사용할 수 있도록 하는데 이는 맬웨어의 작동을 지속시키는 역할을 한다. 작업관리자에  "AdobeFlashPlayerUpdate" 및  "GoogleUpdate Task" 작업이 추가되어 30분마다 실행되며 토르와 Proxifier도 실행한다. 사용자가 이를 중지시킨다 해도 30분 내에 다시 시작된다.


토르 클라이언트는 악성코드가 .onion 도메인에 직접 연결할 수 있도록 하며 이를 통해 AutoConfigURL에 포함된 .onion 도메인에 직접 연결이 가능하다. 토르 클라이언트는 콘솔 어플리케이션으로 본래 정상적으로 실행되면 사용자가 창을 볼 수 있다. 하지만 Retefe에 감염된 기기에서는 창이 숨겨지는데 이는 nCmdShow 값이 SW_HIDE로 설정된 상태에서 ShowWindow가 요청되기 때문이다.



Proxifier는 프록시서버 경유를 지원하지 않는 네트워크 어플리케이션이 SOCKS 또는 HTTPS 프록시 및 체인을 통해 작동할 수 있도록 한다. Proxifier는 9050번 포트를 통해 로컬호스트에서 구동하는 토르 프록시로 모든 트래픽을 경유시킨다. Proxifer는 프록시를 경유하여 접속될 대상과 직접 접속될 대상을 지정할 수 있다.아래 그림을 보면 api.ipify.org를 방문할 경우 직접접속에 해당되어 IP주소가 변경되지 않음을 볼 수 있는데 설정파일을 보면 공격자 측에서 Proxifier를 해킹하여 변조한 버전을 쓰고 있음을 알 수 있다.






프록시 설정의 경우 영국 IP주소를 가진 시스템에 대해서만 적용되며 이는 이전 Retefe 버전과 비슷하다. 만약 감염된 기기에서 예전에 접속했던 은행이나 새로 추가된 은행에 접속할 경우 해당 트래픽은 악성 프록시로 이전된다. 아래 그림에서 볼 수 있듯 해당 프록시는 토르 네트워크에 숨겨져 있다.



사용자가 표적 웹사이트를 방문하면 해당 사이트에 대한 인증서는 허위 인증서로 교체되며 공격자는 이를 통해 감염을 숨기고 사용자의 로그인 정보를 훔칠 수 있다. 아래 그림을 보면 본 사례에서 Retefe가 추가한 가짜 Smile 은행 웹사이트를 볼 수 있다. 이렇게 허위의 HTTPS 인증서를 통해 사용자를 안심시킨다는 점이 Retefe 트로이목마의 가장 큰 위험이라고 할 수 있다.







Retefe 트로이목마 SHA 해시값은 다음과 같다.

03E6A87CC90BD5A8B2EB2E4B6C3D8201B8DC7E7A89FF8A6AA05E9539146FD1AF

347701FAF633D1EDAAA630BA1D3652F13D6097C3855B91C14551390F4C56096F

3944686BEDEA78C498BFCF0431DE509EE118C0CC95DA07402B12E4C954F1A125

6308623E0CF994FC14F8F483A840E0E28428D510CDFC4F07992E40B3F2C77FF4

6B1869D8C1BB898BAC91220823AE80D770D9591DA60EE919FCA0A588D994DFA6

821EBC34F86BFF680E4AACEA40FDACECB3B45B3BE9D231EF9AC261FA2FDC7549

C6E0FC6B084443A0B5D18778F93EE9EBFB7758435BAEEF284F2835552DD641EB

CE549E89D46BD5657809A129C9C02BAEE934F91888A18928F387942F156429EC

CE55C12B504DFF52867F59FAD40C3EED4A4D0CA10A33B3FF3E3BE1039F86B67E

D1C0661E19AB3EDEA209EEFEAC38904FC0D5264F065EB9E769598A55DB938908




Jaromír Hořejší, The evolution of the Retefe banking Trojan, 7. 18. 2016.

https://blog.avast.com/the-evolution-of-the-retefe-banking-trojan


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.25 14:11

사진: http://blog.beautheme.com/top-10-internet-of-things-iot-programming-languages/



ARM 칩은 퀄컴, 삼성, 미디어텍 등 다양한 모바일어플리케이션

프로세서 제조업체들이 사용하고 있으며 안드로이드기기 스냅드래곤 프로세서 외에

애플 아이폰의 A형 프로세서에도 사용되고 있다.


사물인터넷 시스템이 널리 퍼지고 있지만 전자상거래 표준에 따라 관리될 수 있는  보안대책이 없는 커넥티드 기기들이 위험에 노출돼 있다는 점은 부인할 수 없다. 이에 기술전문가들이 보안문제 해결에 앞장서고 있으며 ARM, Intercede, Solacia, Symantec 등 업체들이 보안프로토콜 OTrP(Open Trust Protocol) 공동개발에 나섰다. 이들 업체는 스마트폰·태블릿 등 시장에 대량 배포된 기기에서 사용되는 대규모 금융 및 비밀정보 어플리케이션을 통해 검증된 기술을  활용하여 안전한 아키텍쳐와 신뢰 가능한 코드관리를 융합하고자 한다.


ARM 보안시스템부문 부사장 Marc Canel은 다음과 같이 설명한다. "인터넷으로 연결된 세상에서는 모든 기기와 서비스공급자 사이에 신뢰를 구축하는 일이 아주 중요하다. 시스템운영자는 시스템이 상호작용하는 기기를 신뢰할 수 있어야 하며 OTrP는 간결한 방식으로 이를 달성할 수 있다. OTrP의 전자상거래 신뢰 아키텍쳐와 상위 프로토콜은 현존하는 모든 플랫폼과 쉽게 연동될 수 있다." 한편 OTrP 공동협정에 참여한 업체로는 앞서 소개한 회사 외에 Beanpod, Sequitur Labs, Sprint, Thundersoft, Trustkernel, Verimatrix 등이 있다.


Symantec은 보안강화의 중요성을 강조하며 2015년 매일 1백만건의 인터넷 공격이 실행됐다는 점을 상기시켰다. 커넥티드 기기는 공격평면을 넓힌다는 면에서 보안문제를 더욱 확대시킬 여지를 안고 있다. 분석회사 가트너에 따르면 모든 커넥티드 제품 제조과정의 최우선 과업은 보안에 있다고 한다.


BusinessWire에는 IETF 웹사이트를 통해 시험평가가 가능한 OTrP 초기모델에 대한 상세내용을 제공하고 있다. OTrP는 상위 관리 프로토콜로 ARM® TrustZone® 기반 Trusted Execution Environments 등 모바일컴퓨팅기기에 대한 사이버공격을 방지하기 위해 개발된 보안솔루션과 연동된다.


Digital Trust Specialists CEO Richard PArris는 다음과 같이 설명한다. "IETF를 통한 OTrP 공개평가과정은 개발자 그룹부터 모바일 및 IoT 커넥티드 기기 서비스에 이르기까지 전 방면에서 전자적 신뢰를 달성하기 위해 중요한 단계다. 네트워크운영자와 앱개발자는 호환성, 정책, 비용 측면에서 하드웨어 보안모듈과 암호화키 공급자를 선정하는 데 필요한 통제력을 확보할 수 있으며 동시에 다양한 기기 간에 공통된 관리플랫폼을 유지할 수 있다."


Symantec 사물인터넷보안 부문 선임이사 Brian Witten의 설명은 다음과 같다. "신기술 등장으로 인해 보안위험이 증대됐다. 사물인터넷과 스마트모바일기술은 다양한 방면으로 응용되고 있으며 기기상 암호화키를 보호하기 위해 설계된 하드웨어기반 보안 적용을 간소화 및 활성화하기 위해 개방형 프로토콜을 개발하는 일이 중요하다."


OTrP를 통해 기존 전자상거래 보안아키텍쳐를 재활용함으로써 중앙 데이터베이스 없이도 소프트웨어 신뢰성을 관리할 수 있는 다중호환 표준의 구축이 한층 가까워졌다.




Tatsiana Yablonskaya, ARM and Symantec Develop Open Interoperable Standard for Internet of Things, 7. 20. 2016.

http://www.coinspeaker.com/2016/07/20/arm-symantec-develop-open-interoperable-standard-internet-things/


번역: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.25 14:01



게시일: 2016-06-15 l 작성자: Echo Duan (Mobile Threat Response Engineer)

하나의 플랫폼으로 여러 스마트 디바이스를 사용할 수 있는 것은 삶에 편리성을 가져다 줍니다. 하지만 이 경우, 멀웨어가 1대의 디바이스에 침투하면, 동일한 플랫폼을 공유하는 다른 디바이스도 감염되기 쉽습니다. 최근 유행하는 “FLocker” 랜섬웨어가 이와 같은 경우입니다. 해당 랜섬웨어는 안드로이드 운영체제의 모바일 디바이스를 공격하는 화면잠금형 랜섬웨어이지만, 안드로이드 스마트TV도 감염시킬 수 있습니다.



그림 1. TV 랜섬웨어 화면


2015년 5월, FLocker 랜섬웨어(ANDROIDOS_FLOCKER.A로 명명, Frantic Locker의 줄임말)가 처음 발견된 시기부터 트렌드마이크로 클라우드 보안센터에서는 약 7,000여종의 FLocker 변종이 수집되었습니다. 해당 랜섬웨어의 개발자는 탐지를 우회하고 암호화 기능을 향상하기 위해 지속적으로 멀웨어를 재작성하고 있는 것으로 보여집니다. 지난 몇 달 동안 새로운 FLocker 변종의 출현이 급증과 급감을 반복하였으며, 최근 2016년 4월에 약 1,200개의 변종이 확인되었습니다.


가장 최근 버전의 FLocker는 폴리스 트로이목사(Police Trojan)로서 미국 사이버경찰(US Cyber Police) 또는 다른 법률 기관으로 위장하여, 피해자가 범하지 않은 혐의를 제기합니다. 화면잠금이 완료되면 미화 200달러 상당의 아이튠즈 기프트카드를 벌금으로 지불할 것을 요구하는 화면을 띄우게 됩니다. 트렌드마이크로의 분석에 따르면 모바일 기기를 감염시키는 변종과 스마트TV를 감염시키는 변종에는 큰 차이점이 없습니다. 하단은 당사의 FLocker 루틴에 대한 분석입니다.


FLocker는 정적분석을 우회하기 위해 [asset] 폴더 내부의 raw 파일에 코드를 숨깁니다. 해당 코드는 정상적인 파일로 보이는 “form.html” 파일을 생성합니다.

그림 2. FLocker 정적분석 우회 기능


이렇게 함으로써, “classes.dex” 코드에서 악성행위가 발견되지 않기 때문에 정적분석을 우회할 수 있게 됩니다. “form.html”은 멀웨어가 동작할 때 암호 해제되어 악성코드를 실행합니다.

그림 3. Classes.dex코드(위)와 from.html 코드 암호 해제(아래)


FLocker가 처음 실행될 때 감염된 디바이스가 다음의 동부 유럽 국가에 위치해 있는지 확인합니다: 카자흐스탄, 아제르바이잔, 불가리아, 조지아, 헝가리, 우크라이나, 러시아, 아르메니아, 벨라루스. 만약 디바이스가 앞서 언급된 국가 중 하나에 위치해 있는 것으로 확인될 경우, 멀웨어가 자동으로 비활성화 됩니다.

FLocker는 디바이스에 침투한 후 30분 동안 아무 활동을 하지 않으며, 30분이 지난 후에 디바이스 관리자 권한을 즉시 요청하는 백그라운드 서비스를 실행합니다. 당사는 이러한 행위를 동적 샌드박스 탐지를 우회하기 위한 기술로 파악하고 있습니다. 만약 사용자가 관리자 권한 부여를 거부할 경우, 시스템 업데이트처럼 위조하여 화면을 멈춥니다.

그림 4. 일부 국가에서 공격이 실행되지 않는 FLocker


FLocker는 백그라운드에서 C&C서버로 연결되어 명령을 내려받습니다. 이 때 C&C에서 misspelled.apk라는 새로운 페이로드를 전달하고, 자바스크립트 인터페이스의 랜섬 HTML(“form.html”)이 활성화 됩니다. 해당 HTML 페이지는 APK 설치를 시작할 수 있는 기능이 있으며, 자바스크립트 인터페이스를 활용하여 감염된 피해자의 디바이스로 사진을 촬영하여 랜섬 페이지에 표출시킵니다.

랜섬 웹페이지는 감염된 디바이스에 맞추어 해상도를 변경하는 것으로 확인되었습니다.

그림 5. FLocker 랜섬 페이지 캡처 화면


화면은 잠금되었지만, 멀웨어는 C&C 서버와 통신하며 디바이스 정보, 전화번호, 연락처, 현위치 등과 같은 정보를 탈취합니다. 이러한 데이터는 하드코딩 AES 키로 암호화 되어 base 64로 인코딩됩니다.

그림 6. C&C 서버로 전달되는 정보


이러한 랜섬웨어는 스팸 문자메시지 또는 악성 링크를 통해 전달됩니다. 따라서 인터넷을 탐색하거나 알 수 없는 출처로부터 메시지 또는 이메일을 받았을 때 각별한 주의가 필요합니다.


트렌드마이크로의 대응

안드로이드TV가 감염된 경우 될 경우, 제조사에 연락하여 해결 방법을 문의할 것을 권고합니다. 멀웨어를 제거하기 위한 다른 방법은, 사용자가 ADB 디버깅을 활성화 하는 것입니다. PC에 디바이스를 연결하여 ADB 쉘을 활성화한 뒤 “PM clear %pkg%”를 실행할 수 있습니다. 이 경우 랜섬웨어 프로세스를 중단하고 화면잠금이 해제될 수 있습니다. 사용자는 또한 애플리케이션에 부여된 관리자 권한을 비활성화하고 앱을 삭제할 수 있습니다.

트렌드마이크로는 모바일 디바이스를 보호하기 위해, 스마트 디바이스에 보안 소프트웨어를 설치할 것을 권고합니다. 트렌드마이크로 모바일 시큐리티는 악성 앱 및 기타 경로를 통해 디바이스에 침투하는 랜섬웨어와 같은 모바일 위협으로부터 사용자를 보호합니다. 해당 앱은 Google Play에서 다운로드 받으실 수 있습니다.


원문: FLocker Mobile Ransomware Crosses to Smart TV




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


FLocker 랜섬웨어, 스마트TV를 노리다

https://www.trendmicro.co.kr/kr/blog/flocker-ransomware-crosses-smart-tv/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.25 13:53



보안연구자들이 최근 숨은 음성명령을 통해 기기를 해킹할 수 있는 방법을 찾아냈다. 사용자가 노트북, 데스크탑, 스마트TV, 스마트폰, 태블릿으로 특수 조작된 유투브 영상을 청취할 경우 구글 나우(Google Now)나 애플 시리(Apple Siri)와 같은 음성인식 프로그램이 숨은 음성명령의 기만에 빠져 공격자의 의도대로 행동할 수 있다.


캘리포니아대학교, 버클리대학교, 조지타운대학교 소속 연구진은 프로젝트 페이지를 통해 숨겨진 음성명령을 두고 "사람은 청취할 수 없지만 기기는 이를 명령으로 인식한다"고 설명하고 있다.

[참고]프로젝트 페이지: http://www.hiddenvoicecommands.com/


연구진이 논문에서도 밝힌 내용에 따르면 대부분의 사용자들이 언제든 음성명령을 인식시킬 수 있도록 기기를 상시로 켜진 상태로 두며 이를 통해 휴대전화 해킹이 가능했다고 한다.

[참고]논문: https://security.cs.georgetown.edu/~tavish/hvc_usenix.pdf


아래 링크를 통해 연구진이 음성해킹을 시연하는 과정을 영상으로 볼 수 ㅇ있으며 여기에서 해당 음성명령도 들어볼 수 있다. 이 영상을 보면 먼저 음성인식 어플리케이션이 명령을 해독하여 그 내용대로 행동하는 장면을  볼 수 있다. 만약 기기 사용자 측에서 명령을 듣는다면 이를 취소해 버리면 그만이다. 연구진은 이에 착안하여 명령을 숨기고 기기만이 인식할 수 있도록 했으며 인간은 이 명령을 이해할 수 없고 심지어 알아채기도 어렵다.

[참고]시연영상 https://www.youtube.com/watch?v=HvZAZFztlO0


연구진은 시연을 통해 xhcd.com이라는 사이트를 열도록 하는 명령을 내렸다. 이는 휴대전화가 맬웨어 감염 사이트에 접속하도록 지시를 내릴 수 있음을 의미한다. 또한 숨은 명령이 행사장의 고음 스피커나 인기 유투브 영상에 삽입될 경우 이러한 공격의 효과가 훨씬 커질 수 있다고도 한다.


연구진은 이러한 공격가능성의 대비책으로 음성명령 인식사실에 대한 사용자 알림, 음성에 의한 challenge -response 프로토콜 적용, 기계학습 등을 제시하고 있으며 이들 방법은 100%에 가까운 정확도를 가진다고 한다.




VIPRE Security News, Smart Phones Hacked Through Hidden Voice Commands, 7. 21. 2016.

https://blog.vipreantivirus.com/important-news/smart-phones-hacked-hidden-voice-commands/


번역: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.22 15:35



근래 Cerber 랜섬웨어가 오피스365를 노린다고 하여 큰 주목을 받았는데 그 실상은 흔히 알려진 내용과는 약간 다르다. Cerber 랜섬웨어가 오피스365를 공격했다는 내용이 최초로 등장한 출처는 보안업체 Avanan의 웹사이트에 Steven Toole이 게재한 글이며 그 내용을 보면 "제로데이 랜섬웨어 바이러스의 대규모 공격에 오피스365 기업사용자들이 노출됐다"고 기술하고 있다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>


그런데 사실 여기에서 언급된 "대규모 공격"이란 Avana 고객 중 오피스365 사용자를 대상으로 한 공격으로 가리키며 오피스365와는 직접 관련이 없는 Avanan 메시지보안플랫폼을 통해 탐지됐다. Cerber가 등장한 이후 몇 시간 지나지 않아 마이크로소프트, 구글, 시만텍, 아바스트, 맥아피 등 수많은 보안업체들이 이 랜섬웨어를 포착했으며 실제로 이 랜섬웨어로 인해 피해를 입은 사용자가 얼마 없다는 점을 생각한다면 이번 Avanan 공격사례가 대규모였다고이유는 없으며 오피스365 사용자만을 특별히 노린 경우도 아니다. 예를 들어 마이크로소프트의 경우 오피스365를 사용하는 고객이 수십만에 달하지만 Avanan의 클라우드보안플랫폼을 사용하는 고객이 몇 명인지는 알 수 없다. Avanan 측에서는 전체 고객의 57%라는 수치를 제시했으나 전체 고객 수를 알지 못하는 이상 이는 의미가 없는 수치다.


참고로 Cerber 랜섬웨어가 노리는 파일유형은 다음과 같다.

.gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .advertisements, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv, .contact, .dbx, .doc, .docx, .jnt, .jpg, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb,3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv



랜섬웨어 대응대책


GFI LanGuard과 같은 보안솔루션으로 시스템 패치와 업데이트를 자동화하여 취약점 발생가능성을 줄인다.


<참고: GFI LanGuard 네트워크보안솔루션>


•  엔드포인트 그리고 데이터가 거쳐가는 중간시스템에서 안타바이러스 소프트웨어를 구동한다.


•  GFI MailEssential과 같이 여러 안티바이러스 엔진을 동시에 구동하는 이메일보안 솔루션을 사용하거나 다양한 업체의 솔루션을 병렬적으로 사용하여 보안대책을 다층화한다.


<참고: GFI MailEssential 이메일보안솔루션>


• 오피스365 사용자의 경우 Advanced Threat Protection 서비스를 구독할 수 있으며 다른 제품군을 사용한다면 이와 유사한 기능을 사용하거나 제품군 자체의 변경을 고려한다. SPF, DKIM, DMARC 등의 필터링을 적용하고 이를 통과하지 못하는 경우는 차단하며 파트너 또한 이러한 정책을 채택하도록 한다.


•  중요데이터는 백업시키고 맬웨어 감염가능성을 차단하기 위해 해당 백업은 엔드포인트로부터 격리시킨다.




Casper Manes, Ransomware FUD strikes again, this time against Office 365, 7. 19. 2016.

http://www.gfi.com/blog/ransomware-fud-strikes-again-this-time-against-office-365/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.22 15:03

위로가기