IT, 보안 소식&팁에 해당하는글 56

Windows + R 키로 regedit.exe 를 열기에 입력하여 실행합니다.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ 아래의 키 중에서 삭제할 작업을 선택 하여 내보내기 백업 후 삭제하고 윈도우를 재시작합니다.

윈도우 재시작 후 명령 프롬프트(관리자)를 열고 Dism Online을 아래와 같이 실행하여 시스템 이미지를 Clean 복원합니다.

DISM /Online /Cleanup-Image /RestoreHealth

그 다음 sfc /verifyonly 를 실행하여 Clean 복원이 잘 되었는지 시스템을 검사합니다.

검사에 무결성 위반이 발견될 경우, sfc /scannow 를 실행하여 손상된 파일을 복구합니다.

COMMENT : 0 TRACKBACK : 0

날짜

2019.09.04 12:45

[긴급] 랜섬웨어 및 위협공지 - Petya 랜섬웨어 변종 전세계 강타 중, 빠른 대처가 필요합니다


지난 달의 워너크라이(Wannacry) 공격이 전세계 언론의 관심을 끌었던 것에 대해 뜨거운 반응을 보였던 것과 마찬가지로 Petya 랜섬웨어가 급속도로 전세계 공격이 증가하고 있습니다. 기존 Petya의 변종 랜섬웨어로 추정되며 명명은 Petya로 정의하기로 하였습니다.

오늘 아침 일찍 발견된 랜섬웨어는 정부 기관, 주요 공항,  지하철 시스템,  에너지 공급 업체 Ukrenergo, 중앙 은행 및 폐기 된 체르노빌 원자력 발전소에 영향을 미치면서 특히 우크라이나를 심하게 강타했습니다.

영국의 광고 대행사인 WPP, Saint-Gobain, 프랑스 건설 회사, 러시아의 석유 회사인 Rosneft 및 덴마크의 해운회사인 AP Moller-Maersk을 비롯한 유럽의 다른 지역의 기업에서도 감염이 확인되었습니다. 지금까지 랜섬웨어 감염은 미국, 멕시코,이란, 브라질 등 14 개국 이상에서 확인되었습니다. 그러나 우리는 더 많은 국가들이 영향을 받을 것으로 추정하며, 한국도 예외가 아닐 것입니다.

아마도 가장 놀라운 사실은  본 최신 Petya 랜섬웨어 변종은 워너크라이가 올해 5 월에 20 만 대 이상의 컴퓨터를 감염시키는 것과 동일한 NSA 악용을 사용한다는 사실입니다. 계속되는 보안 패치와 조언에도 불구하고 많은 기업들이 보안 전문가의 조언을 듣지 않고 최신 업데이트나 보안 문제에 대한 투자가 아직도 이루어지지 않고 준비가 덜되어 있다는 것입니다.

이 최신 랜섬웨어 공격은 워너크라이 보다 더 악화될 수 있습니다. 컴퓨터와 네트워크를 보호하기 위해 우리가 할 수 있는 것은 무엇이 있을까요? 당연히 랜섬웨어 대응 백신을 도입하고 최신 상태 업데이트하는 것입니다. 그리고 물리적인 백업을 즉각 실행하고 네트워크에서 단절시켜 놓는 것이 무엇보다 중요합니다.


강력한 Petya 랜섬웨어

어떤 면에서 최신 Petya 변종은 기존 Petya 랜섬웨어 패밀리와 밀접한 관련이있는 것으로 보입니다. Petya는 2016 년 3 월 말에 처음으로 공격을 시작하었습니다. Petya는 Windows 대신 설치하고 부팅하는 자체 운영 체제를 구현했기 때문에 다음에 부팅 디스크의 여러 가지 중요한 파일 시스템 구조를 암호화 할 수있었습니다 새로운 Petya 변종은 이 방법과 심지어 Petya 운영 체제의 코드까지 거의 완벽하게 복사했지만 파일을 전파하고 암호화하여 시스템을 감염시키는 자체적 인 방법을 구현합니다.

시스템의 성공적인 감염에 따라, Petya는 posteo.net 주소로 연결된 지갑에 300 달러 상당의 비트 코를 지불하라는 영어로만 제공되는 몸값 스크린을 제공합니다.

이 글을 쓰는 시점에서 3.1 비트 콘은 28 개가 넘는 트랜잭션을 통해 지불되었으며, 랜섬웨어 작성자는 7,300 달러에 몸값 지불을 요구하고 있는 상태입니다.  이 금액은 비교적 적은 편이지만 빠르게 확산되는 점을 감안할 때 더 많은 피해자가 몸값을 지불해야 될 것으로 추정합니다.


Petya 랜섬웨어 어떻게 감염됩니까?

Petya 감염의 초기 파동은 인기있는 우크라이나 회계 소프트웨어 공급 업체 인 MeDoc의 해킹으로 거슬러 올라갑니다. 알려지지 않은 공격자는 소프트웨어 업데이트 서버에 접속하여 Petya 랜섬웨어를 소프트웨어 업데이트로 가장하여 회사 고객사에게 업데이트 정보를 전달했습니다. 이전에는 XData와 같은 랜섬웨어 제품군에서 유사한 공격 방법을 사용하여 초기 공격을 시작했습니다. 다시 말하면 소프트웨어 개발공급사를 먼저 타겟 공격을 하여 고객사에게 사용 중인 소프트웨어를 업데이트 하도록 경고하고 고객사 시스템을 감염시키는 것입니다. 

따라서, 우선은 소프트웨어를 사용하는 일반 기업이나 개인 들도 중요합니다만, 회계 소프트웨어나 회사 운영 소프트웨어를 개발 공급하는 개발사의 보안 강화가 더욱 중요합니다. 대부분의 소프트웨어 도입한 고객들은 일반적으로 소프트웨어 업데이트 요청 메일이나 안내에 따라 업데이트하기 때문에 개발사의 주의가 더욱 필요한 시점입니다.

일단 많은 시스템이 감염되면, Petya는 WannaCry에서도 사용했던 Shadow Brokers 그룹에 의해 유출 된 것과 동일한 NSA 익스플로잇을 통해 네트워크로 급속하게 퍼질 수있었습니다. ETERNALBLUE로 알려진이 익스플로잇은 Microsoft SMBv1 프로토콜의 취약점을 악용하여 침입자가 다음을 수행하는 시스템을 제어 할 수 있도록합니다.

  • SMBv1 프로토콜을 활성화
  • 인터넷에서 액세스 할 수 있으며
  • 2017 년 3 월에 릴리스 된 MS17-010 수정 프로그램으로 패치하지 않은 경우 Petya 랜섬웨어 감염 대상이 됩니다.
따라서 위의 조건에 대하여 보안 대응하여야 합니다. 

ETERNALBLUE 익스플로잇이 성공하면 DOUBLEPULSAR이라는 코드 네임을 사용하는 시스템에 백도어를 설치합니다. DOUBLEPULSAR는 맬웨어가 악용 된 시스템에 자신을 보내고 자체를 실행하는 데 사용됩니다.

또한 Petya는 Windows에 통합 된 다양한 관리 기능을 사용하여 손상된 네트워크에 전파합니다. 즉, 패치되지 않은 단일 시스템은 다른 시스템이 완전히 패치 된 경우에도 전체 네트워크에 감염 될 수 있습니다. Petya는 WMI (Windows Management Instrumentation)와 인기있는 도구 인 PsExec을 관리 네트워크 공유와 함께 사용하여 로컬 네트워크에서 랜섬웨어의 확산을 용이하게합니다.


Petya는 어떤 파일을 어떻게 암호화합니까?

Petya는 두 개의 서로 다른 랜섬웨어 모듈로 구성됩니다. 첫 번째 모듈은 고전적인 랜섬웨어 제품군과 매우 유사합니다. 다음 확장자 중 하나를 사용하여 파일의 첫 번째 1MB까지 암호화합니다.

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql.tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

파일을 암호화하기 위해 128 비트 키가있는 AES 알고리즘을 사용합니다. 그런 다음 해당 키는 랜섬웨어 실행 파일에 포함 된 RSA 공개 키를 사용하여 암호화됩니다. RSA 및 AES를 사용하여 파일을 안전하게 암호화하는 방법에 대한 자세한 내용은 암호화에 대한 주요 기사에서 찾을 수 있습니다.

두 번째 모듈은 Petya 랜섬웨어 제품군에서 곧장 추출되었습니다. 시스템이 MBR을 통해 부팅 할 수 있고 중계 서버가 필요한 권한을 얻을 수있는 경우 시스템의 마스터 부트 레코드(MBR)에 설치되는 맞춤형 작은 운영 체제로 구성됩니다. Petya OS가 부팅되면 Salsa20 스트림 암호를 사용하여 부팅 드라이브의 마스터 파일 테이블을 찾아 암호화합니다.

마스터 파일 테이블은 NTFS Windows 파일 시스템의 내부 데이터 구조입니다. 그것은 본질적으로 각 파일에 대해 데이터가있는 디스크 상의 위치를 ​​추적합니다. 또한 Petya 랜섬웨어 OS는 파일 복구 도구가 제대로 작동하지 못하도록 각 파일의 첫 번째 섹터를 암호화합니다. 마스터 파일 테이블이 없으면 Windows는 디스크의 데이터를 이해할 수 없으므로 기본적으로 사용자를 시스템에서 완전히 잠급니다.


Petya 랜섬웨어 공격으로 부터 자신을 보호하려면 어떻게 해야합니까?

WannaCry 공격 중에 주어진 조언은 Petya의 경우에도 여전히 유효합니다. 즉각적인 조치로서 Windows 컴퓨터 및 서버에 최신 보안 업데이트가 설치되어 있는지 확인하십시오. 이전의 랜섬웨어 감염에 이어 Microsoft는 Windows XP 및 Windows Server 2003과 같은 "지원되지 않는 시스템"에 대한 보안 패치를 릴리스하는 특별한 단계를 밟았으므로 이러한 시스템도 패치 할 수 있습니다.

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

항상 강조한 것처럼 Petya 랜섬웨어가 사용하는 암호화가 매우 강력하기 때문에 최고의 보안은 여전히 안정적이고 입증 된 백업 전략으로 남아 있습니다. 데이터를 다시 얻는 유일한 방법은 랜섬웨어  제작자에게 돈을 주거나 백업에서 복원하는 것 뿐입니다.  중요한 Windows 업데이트를 설치하는 것은 시스템 보호에있어 매우 중요한 단계입니다. Petya의 주요 감염 벡터는 현재 ETERNALBLUE SMBv1 익스플로잇으로 이미 몇 달 동안 패치되었습니다.

규칙적인 백업 외에도 행동감시(Behavior Blocker) 기술이 포함되어 있는 백신의 사용입니다.

소프트메일은 이와 같은 행위기반 감시 엔진과 랜섬웨어 방어 기술 엔진이 탑재된 백신을 강력하게 추천합니다.



작성 : 어베스트코리아 (주)소프트메일

출처: http://blog.avastkorea.com/1203 [Avast 블로그]


소프트메이트 랜섬웨어 방어 백신 백화점 바로가기 : http://storefarm.naver.com/softmate


COMMENT : 0 TRACKBACK : 0

날짜

2017.06.28 11:48

Petya 랜섬웨어의 주요 공격 대상 운영체제는 윈도우 7
 

오늘 어베스트코리아 및 각족 언론에서 발표한 것처럼 Petya 랜섬웨어는 전세계에 급속하게 퍼질 것으로 예상되고 있습니다.

Petya는 윈도우 운영체제의 EternalBlue 취약점을 익스플로잇 공격을 통해 감염시키는 것으로 알려져 있습니다. 어베스트 바이러스랩에 따르면 오늘 하루 약 12,000개의 공격 시도가 감지되어 차단하였고 Wi-Fi를 통한 공격도 확인되었습니다.

약 3천 8백만 대의 PC가 아직 시스템 운영체제와 취약점이 패치되지 않은 것으로 확인되는데 공격에 취약점이 그대로 존재하고 있는 것으로 이는 매우 위험한 상황입니다. 

Petya가 노리고 있는 4개의 목표 운영체제는 윈도우 7 (78%), 윈도우 XP (14%), 윈도우 10 (6%), 윈도우 8.1 (2%)로 단연코 윈도우 7에 대한 공격이 대부분입니다.  



Petya 랜섬웨어 개발자는 사회공학적 기법과 빠르고 광범위한 랜섬웨어 유포를 위해 몸값의 15%만을 직접 챙기고 유포자에게 85%의 이익을 제공하는 것으로 확산을 유도하고 있습니다. 

우리는 윈도우 운영체제 사용자들이 조속히 기업과 개인 관계없이 가능한 모든 패치와 최신 업데이트  백신 사용을 권고합니다. 


작성 : 어베스트코리아 (주)소프트메일

출처: http://blog.avastkorea.com/1204 [Avast 블로그]


소프트메이트 랜섬웨어 방어 백신 백화점 바로가기 : http://storefarm.naver.com/softmate

COMMENT : 0 TRACKBACK : 0

날짜

2017.06.28 11:36




AvastAVG는 사람들이 흔히 헷갈리는 보안업체들이다. 필자는 8년 전 CEO에 부임한 이후 대규모 청중을 상대로 Avast 브랜드에 대해 발표한 적이 있다. 강연이 끝나고 나서 청중 한 명이 필자에게 발표에 대해 칭찬하면서 AVG 브랜드에 대한 소개를 잘 들었다고 말했다. 이를 통해 AvastAVG 두 업체가 얼마나 혼동되기 쉬운지 깨달을 수 있었다.

 

이러한 혼동은 두 회사가 상당히 비슷하기 때문에 생기는 것이다. 우서 두 회사 모두 이름이 AV라는 글자로 시작하며 둘 다 1980년대 후반에 창업하여 30년 전 당시로는 거의 최초로 바이러스 등 맬웨어를 차단해 왔다. 두 회사 모두 체코슬로바키아의 대도시에서 출발했는데 Avast는 프라하에서 창업하여 현재까지 있으며 AVG는 브르노에서 설립됐다. 또한 두 회사 모두 고품질 보안솔루션의 무료배포 서비스를 개척했으며(정직하게 밝히자면 AVG가 먼저 시작했고 Avast가 이를 뒤따랐다) 현재까지 우수한 보안솔루션을 만들어 내고 있다. 두 회사 모두 세계적인 수준의 연구개발팀을 갖추고 있고 체코슬로바키아 외의 세계시장에 대부분의 고객을 보유하고 있으며 각각 2억 명 가량의 사용자를 보유하여 사용자층도 엇비슷한 수준이다. 특히 두 업체 모두 사용자를 우선 생각하며 그렇기 때문에 꾸준한 지지를 보내주는 고객층도 두텁다. 한 가지 차이점이 있다면 Avast는 비상장 업체인 데 비해 AVG는 상장업체로 뉴욕증권거래소에 등록돼 있다는 점이다.

 

이상과 같이 AvastAVG는 한 가지 차이점을 빼고는 워낙 비슷한 부분이 많기 때문에 결국은 합쳐지는 게 자연스러운 수순이라 할 수 있으며 현재 두 업체는 이를 실현하려는 계획을 가지고 있다. AvastAVG 이사회가 주주로 보유하고 있는 주식 전체를 주당 25달러, 총액 약 13억 달러 가량에 매입하는 청구를 할 예정이다. AVG 주주들이 여기에 동의하고 여러 규제사항이 충족된다면 AVGAvast에 합병돼 더욱 밝은 미래를 향해 같이 나아갈 것이다. 이 과정은 몇 달 정도 소요되리라 예상된다. 실제 인수과정은 여기에 요약된 내용보다 훨씬 복잡하며 인수과정 그리고 현재 시점에서 밝힐 수 있는 내용에 대한 규제사항도 적지 않다. 따라서 현재 또는 앞으로 AVG 주주 지위를 가지거나 혹은 자세한 내용을 알고 싶은 이들을 위해 이하에 주요 사전공지내용을 소개한다<생략>.

 

이번 인수 이후 경영과정이 어떻게 될지에 대해서는 많이 밝힐 수 없지만 결과적으로 고객에게는 유익하게 작용하리라 생각된다. 인수가 완료된다면 Avast25천만의 PC/Mac 사용자를 확보하여 위협 데이터를 더욱 많이 확보함으로써 고객에 대한 보호를 향상시킬 수 있다. 또한 총 16천만의 모바일 사용자를 통해 모바일고객 보호를 강화하고 사물인터넷에 분야 진출을 위해 중요한 디딤돌을 마련할 수 있으리라 기대한다. 아울러 가족단위 보안을 위해 설계된 모바일기술도 확보할 수 있게 된다. 중소기업 부문에서는 지리적 진출영역 확장, 기술지원 향상, 두 업체의 기술력 융합 등을 통해 기업사용자에 대한 지원을 향상시킬 수 있을 것이다.

 

AvastAVG 웹사이트에는 이번 인수합병에 대한 언론보도, 질의응답 등 보다 많은 정보가 준비돼 있다. 인수과정 도안 우리는 사용자와 고객들에게 공개 가능한 모든 정보를 공개할 예정이다. 무엇보다도 우리는 AvastAVG의 고객 모두를 소중하게 생각하며 고객보호를 보장하고 신뢰를 지키기 위해 최선을 다할 것을 약속한다.

 

<이하생략>

 

 

참고 AVG 측 인수합병 발표: Avast Announces Agreement to Acquire AVG for $1.3B

http://now.avg.com/avast-announces-agreement-to-acquire-avg-for-1-3b/

 

 

 

Vincent Steckler, Avast and AVG: A Future Together, 7. 7. 2016.

https://blog.avast.com/avast-and-avg-a-future-together

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.11 16:24



게시일: 2016-04-26 l 작성자: Trend Micro


사이버 범죄자들이 시스템과 네트워크의 취약점을 공격의 진입로로 이용하고 보안 취약점을 활용하여 공격을 확산하는 도구로 사용하면서, 패치 관리의 중요성이 부각되고 있습니다. 악명높은 SAMSAM 크립토 랜섬웨어의 공격이 이와 같습니다. 해당 랜섬웨어는 악성 URL 또는 스팸메일을 통해 침투하는 것이 아닌, 패치가 되지 않은 서버의 보안 취약점을 악용하는 악성 코드입니다.

지난 3월 켄터키 병원은 SAMSAM의 공격을 받아 모든 파일이 암호화 되었습니다. 네트워크로 연결된 파일도 암호화 대상에 포함되어 있었습니다. 의료 분야 공격을 시작으로, SAMSAM은 교육 분야로 확대해갔습니다. 최근에는 JBOSS 서버의 취약점을 이용한 SAMSAM 및 기타 악성 코드 공격으로 수많은 서버와 시스템이 감염되었습니다. JBOSS는 JAVA를 기반으로 하는 오픈소스 애플리케이션입니다. ‘Destiny’ 소프트웨어를 사용하는 시스템과 서버 또한 공격을 받았습니다. CISCO의 보고에 따르면, 해당 소프트웨어는 전세계 초ㆍ중ㆍ고등학교에서 광범위하게 사용되고 있습니다. Follet은 Destiny 소프트웨어 사용자를 위한 패치를 이미 발표하여 배포하고 있습니다.

보고에 따르면, JexBoss 익스플로잇 툴은 시스템 원격관리를 위한 스크립트인 ‘웹쉘’을 설치하기 위해 사용됩니다. 감염된 서버는 백도어, 웹쉘, 그리고 SAMSAM에 감염됩니다. 이후 랜섬웨어는 패치 되지 않은 서버에 확산되어 encryptedRSA 파일 확장자를 추가하여 파일을 암호화합니다.


패칭의 도전과제

SAMSAM이 취약점을 악용하여 네트워크를 침투하는 위협 방식의 첫 번째가 아니지만, 이러한 위협의 급증은 기업과 기관들에 새로운 보안 위험을 더해주고 있습니다. 기밀 데이터와 중요도가 높은 데이터가 암호화되거나 잃어진다면 기업들은 큰 금액을 지불하여 복구할 수 밖에 없습니다. 물론, 범죄자들에게 돈을 지불하는 것이 데이터의 완벽한 복구를 의미하지 않기 때문에 이를 추천하지 않습니다.

바이러스의 감염 벡터와 네트워크 매핑 능력이 정교할지라도, 시스템과 서버를 최신으로 업데이트하고 패칭을 적용하는 것은 공격을 막는데 큰 역할을 합니다. 하지만, IT 관리자들은 일별 시스템 운용, 중요 서비스 업데이트 유지, 네트워크 보안 등과 같은 다양한 문제에 직면하고 있습니다. 기업 환경을 보호하며 사업 운용을 유지하는 균형을 맞추는 역할을 하고 있습니다. 소프트웨어 제조사가 제로데이 익스플로잇 또는 취약점을 보완하기 위해 패치를 배포하게 되면 IT 관리자들은 이를 기업의 시스템에 직접 적용하기 전에 먼저 테스트를 진행합니다. 백버너에 패칭을 할 경우, 미션 크리티컬 시스템과 서버의 재시작이 필요하기 때문에 기업의 업무와 생산성에 방해가 될 수 있기 때문입니다.

연구에 따라면, 일반 기업에서 패치를 완벽하게 적용하기까지는 평균 30일이 걸립니다. 이 기간동안 기업은 공격의 가능성에 노출됩니다. 취약점을 이용한 공격이나 위협이 발생한다면, 기업의 보안이나 데이터가 위험 상황에 놓이게 됩니다.


가상패칭의 필요성

앞서 말한 패치 관리 문제는 가상패칭으로 해결될 수 있습니다. 해당 솔루션은, 추가 운용비용이나 다운타임 없이 취약한 서버와 엔드포인트를 보호합니다. 제조사 패치가 배포되기 전까지 가상패치를 이용하여 취약점을 보호하는 것입니다. 또한 제로데이 취약점 및 무작위 공격으로부터 긴급 패치 일정을 효율적으로 관리할 수 있습니다. 추가로, 레거시 시스템과 애플리케이션을 익스플로잇이 가진 위험으로부터 보호합니다.

가상패칭을 이용하면, SAMSAM과 같이 취약점을 악용하여 돈을 탈취하려는 시도로부터 기관의 중요 데이터를 보호할 수 있습니다. 관련된 패치를 당장 적용하지 않더라도, 해당과 같은 크립토 랜섬웨어로부터 서버를 보호합니다. 크립토 랜섬웨어가 현재 널리 확산되고 있는 악명높은 사이버 위협이라는 점에서 이는 매우 중요한 시사점입니다.

트렌드마이크로의 Deep Security는 가상패칭 기능과 더불어 침입탐지 및 방지 기능을 탑재하고 있습니다. 익스플로잇과 멀웨어 페이로드로부터 기업과 기관을 보호하는 통합 보안 솔루션입니다. 취약점을 이용한 위협과 공격이 오늘날 IT 환경에 널리 퍼져있는 만큼, 가상 패칭은 백신 프로그램과 방화벽과 같은 기본 보안 솔루션이라고 할 수 있습니다.

트렌드마이크로 Deep Security와 취약점 보호는 다음 DPI룰의 JBOSS 취약점을 이용한 공격으로부터 보호합니다.

  • 1007532-JBoss Application Server Unauthenticated Remote Command Execution Vulnerability
  • 1004189 – RedHat JBoss Enterprise Application Platform JMX Console Authentication Bypass

또한, 트렌드마이크로의 엔드포인트 솔루션인 맥시멈 시큐리티와 같은 제품은 악성 파일을 감지하여 SAMSAM과 같은 크립토 랜섬웨어로부터 보호합니다.

티핑포인트 또한 고객에게 다음과 같은 필터를 제공하고 있습니다.

MainlineDV

  • 9825: HTTP: JBoss jmx-console Authentication Bypass
  • 10502: HTTP: JBoss jmx-console Deployer Command Execution
  • 11822: HTTP: JBoss jmx-console Deployer Remote Code Execution Vulnerability
  • 13438: HTTP: HP Application Lifecycle Management JBoss Invoker Servlets Marshalled Object (ZDI-13-229)
  • 13515: HTTP: Attempt to invoke JMXInvokerServlet or EJBInvokerServlet (ZDI-13-229)

ThreatDV

  • 23872: HTTP: Ransom:MSIL/Samas.A Download Attempt
  • 23873: SMB: Ransom:MSIL/Samas.A File Transfer Attempt
  • 24140: TCP: Ransom:MSIL/Samas.B Download Attempt

JBOSS 서버를 최신 버전으로 업그레이드 할 것을 권장립니다. 공격에 사용되는 취약점 중 이미 오래 전 패치가 배포된 취약점 (예를 들어, CVE-2010-0738 CVE-2007-1036)도 있습니다. 또한 내부 서버의 방화벽을 이용하여 접근을 제한하는 방안도 추천드립니다.


원문: A Lesson on Patching: The Rise of SAMSAM Crypto-Ransomware




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


SAMSAM 랜섬웨어의 등장으로 살펴보는 패칭의 중요성

https://www.trendmicro.co.kr/kr/blog/lesson-patching-rise-samsam-crypto-ransomware/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.08 12:52



게시일: 2016-03-25 l 작성자: Rhena Inocencio (Threat Response Engineert)


Attention! Attention! Attention!" (주의!주의!주의!)

"Your documents, photos, databases and other important files have been encrypted!"(당신의 문서, 사진, 데이터베이스와 기타 중요한 파일이 암호화 되었습니다!)

랜섬웨어에 의해 PC에서 중요한 파일 모두가 암호화 된 경우를 상상해보십시오. 잠시 후 '몸값'을 요구하는 메시지를 수신하고 거기에 몸값을 지불하기 전까지 암호화 된 파일은 해독되지 않는다고 써 있습니다.

"RANSOM_CERBER.A"가 나타나기 전에는 소리로 피해자에게 몸값지불을 재촉하는 랜섬웨어는 존재하지 않았습니다. 이 "RANSOM_CERBER.A"는 컴퓨터 합성 음성으로 메시지를 재생합니다.

암호화된 랜섬웨어는 일반적으로 몸값 지불 방법과 파일의 복구 방법에 대한 지침을 이미지로 표시합니다. 이 방법은 REVETON 변종이 떠오르게 합니다. 경찰을 가장한 랜섬웨어 REVETON도 사용자의 위치에 따른 언어로 "이야기"할 수 있는 악성 프로그램으로 알려져 있습니다.

트렌드마이크로의 조사에서는 CERBER는 영어만 사용합니다. 그러나 사용자가 익명 통신 시스템 "Tor"의 브라우저를 통해 링크를 클릭하면 언어 선택 페이지로 유도됩니다. 그 페이지에는 다양한 언어를 선택할 수 있도록 되어 있지만, 2016 년 3월 6일 시점에서는 영어만 볼 수 있습니다. CERBER를 조종하는 사이버 범죄자는 사용자에게 우선 1.24 비트 코인의 지불을 요구한 후 7 일 후에는 2.48 비트 코인까지 요구액을 인상합니다.

지불 요청 메시지의 샘플

그림 1 : 지불 요청 메시지의 샘플

언어 선택을 요청하는 페이지

그림 2 : 언어 선택을 요청하는 페이지

트렌드마이크로는 또한 CERBER의 구성 파일이 확장자 .json을 이용하고 있는 것을 확인했습니다. (이 파일 형식은 일반적으로 속성 값에 정의 된 데이터의 전송 및 저장시 사용되는 형식입니다. ) 구성 파일의 내용을 분석한 결과, 이 랜섬웨어는 매우 쉽게 사용자 정의가 가능하다는 것을 발견하였고 공격자가 블랙리스트 국가는 물론 협박문 등을 쉽게 변경할 수 있음을 확인하였습니다. 이는 CERBER가 금전 목적의 사이버 범죄자의 목적에 따라 설계된 것임을 나타냅니다.

CERBER의 Config 파일 코드

그림 3 : CERBER의 Config 파일 코드

CERBER의 Config 파일 코드

그림 4 : CERBER의 Config 파일 코드

트렌드마이크로의 클라우드형 보안 기반 "Trend Micro Smart Protection Network"에 따르면, Nuclear Exploit Kit 가 "Malvertisement (부정 광고)"을 이용하여 이 악성 프로그램을 유포하고 있는 것으로 확인됩니다. "Nuclear Exploit Kit"는 악명 높은 Angler Exploit Kit에 이어 오늘 가장 널리 이용되는 것 중 하나입니다.

현재 이러한 불법 광고를 호스팅하는 서버는 모든 액세스 할 수 없습니다. 보도에 따르면, CERBER는 러시아 지하시장에서 "Ransomware as a service (RaaS)", 즉 서비스로서의 랜섬웨어로 판매되고 있는 것 같습니다. 이는 위에서 기술한 Config 파일 코드에 대한 추측을 뒷받침뿐만 아니라 가까운 미래에 더 많은 CERBER의 출현을 예상할 수 있습니다.


■ 백업의 습관화

랜섬웨어 위협이 어떤 구조로 움직이는가를 아는 것은 사용자의 개인 정보나 기업의 기밀 정보를 보호하는 데 도움이 됩니다. 적어도 평소 정기적으로 중요한 파일을 백업해 두는 것이 좋습니다. 또한 중요한 점은 사이버 범죄자에 굴복하여 몸값을 지불해 버리면, 당신을 지불 능력이 있는 것으로 간주하여 다시 표적이 될 수도 있음을 명심해야 합니다. 그리고 랜섬웨어로부터 자신을 보호하기 위해 사용하는 PC를 항상 최신 상태로 유지하는 것도 중요합니다.


■ 트렌드마이크로의 대책

트렌드마이크로의 엔드 포인트 보안 제품 'Trend Micro Maximum Security' 는 이번 사례와 관련된 랜섬웨어의 변종을 탐지 및 삭제하며 악성 Web 사이트에 대한 액세스를 차단합니다.






본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


러시아의 지하시장에서 거래되는 말하는 랜섬웨어 'CERBER'

http://www.trendmicro.co.kr/kr/support/blog/four-steps-to-an-effective-targeted-attack-response/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.07 15:00




인터넷에서 파일을 다운받을 때 컴퓨터백신이 해당 파일을 바이러스로 판단하게 된다면 그 파일이 진짜로 바이러스 등 맬웨어일 수도 있고 아니면 정상적인 파일인데도 백신이 바이러스로 잘못 판단한 오인탐지(false positive)가 발생한 경우일 수도 있다. 이 때 해당 파일의 출처에서는 파일이 정상이므로 오인탐지 때문에 걱정할 필요가 없다고 주장할 수 있다. 그러나 이는 사이버공격자가 사용자를 안심시키려는 기만일 수도 있기 때문에 다운받은 파일이 진짜로 안전한지 확인할 수 있는 방법이 필요하다. 여기에서는 다운로드 파일의 신뢰성과 바이러스 오인탐지의 진위를 판단할 수 있는 몇몇 요령을 소개한다.

 

 

VirusTotal 통해 정보 수집

 

사실 다운받은 파일이 바이러스로 판정받을 때 안티바이러스 프로그램 하나만 가지고는 이를 섣불리 판단하기 어렵다. 그런데 만약 정상적인 파일을 악성으로 오인한 경우라면 다른 여러 안티바이러스 프로그램이 동일한 오류를 범할 가능성은 거의 없다. VirusTotal은 이에 착안하여 마련된 데이터베이스로 45종에 달하는 안티바이러스 프로그램을 통해 파일을 검사하여 여러 안티바이러스의 판단을 종합해 볼 수 있다. VirusTotal 웹사이트에서 의심되는 파일이나 URL을 입력하면 자동으로 다양한 안티바이러스 프로그램을 통한 검사가 진행되어 결과가 산출된다. 만약 안티바이러스 다수가 해당 파일에 문제가 있다는 결과를 내놓는다면 이는 옳은 판단일 가능성이 높으며 반대로 해당 파일을 악성으로 판단하는 안티바이러스가 많지 않다면 오인탐지일 가능서이 높다. 물론 이는 통계적으로 판단에 힘을 실어 주는 하나의 자료일 뿐 파일의 악성여부 판단을 보증하지는 못한다.

 

VirusTotal 웹사이트: https://www.virustotal.com/


 

 


다운로드 출처의 신뢰성 판단

 

다운로드 출처에 대한 평가도 중요하다. 만약 검색을 통해 어떤 프로그램을 다운받는데 제작사에 대해서는 전혀 알려진 정보가 없고 별도로 검색을 해도 나오는 내용이 별로 없다면 그 출처는 신뢰하기 어렵다. 또한 파일이 P2P 네트워크나 이메일을 통해 도달했다면 이는 맬웨어일 가능성이 높다. 예컨대 정상적인 은행이 고객에게 프로그램이 첨부된 이메일을 보내는 경우는 없다.

 

다운로드 페이지에 예를 들어 "안티바이러스 프로그램이 현재 이 파일이 악성이라고 판단하고 있으나 이는 오인탐지이므로 안심해도 무방하며 오인탐지 문제를 현재 해결 중이다."라는 식의 알림이 있을 수 있다. 이런 식의 경고는 해당 파일의 신뢰도를 높여주는 자료가 될 수 있으며 반대로 이러한 알림이 따로 없는데도 안티바이러스가 해당 파일을 악성으로 판단했다면 이는 실제 맬웨어일 가능성이 높아진다. 하지만 위와 같은 알림을 액면 그대로 받아들이지 말고 해당 출처의 제작사를 진짜로 신뢰할 수 있는지가 중요하다. 한편 그 제작사를 정말로 신뢰할 수 있다 해도 정상적인 웹사이트가 해킹됐거나 혹은 사용자를 기만하기 위한 가짜 웹사이트일 가능성도 없지 않다. 결국 다운로드 출처의 신뢰성도 다각적으로 변할 수 있는 부분이어서 하나의 판단자료일 뿐 절대적인 기준으로 삼기는 어렵다고 하겠다.

 

 

맬웨어 데이터베이스 확인

 

안티바이러스는 어떤 파일을 악성으로 판단할 때 구체적으로 어떤 유형의 맬웨어인지에 대한 정보를 제공한다. 이 유형정보를 검색하면 백신업체가 제작한 맬웨어 데이터베이스에 대한 링크로 연결될 수 있다. 여기에서 해당 파일이 구체적으로 어떤 맬웨어고 왜 차단됐는지 확인할 수 있다.

 

한편 실제로 정상적인 파일이라 해도 악의적 목적으로 악용돌 수 있다는 이유 때문에 맬웨어로 판정되어 차단되는 경우도 있다. 예를 들어 일부 안티바이러스는 VNC 서버 소프트웨어를 차단하게 되는데 이는 이 소프트웨어가 악의적으로 설치되어 사용자 컴퓨터에 원격으로 접속하는 수단으로 악용될 수 있기 때문이다. 물론 사용자가 VNC의 용도를 정확히 이해하고 이를 직접 설치하는 경우는 문제가 안 된다.


 

 



Chris Hoffman, How To Tell If a Virus Is Actually a False Positive, 1. 20. 2014.

http://www.howtogeek.com/180162/how-to-tell-if-a-virus-is-actually-a-false-positive/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.21 17:28

여기에서는 컴퓨터보안에서 중요한 비중을 차지하는 컴퓨터백신, 소프트웨어 업데이트현황, 브라우저 플러그인, 방화벽의 보안을 간략히 진단하는 요령을 소개한다. 이들 요령은 만능보안대책이 될 수 없고 피싱공격 방지를 보장할 수도 없지만 컴퓨터 보안의 주요 축을 빠르게 점검하는 방법으로 활용 가능하다는 점에서 의미가 있다.

 

 

안티바이러스 테스트

컴퓨터백신의 성능을 테스트하겠다고 해서 현재 사용하는 컴퓨터에 바이러스를 다운로드할 수는 없는 일이며 그럴 필요도 없다. 가상머신(virtual machine, VM)을 활용할 수도 있겠으나 이 방법은 다소 복잡할 수 있다. 안티바이러스 성능을 간단하게 확인하는 방법으로 EICAR 테스트파일이 있다.

EICAR 테스트파일은 실제 바이러스는 아니며 다만 도스(DOS)를 통해 실행시킬 때 "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"라는 텍스트를 표시하는 코드가 포함된 텍스트파일이다. 기본적으로 안티바이러스 프로그램은 EICAR 파일이 도스에서 작동할 경우 이를 인식하고 실제 바이러스처럼 처리하도록 설계돼 있으며 바로 이 때문에 EICAR 파일이 안티바이러스 성능확인용으로 수 있는 것이다. 물론 위 방법이 성공했다고 해서 해당 백신이 모든 신종위협을 차단한다고 보장할 수는 없다.

EICAR 파일을 가지고 실시간 검사기능을 테스트할 수도 있지만 다른 보안기능도 확인 가능하다. 예컨대 리눅스 메일서버에서 백신이 정상적으로 작동하는지 확인하고자 한다면 메일서버에 EICAR 파일을 첨부하여 전송한 다음 해당 메일이 백신을 통해 포착되어 격리되는지 확인하면 된다.

EICAR 웹사이트 http://www.eicar.org/86-0-Intended-use.html

EICAR 파일은 위에 표시된 웹사이트에서 다운로드할 수 있지만 사용자가 직접 작성할 수도 있다. 메모장(Notepad)과 같은 텍스트편집프로그램을 사용하여 다음 텍스트를 복사하여 파일에 붙여 넣고 저장하면 된다.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*


<참고: 랜섬웨어 차단 AVG 유료안티바이러스> 


 

방화벽 포트 검사

사용자가 라우터(router, 중계기) 하단에 위치한 경우에는 라우터의 네트워크주소변환(network address translation, NAT) 기능이 방화벽으로 작동하며 이를 통해 인터넷의 다른 컴퓨터들이 사용자 컴퓨터에 무분별하게 접근하는 것을 차단할 수 있다. 라우터를 거치지 않고 인터넷에 직접 연결된 경우에는 소프트웨어 방화벽이 컴퓨터와 인터넷을 분리시킨다. 이러한 라우터나 소프트웨어방화벽이 제대로 작동하는지를 웹에서 확인하는 방법으로 ShieldsUP! 테스트 웹사이트가 있다. ShieldsUp!은 접속자 IP주소에 대한 포트 스캔을 실행하여 포트의 개방여부 검사하게 된다. 취약성이 있는 서비스의 실행을 방지하기 위해 불필요한 포트를 폐쇄할 수 있으며 ShieldsUP!은 이렇게 포트를 폐쇄하려 할 때 참고자료를 제공하는 역할을 한다.

ShieldsUP! 웹사이트 https://www.grc.com/x/ne.dll?bh0bkyd2

 

 

브라우저 플러그인 확인

자바, 어도비 플래시, 어도비 PDF리더 등은 오늘날 사이버공격의 주요 경로로 악용되기 때문에 이러한 플러그인은 항상 최신 버전을 사용해야 한다. 모질라(Mozilla) Plugin Check 웹사이트를 통해 어떤 브라우저 플러그인이 깔려 있는지, 그리고 그 플러그인이 최신인지 쉽게 확인할 수 있다. 모질라에서 제공하는 서비스지만 모질라 브라우저인 파이어폭스 외에 크롬, 사파리, 오페라, 인터넷익스플로러도 지원한다. 플러그인이 구형인 경우 최신 버전으로 업데이트해야 한다. 자바 플러그인의 경우 제로데이 취약점에 끊임없이 노출된다는 면에서 위험하며 따라서 사용자 컴퓨터에 자바 플러그인이 깔려 있다면 당장 제거하거나 최소한 그 작동을 중지시켜야 한다.

모질라 Plugin Check https://www.mozilla.org/en-US/plugincheck/

 

 

취약 소프트웨어 검사

리눅스처럼 중앙 소프트웨어 보관소(central software repositories)가 존재하거나 또는 안드로이드, iOS, 윈도8 모던(Modern) 환경과 같이 앱스토어가 있는 운영체제의 경우 소프트웨어의 업데이트 여부 쉽게 확인할 수 있다. 하지만 윈도우 데스크탑의 경우는 자체적으로 모든 소프트웨어의 업데이트 현황을 한번에 조망하는 기능이 없기 때문에 별도로 업데이트를 확인하는 방법이 필요하다. Flexera(Secunia) 개인소프트웨어검사기(Personal Software Inspector, PSI)는 컴퓨터에 설치된 소프트웨어를 조사하여 구형의 취약한 소프트웨어 식별해 낼 수 있다. 윈도에서 구동하는 소프트웨어를 100% 식별할 수는 없으나 적어도 업데이트가 요구되는 소프트웨어를 찾아낼 수 있다는 점에서 유용하다.

Flexera(Secunia) PSI http://www.flexerasoftware.com/enterprise/products/software-vulnerability-management/personal-software-inspector/

 

 

 

Chris Hoffman, How to Test Your Antivirus, Firewall, Browser, and Software Security, 4. 9. 2013.

http://www.howtogeek.com/143263/how-to-test-your-antivirus-firewall-browser-and-software-security/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.17 13:34

위로가기