매크로에 해당하는글 6

근래 수많은 회사들을 공격한 랜섬웨어는 현존하는 중대한 위협이다. 랜섬웨어를 방지할 수 있는 가장 효과적인 방법은 바로 교육이며 이에 따라 본 인포그래픽은 기업에서 랜섬웨어 방지를 위해 따라야 할 실천수칙을 정리했다. 인포그래픽은 예방을 위한 대책 및 조언 외에 랜섬웨어가 실제 침투한 경우에 대비한 방안도 제시하고 있다.



- 인포그래픽 본문 -


랜섬웨어란 강력한 암호화키로 사용자 파일을 암호화시킨 다음 복호화의 대가로 돈을 요구하는 악성코드다. 랜섬웨어는 주로 이메일 첨부물이나 악성웹사이트 링크를 통해 배포되며 피해방지를 위해서는 예방이 최선책이다.


1.  주기적으로 데이터 백업: 주기적으로 백업이 된 상태라면 랜섬웨어에 감염된 파일을 신속히 되찾을 수 있다. 백업도 감염되는 사태를 방지하기 위해서는 해당 백업을 읽기전용으로 설정하고 오프라인 또는 클라우드로 백업을 격리시켜야 한다.


2. 주기적으로 소프트웨어 패치: 운영체제, 브라우저, 어플리케이션, 네트워크기기의 패치를 최신으로 유지한다면 악성코드에 대한 취약점을 줄이고 랜섬웨어의 일반적 감염경로를 차단할 수 있다.


3. 의심 트래픽 모니터링 및 차단: 침임 탐지⋅방지 시스템(IDS⋅IPS)을 통해 의심스러운 트래픽을 모니터링하고 필요한 경우 사용자에게 알리거나 지정된 조치를 즉각 실행하도록 할 수 있다. 의심 트래픽 차단을 통해 감염확산을 막고 데이터피해 확대를 방지할 수 있다.


4. 인터넷 다운로드파일 검사: 웹모니터링 솔루션을 통해 인터넷에서 다운받은 파일을 검사하고 사용자의 악성웹사이트 접근을 방지할 수 있다. 이 경우 피싱이메일이 필터링을 통과하고 사용자가 링크를 클릭하는 경우에도 악성웹사이트 접속이나 감염된 파일 다운로드를 차단할 수 있다.

<참고: GFI WebMonitor 웹모니터링솔루션>


5. 이메일첨부물 검사: 이메일보안 솔루션을 통해 첨부물을 검사하거나 특정한 파일유형에 해당하는 첨부물을 차단하고 여기에 안티바이러스 솔루션을 통한 엔드포인트 실시간 모니터링을 병행한다면 랜섬웨어를 더욱 효과적으로 방지할 수 있다.

<참고: GFI MailEssential 이메일보안솔루션>


6. 의심 실행파일 구동 차단: 윈도 소프트웨어제한정책(Windows Software Restriction Policy)이나 IPS 소프트웨어를 통해 '%userprofile%\AppData', '%ProgramData%', '%Temp%' 등 랜섬웨어가 사용한다고 알려진 폴더에서 실행파일이 구동되지 못하도록 할 수 있다.


7. "알려진 파일유형 확장자 숨김(Hide extensions for known file types)" 해제: 랜섬웨어는 잘 알려진 파일유형으로 위장을 시도한다. 악성파일이 PDF 문서로 위장할 경우 "’Invoice.pdf.exe"와 같은 이름을 사용하게 되는데 이 경우 파일확장자가 숨겨진다면 사용자 측에서 해당 파일을 식별해내기 어려워진다.


8. 마이크로소프트 오피스제품군 보안설정 강화: 최근 발견된 랜섬웨어들은 감염된 마이크로소프트 워드 문서를  통해 정상적인 인보이스로 위장한 다음 악성코드를 다운받아 구동시킨다. 그룹정책을 통해 마이크로소프트 오피스 어플리케이션의 매크로 작동을 차단함으로써 감염가능성을 줄일 수 있다.


9. 사용자권한 제한: 사용자가 필요한 만큼만 권한을 가지고 로그인하도록 하면 맬웨어 감염의 피해를 줄일 수 있고 랜섬웨어가 네트워크 전체로 번지는 사태를 방지할 수 있다.


10. 사용자교육 실시: 상당수 보안위협대책의 마지막 축은 사용자 측에 있다. 랜섬웨어는 부주의한 사용자가 요청한 바 없는 이메일 첨부물을 열거나 악성링크를 클릭하는 등 직접 감염된 파일을 다운받고 실행하는 행동을 하지 않기만 해도 랜섬웨어의 위협을 크게 줄일 수 있다.

  1. 전송자를 알지 못하는 경우 이메일첨부을 열거나 링크를 클릭하지 않도록 한다.

  2. 예정에 없는 이메일의 경우 도메인 철자오류나 제목 및/또는 본문 형식오류 여부를 확인한다.

  3. 의심 파일이나 이메일은 즉시 관계 인력이나 부서에 연락하도록 한다.





GFI Software, 10 ways to prevent ransomware headaches [infographic], 7. 21. 2016.

http://www.gfi.com/blog/wp-content/uploads/2016/07/GFI_Software_Ransomware_Infographic_final_1.jpg


번역: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.25 16:41



최근 발견된 랜섬웨어는 Troj/Ransom-DJC 일반적인 여타 랜섬웨어와는 확연히 다른 차이점이 있다. 위 그림과 같이 랜섬웨어에 의해 금전지불 웹페이지가 열렸을 때 돈을 내지 않고 제출(submit)을 클릭하면  웹페이지 왼쪽 하단의 메시지가 다음과 같이 변한다.




이 때 랜섬웨어가 작동한 이후 시스템에 보관된 중요 문서파일이 실제로 사라졌음을 볼 수 있다. 이는 파일을 암호화시키는 데서 그치지 않고 하나씩 삭제하기까지 하여 피해자에게서 기어이 돈을 받아내려는 수법이라고 볼 수 있다. 이 랜섬웨어가 요구하는 금액이 약 달러에 0.2BTC, 130 달러에 불과하여 랜섬웨어 금전요구의 일반적인 시세인 300~500달러에 훨씬 못 미친다는 점도 흥미롭다.




이제 이 신종 랜섬웨어를 극도로 태만하다는 의미를 가진 "boneidleware"이라고 부른다 .이 랜섬웨어는 파일을 암호화하지 않고 삭제시켜 버린다. 그렇기 때문에 돈을 지급하는 건 아무런 의미가 없다. 2012년 하반기 CryptoLocker 랜섬웨어가 등장한 이래 랜섬웨어는 적어도 돈을 지불하면 파일을 복구해준다는 일종의 불문율이 있었지만 boneidleware 이러한 틀마저 무시해 버린다. 이하에는 boneidleware에 국한되지 않는 랜섬웨어 전번에 대한 방지요령을 요약 소개한다.


• 자바스크립트 첨부물(확장자: .js)은 메모장(Notepad)으로 연다.

• 파일확장자 기만을 피하기 위해 파일확장자가 보이도록 설정한다.

• VBA 맬웨어를 방지하기 위해 인터넷에서 받은 문서파일에 대한 오피스 매크로 기능을 해제한다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>




Paul Ducklin, Ransomware that demands money and gives you back nothing!, 7. 13. 2016.

https://nakedsecurity.sophos.com/2016/07/13/ransomware-that-demands-money-and-gives-you-back-nothing/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.18 15:16

최근 수많은 오피스365 사용자들이 제로데이공격의 피해를 받은 사례가 보고됐으며 그 배후에는 올해 초에 발견된 Cerber 랜섬웨어의 신형 변종이 있었다. 최근 독버섯처럼 번지고 있는 다른 제로데이 위협과 마찬가지로 이 변종 랜섬웨어 역시 오피스 매크로의 취약점을 악용함으로써 감염을 실행한다여기에서는 역설계(reverse engineering) 기법과 ThreatTrack 최신 맬웨어분석 샌드박스 솔루션 ThreatAnalyzer 6.1을 통해 본 Cerber 랜섬웨어 변종을 분석한 결과를 소개한다.


<참고: ThreatAnalyzer 맬웨어분석 샌드박스>

 

 

분석과정

 

역설계 기법은 분석대상이 어떤 목적을 가지고 행동하는지에 대한 보다 종합적인 판단이 요구된다. 어떤 맬웨어 샘플을 분석하거나 혹은 난독화(obfuscate)된 코드에서 어떤 함수가 무슨 기능을 하는지 알아내려 할 때 상세한 내용을 조사하기에 앞서 분석대상이 풍기는 전반적인 분위기를 포착할 수 있어야 한다.

 

ThreatAnalyzer는 샌드박스 솔루션으로 프로그램, 파일, URL을 통제 및 감시되는 환경 내에서 실행하고 이에 대한 상세보고서를 생성하여 연구분석 인력이 해당 샘플의 정확한 행동양상을 판단할 수 있도록 돕는 역할을 한다. 샌드박스는 피해징후(indicator of compromise, IOC)를 빠르게 포착하기 위한 위협정보 생성에 적합한 솔루션이다ThreatAnalyzer 6.1ThreatTrack이 선보이는 최신 샌드박스로 행동탐지 메커니즘을 내장하여 대상 샘플의 전체적인 행동양상을 판단하고 이러한 행동양상을 토대로 해당 샘플이 악성인지 무해한지 예측할 수 있다.

 



위 그림을 보면 ThreatAnalyzer 6.1이 본 샘플에 대해 다음과 같은 중요 정보를 생성했음을 볼 수 있다.

 

1. 3개 항목에 따라 대상샘플을 악성으로 판단

(1) ThreatTrack 통합 위협정보 데이터베이스 ThreatIQ 관측결과 대상샘플이 차단된 URL에 접근 시도

(2) 1개 이상의 안티바이러스 엔진이 대상샘플을 감지

(3) 대상샘플의 행동양상 판단결과 악성일 가능성이 높음

2. 레지스트리 변경, 파일 입출력(IO), 네트워크 접근시도와 이에 따른 프로세스 내용을 분석가/사용자에게 제공

3. 분석결과 수집된 상세정보를 다운로드 가능한 PDF 또는 XML 형식 보고서로 생성. 사용자는 선택에 따라 상세보고서, 생성된 중요파일, 새롭게 열린 창에 대한 스크린샷, 네트워크 활동내역을 기록한 PCAP 파일 사본 등이 포함된 자료를 다운받을 수 있다.

 

ThreatAnalyzer는 사용자가 분석한 샘플에 대한 상세보고서를 XML, JSON, PDF 형식으로 제공한다. 여기에는 생성된 프로세스, 생성/변경/접근된 파일, 변경된 레지스트리, 생성된 오브젝트, 네트워크 접속내역 등의 내용이 포함된다.

 

본 샘플에 관련된 XML 파일을 상세히 살펴보면 다음과 같은 활동내역을 볼 수 있다.

WINWORD.EXE 프로세스 생성(분석과정에서 DOTM 파일을 주입했으므로 예상된 결과), 프로세스 트리를 보면 생성된 프로세스는 다음과 같다,/

exe

exe

임의의 이름이 지정된 VBS 파일을 %appdata% 디렉토리에 다음과 같이 생성 - %appdata%\15339.vbs

VBS 파일을 요청하는 cmd.exe 프로세스 생성

exe /V /C set “GSI=%APPDATA%\%RANDOM%.vbs” (for %i in (“DIm RWRL” “FuNCtioN GNbiPp(Pt5SZ1)” “EYnt=45” “GNbiPp=AsC(Pt5SZ1)” “Xn1=52” “eNd fuNCtiON” “SUb OjrYyD9()”

다음 URL에 대한 접속 시도

httx://solidaritedeproximite.org/mhtr.jpg

임의의 이름이 지정된 .TMP 파일을 %appdata% 디렉토리에 생성하고 실행 - 해시값: ee0828a4e4c195d97313bfc7d4b531f1

 

이상의 분석결과는 단순한 오피스 문서파일에 대한 분석결과임을 볼 때 대단히 수상한 행동양상에 해당하며 이를 정상이라고 판단하기는 어렵다그러므로 원래 아는 사람이나 기관이 보낸 첨부물이라 해도 조금이라도 의심이 되는 경우라면 본 시스템에 받기에 앞서 ThreatAnalyzer와 같은 샌드박스를 통해 실행시켜 보는 게 좋다.

 

 

역설계


 


본 랜섬웨어의 코드를 분석해 보면 오피스 365 외에 오피스 2007 이상 버전에서도 작동함을 알 수 있다. 악성 오피스 첨부물을 열 경우 Document_Open 함수 내부의 매크로가 자동 실행된다. 다만 이는 매크로가 허용된 경우, 혹은 이전 버전의 오피스에서는 보안수준이 낮음으로 설정된 경우에만 해당된다. 또한 Cerber 매크로 변종의 각 연산은 난독화돼 있는데 이는 분석과정을 지연시키고 기존 안티바이러스의 시그내쳐 탐지를 우회하려는 수법일 가능성이 높다.


 

자동 실행된 매크로는 %appdata%VBS 스크립트를 생성하게 된다. VBS 파일 또한 난독화 처리됐으나 암호화되진 않았다여기에서 행동탐지를 회피하려는 의도가 있을 수도 있고 없을 수도 있는 흥미로운 행동양상이 관측된다. 매크로는 Timer 함수를 통해 임의의 정수가 생성하고 이를 자체 생성한 변수와 비교하는데 이는 코드가 암호화 구성요소를 다운로드하는 시점을 결정하게 된다. 그리고 나서 VBS 내장 네트워크 기능을 통해 원격서버에 접속하여 다음 파일의 다운로드를 시도하게 된다. 위 파일은 단순한 JPG 파일이라서 무해해 보일 수도 있지만 위 VBS 코드를 보면 이 JPG 파일의 내용을 %appdata%.TMP 형식으로 저장하고 실행시킨다는 점을 알 수 있다. 이 수법은 사실 오래 전부터 다른 맬웨어가 이미 사용했던 구식 수법이라서 이목을 끈다.

 


다은로드된 구성요소의 MD5 해시값: ee0828a4e4c195d97313bfc7d4b531f1 


이 파일은 Cerber 랜섬웨어의 암호화 구성요소로 피해대상 시스템의 목표파일을 스캔 및 암호화한다. 이 구성요소에 대한 전체 분석결과는 별도의 글에서 다룬다. 흥미로운 점은 이렇게 다운로드된 Cerber 실행파일이 인터넷 연결이 끊어진 경우에도 파일 암호화를 실행한다는 데 있다. EXE 내부 코드를 보면 CrytoWall, Locky, Teslacrypt 등 다른 랜섬웨어와 달리 파일 암호화를 위해 원격서버에 접속하려는 시도를 하지 않는다는 점을 알 수 있다.

 

시스템 감염이 완료되면 바탕화면에 아래 그림과 같은 메시지가 표시된다.


 

그리고 웹브라우저를 통해 아래 그림과 같이 메시지가 표시된다.


 

그리고 로봇 음성을 통해 “your documents, photos, databases, and other important files have been encrypted” 라는 메시지를 재생하기도 한다.

 

 

감염과정 요약

1. 악성 오피스 첨부물을 포함한 스피어피싱 메일 도달

2. 사용자가 이메일을 열고 첨부물을 실행시켰을 때 오피스 매크로가 허용된 상태라면 매크로를 실행되어 별도의 VBS 스크립트가 생성됨

3. 스크립트가 원격서버에 접속하여 Cerber 랜섬웨어 암호화 구성요소를 다운받아 실행시킴

4. 사용자 파일을 스캔하고 암호화

5. 사용자 시스템이 Cerber에 감염됐다는 메시지 표시


 

 


ThreatTrack Security Labs, A Look at the Cerber Office 365 Ransomware, 7. 13. 2016.

https://blog.threattrack.com/closer-look-cerber-office-365-attack/

 

번역: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.15 15:44

Zepto는 최신 랜섬웨어 변종으로 유명한 로키(Locky) 랜섬웨어와 상당히 유사하며 특히 Zepto 랜섬웨어에 대한 합의금 지불 페이지로 들어가면 아래와 같은 메시지를 볼 수 있다. Zepto와 로키의 차이는 암호화시킨 파일의 확장자가 .locky가 아닌 .zepto가 된다는 데 있다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>


 


Zepto 감염과정

 

Zepto는 이메일에 zip 압축파일 또는 docm 문서파일로 첨부돼 피해자 컴퓨터에 도달한다.


 


zip 압축파일을 열면 .js(자바스크립트) 확장자를 가진 파일을 열게 된다. 문서처럼 보이는 파일의 형식이 자바스크립트라는 점이 다소 이상할 수 있지만 윈도 운영체제는 기본적으로 .js 확장자를 숨기고 해당 파일을 텍스트파일처럼 보이게 한다. 이 파일을 열먼 스크립트 프로그램이 실행되어 .exe 형식 랜섬웨어가 다운되고 실행된다. 한편 docm 파일을 열면 마이크로소프트 워드가 기본 실행된다.


 

한편 docm은 매크로문서(document with macros)의 약자를 딴 파일형식으로 VBA(Visual Basic for Applications, 어플리케이션 비주얼베이직)로 작성된 내부 스크립트를 포함하고 있다. VBA는 자바스크립트와 많은 부분에서 유사한 프로그래밍 언어며 맬웨어 배호 등 다양한 목적으로 활용될 수 있다. 오늘날 마이크로소프트 워드에서는 매크로가 기본적으로 실행되지 않지만 Zepto 랜섬웨어의 경우 옵션을 통한 보안설정 변경을 유도하기 위해 아래와 같이 매크로를 허용하여 보안을 향상해야 한다는 식의 메시지를 띄운다. 이 때 매크로를 허용하게 되면 자바스크립트 파일을 여는 경우와 마찬가지로 VBA 스크립트 실행을 통해 .exe 랜섬웨어가 다운로드된다최근 사례에서는 아래와 같이 빈 문서에 VBA 매크로가 숨겨진 경우도 발견됐다.


 

Zepto는 로키와 비슷하게 우선 공격자가 운영하는 웹서버와 통신하여 암호화키를 다운받는다. 암호화된 데이터파일은 조작되고 이름 또한 변경돼 다음과 같이 보이게 된다.

 

FA3D5195-3FE9-1DBC-E35E-89380D21F515.zepto

FA3D5195-3FE9-1DBC-7E8D-D6F39B86044A.zepto

FA3D5195-3FE9-1DBC-1683-7BF4FD77911D.zepto

FA3D5195-3FE9-1DBC-30B9-E2FF891CDB11.zepto

 

각 파일 이름의 전단 부분은 모든 파일에 대해 동일하며 피해자가 돈을 지불할 때 공격자 측에서 그 피해자를 식별하는 역할을 판다.

 

파일 암호화가 완료되면 Zepto는 지불방법(how to pay) 메시지를 띄워 돈을 지불하면 파일을 복구할 수 있음을 알린다. 이 메시지는 데스크탑 배경화면, 윈도 포토뷰어(Photo Viewer)로 열리는 이미지, 파일이 암호화된 디렉토리에 생성되는 HTML 페이지의 형태로 나타난다. 지불방법 메시지에 나오는 개인식별 ID는 암호화된 파일 이름 전단과 동일하다.


 


감염 대처요령

자바스크립트 첨부물을 파일탐색기(Explorer).js 파일을 메모장으로 열도록 한다.

조작된 파일확장자를 식별하려면 파일탐색기를 통해 파일확장자가 보이도록 한다.

VBA 랜섬웨어 방지하려면 오피스가 인터넷에서 다운받은 문서에서 매크로를 실행하지 않도록 설정

랜섬웨어 방지 참고자료(PDF 문서):

https://www.sophos.com/en-us/medialibrary/Gated%20Assets/white%20papers/sophosransomwareprotectionwpna.pdf?la=en

랜섬웨어 방지 참고자료(팟캐스트):

https://nakedsecurity.sophos.com/2014/11/25/sophos-techknow-dealing-with-ransomware/


 

 

Paul Ducklin, Is Zepto ransomware the new Locky?, 7. 5. 2016.

https://nakedsecurity.sophos.com/2016/07/05/is-zepto-ransomware-the-new-locky/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.08 13:20


파일유형에 따른 위험성

 

컴퓨터를 사용자들은 대체로 실행파일(.exe)가 위험할 수 있다는 사실은 알고 있지만 사실 윈도우 운영체제에는 실행파일 말고도 위험성을 안고 있는 파일확장자가 적지 않으며 심지어 화면보호기 파일도 위험할 수 있다.

 

웹에서 다운받았거나 이메일에 첨부된 파일이 열어도 안전한지 알기 위해서는 우선 어떤 파일확장자가 위험성을 가지고 있는지 알아야 한다. 위험성이 있는 파일을 취급해야 하는 경우라면 해당 파일을 안티바이러스 프로그램으로 검사하거나 VirusTotal과 같은 맬웨어 데이터베이스에 등록하는 등의 조치를 통해 바이러스 등 맬웨어가 아닌지 확실히 해야 한다.

 

파일확장자가 종류에 따라 위험성을 가지는 이유는 코드를 포함하거나 임의명령을 실행할 수 있기 때문이다. 위에서 언급한 .exe 파일은 윈도우 사용자계정제어(User Account Control)의 범위내에서 사실상 무엇이든 할 수 있기 때문이다. 반면 .jpeg 이미지나 .mp3 음원파일 등 미디어파일은 기본적으로 코드를 포함하지 않기 때문에 위험성이 없다(악성으로 조작된 이미지 등 미디어파일이 뷰어 어플리케이션의 취약점을 악용할 수 있었던 사례가 있지만 이런 경우는 극히 드물며 보완도 신속히 이루어진다).

 

프로그램

.EXE 프로그램 실행파일로 윈도우 운영체제에서 실행되는 어플리케이션은 대부분 .exe 파일이다.

.PIF MS-DOS 프로그램에 대한 프로그램 정보파일로 원래는 실행코드를 포함하지 않지만 만약 실행코드가 포함된 경우라면 윈도우에서 .exe와 동일하게 인식되어 실행될 수 있다.

.APPLICATION 마이크로소프트 ClickOnce 기능을 토대로 한 어플리케이션 인스톨러.

.GADGET 윈도우 비스타(Vista)부터 도입된 바탕화면 가젯(gadget) 기능을 작동시키는 가젯 파일.

.MSI 마이크로소프트 인스톨러 파일로 실행시 컴퓨터에 다른 어플리케이션을 설치한다. 참고로 .exe 또한 어플리케이션을 설치할 수 있다.

.MSP 윈도우 인스톨러 패치파일로 .MSI 파일로 설치된 어플리케이션에 대한 패치 용도로 사용된다.

.COM MS-DOS가 사용하는 프로그램 유형.

.SCR 윈도우 화면보호기로 실행코드를 포함할 수 있다.

.HTA HTML 어플리케이션으로 브라우저에서 실행되는 HTML 어플리케이션과 달리 샌드박스 투입 없이 신뢰되는 어플리케이션으로 실행된다.

.CPL 제어판(Control Panel) 파일로 윈도우 제어판에 있는 모든 유틸리티는 .CPL 파일이다.

.MSC 마이크로소프트 관리콘솔(Management Console) 파일로 그룹정책편집기 및 디스크관리툴과 같은 어플리케이션이 .MSC 파일이다.

.JAR 자바 실행코드를 포함하고 있는 파일로 자바 런타임이 설치된 경우 .JAR 파일이 프로그램으로 실행된다.




 

스크립트

.BAT 배치(batch) 파일로 본래 MS-DOS에서 사용되며 열게 되면 컴퓨터에서 실행되는 명령 목록을 포함하고 있다.

.CMD .BAT와 유사한 배치파일이지만 윈도우NT에서부터 도입됐다.

.VB, .VBS VBScript 파일로 실행시 VBScript 코드를 실행하게 된다.

.VBE 암호화된     VBScript 파일로 일반적인 VBScripty 파일과 유사하지만 실행시 어떤 결과가 나올지 예측하기 어렵다.

.JS 자바스크립트 파일로 주로 웹페이지에서 사용되며 웹브라우저에서 실행시 안전하다. 하지만 윈도우에서는 .JS 파일을 브라우저 외부에서 샌드박스 투입 없이 실행시키기 때문에 위험성이 있다.

.JSE 암호화된 자바스크립트 파일.

.WS, .WSF 윈도우 스크립트 파일

.WSC, .WSH 윈도우 스크립트 구성요소(Script Component) 및 윈도우 스크립트 호스트(Script Host) 파일로 윈도 스크립트 파일과 함께 사용된다.

.PS1, .PS1XML, .PS2, .PS2XML, .PSC1, .PSC2 윈도우 파워쉘(PowerShell) 스크립트로 파일 내에 지정된 순서대로 파워쉘 명령을 실행한다.

.MSH, .MSH1, .MSH2, .MSHXML, .MSH1XML, .MSH2XML 파워쉘의 전신인 모나드(Monad) 스크립트 파일.


 


바로가기

.SCF 윈도 탐색기(Explorer) 명령파일로 위험한 명령을 윈도 탐색기에 넘길 수 있다.

.LNK 컴퓨터에 깔린 프로그램에 대한 링크로 사용자에 대한 문의 없이 파일을 삭제하는 등의 위험한 행동을 실행할 수 있는 명령어 속성을 포함할 수 있다.

.INF AutoRun이 사용하는 텍스트파일로 실행시 동반하여 실행되는 어플리케이션이 위험할 수도 있으며 윈도우에 포함된 프로그램에 위험한 옵션을 전달할 수도 있다.

 

기타

.REG 윈도 레지스트리 파일로 실행시 추가하거나 삭제할 레지스트리 입력 목록이 들어 있다. 악성 .REG 파일은 레지스트리에서 중요한 정보를 제거하고 이를 불량 또는 악성 데이터로 대체해 버릴 수 있다.


 

오피스(Office) 매크로

.DOC, .XLS, .PPT 마이크로소프트 워드, 엑셀, 파워포인트 문서로 악성 매크로코드를 포함할 수 있다.

.DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM, .PPSM, .SLDM 오피스 2007부터 도입된 파일확장자로 확장자 끝의 M은 해당 문서가 매크로를 포함한다는 사실을 가리킨다. 예를 들어 .DOCX 파일은 매크로가 없는 반면 .DOCM 파일은 매크로를 포함할 수 있다.

 

 


Chris Hoffman, 50+ File Extensions That Are Potentially Dangerous on Windows, 2. 12. 2013.

http://www.howtogeek.com/137270/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.06.22 14:25

 

짐작할 수 있듯 랜섬웨어에 대해 가장 많은 질문은 바로 "이제 어쩌지?". 무엇을 할 수 있었는지 그리고 했어야 하는지에 대한 온갖 지식은 랜섬웨어에 감염되고 나서야 밀려온다. "매크로 설정"을 사용하라는 설명을 무시했을 수도 있고 문제의 이메일을 애초에 그냥 지워 버렸을 수도 있으며 최근에 할인행사를 하던 USB 백업드라이브를 구매했어야 한다는 식이다.

 

그러나 모든 파일이 암호화되고 공격자 측에서 이 소중한 파일을 복호화하는 키를 제공하는 대가로 비트코인 300달러어치를 요구하고 있는 최악의 상황이 닥치면 어떻게 해야 할까. 이 때 오프라인 백업도 없고 보존하려는 파일은 죄다 사용 불가능한 상태로 하드디스크에 갇혀 있는 상황이라고 가정한다. 이 경우 돈을 내지 않고도 파일을 복구할 수 있는가. IT 문제가 다 그렇듯 이에 대한 대답은 "경우에 따라 다르다"가 된다.

 

피해복구방법: 지름길

 

랜섬웨어 공격자는 프로그래밍 과정에서 종종 실수를 하게 되는데 이 경우 무료복구가 가능한 지름길이 생기게 된다. 예를 들어 최초의 랜섬웨어 공격이 발생했던 1989/1990년 사례를 보면 공격자가 파나마의 정해진 주소로 378달러의 은행수표를 보내도록 요구한 적이 있다. 그런데 이 공격자는 모든 컴퓨터에 적용되는 암호화키를 사용하는 간편한 방법을 택했으며 그 결과 AIDS Information Trojan이라는 이름의 해당 맬웨어를 해제할 수 있는 무료툴이 금방 등장하게 됐다. 최근 리눅스기반 랜섬웨어의 사례도 이와 유사한데 이 사례에서는 프로그래머가 공격대상이 되는 여러 서버에 대해 모두 다른 암호화키를 사용했으며 이는 동일한 파일 사본도 다르게 암호화되는 결과로 이어졌다. 하지만 이들은 유사난수생성(pseudo-random number generator, PRNG)이라고 알려진 알고리즘을 통해 암호화키를 생성했는데 이 알고리즘은 최초 암호화대상의 타임스탬프(시점기록, timestamp)를 통해 작동하는 방식을 취했다. 이렇게 보면 복호화키 또한 공격대상 측에서 만들어내는 게 가능했다.

 

일반적인 오프라인 백업 없이도 분리 디스크나 클라우드를 통해 암호화된 데이터의 전부 또는 일부를 복구할 수 있는 길도 있다. 예를 들어 윈도의 경우 파일의 숨은 사본을 만들 수 있는데 이는 일종의 온라인 백업으로 파일의 과거 버전을 간편하게 관리할 수 있는 수단이기도 하다. 숨은 사본은 이름이 지정된 볼륨스냅샷서비스(Volume Snapshot Service, VSS) 파일로 저장된다. VSS 파일은 일부 랜섬웨어에 대해 빠른 복구대책이 될 수 있으나 요즘은 대부분의 랜섬웨어가 데이터 암호화를 실행하기 전에 시스템명령 조작을 통해 VSS 파일을 삭제하기 때문에 이렇게 복구가 가능해지는 경우는 거의 없다.

 

결국 랜섬웨어 공격이 발생했을 경우 해당 맬웨어를 식별할 수 있다면 일단 돈을 지불하지 않고도 복구를 할 수 있는 지름길이 있을지에 대해 알아볼 필요는 있다. 하지만 솔직히 말하자면 "요즘은 그런 간편한 해결은 거의 불가능하기 때문에 최악의 상황을 예상해야 할 것이다."

 

피해복구방법: 돌아가는 길

 

정상적인 프로그램이 기존 파일을 수정할 경우 우선은 해당 파일의 사본을 생성한 다음에 그 사본을 수정하고 나서 원래 파일을 삭제하는 과정을 거친다. 이 원리를 활용한다면 프로그램이 파일을 처리하는 중에 작동 중단될 경우 해당 파일을 복구하는 데 도움을 받을 수 있다.

 

만약 공격자가 이러한 과정을 거쳐 파일을 암호화한다면 공격대상 운영체제의 일반적인 파일삭제 기능을 사용한다는 가정 하에 기존 파일 중 일부를 삭제하지 않는 경우가 있을 수도 있다. 이는 대부분의 운영체제가 삭제된 파일에 곧바로 덮어쓰지 않기 때문이다. 운영체제 대부분은 덮어쓰기에 소요되는 시간을 줄이기 위해 삭제된 기존 파일이 차지하던 디스크공간을 "재사용 가능"으로 표시하며 따라서 일정기간 동안은 삭제된 기존 파일의 복구가 가능한 경우가 많다.

 

하지만 파일삭제 누락은 복불복의 성격이 강하다. 이 방법을 제대로 거치려면 데이터포렌식 전문가를 동원하여 돈과 시간을 들여야 하며 이 경우에도 실망스러운 결과만 남을 수도 있다. 사실 포렌식 전문가의 고용은 살인사건 수사와 같이 아주 중요한 경우에나 있을 법한 일이다. 그리고 랜섬웨어 공격이 발생하고 나면 공격자가 요구하는 금액보다 데이터복구비용이 더욱 많이 나올 수도 있음을 염두에 둬야 한다.

 

물론 랜섬웨어 공격자 역시 피해자가 돈을 안 내고 파일을 복구하는 결과를 원치 않으며 따라서 코딩에 그렇게 심혈을 기울이지는 않는다. 랜섬웨어는 대체로 기존 파일에 그대로 덮어쓰며 이를 통해 기존 데이터가 남아 있을 여지를 최대한 없앤다. 그러나 이론적으로 생각한다면 기존 파일에 덮어쓴다고 해도 실제로는 기존 데이터가 있던 디스크 영역에 덮어쓰지 않는 경우일 수도 있다. 몇몇 운영체제와 일부 디스크의 경우 이른바 wear levelling이라고 하여 디스크 작성영역을 임의로 변경한다. 플래시메모리를 사용하는 고체(solid state) 디스크는 전자 수준에서서의 마모로 인해 성능이 저하될 수 있으며 따라서 동일한 메모리 셀에만 계속 작성할 경우 기기 수명이 줄어들 수 있다. 이를 완화하는 대책이 바로 wear levelling이다. 따라서 디스크영역 수준이나 심지어 디스크 펌웨어 수준으로 파고들어가서 논리적으로는 덮어씌워졌으나 물리적으로는 보존된 상태의 데이터를 찾아내는 방법은 기술적으로 분명 가능한 일이다.

 

그러나 다시 말하지만 이 방법은 자존심을 죽이고 공격자에게 돈을 지불하는 방법보다 훨씬 불확실하고 아주 많은 비용을 지출할 수도 있음을 상기해야 한다.

 

암호화 해제

 

랜섬웨어 공격을 무력화시킬 마지막 방법으로 공격자가 사용한 암호화 자체를 해제하는 방법이 있다. 앞서 언급했듯 랜섬웨어 공격자는 프로그래밍 과정에서 종종 실수를 저지르거나 약한 암호화를 사용하거나 혹은 강한 암호화라도 잘못 사용함에 따라 암호분석학적인 틈(backdoor)을 남겨놓는 경우가 있다. 물론 이들이 정상적으로 암호화를 적용했다면 이를 해제하는 건 사실상 불가능하며 그 이유는 다음과 같다.

 

CryptoWall이나 Locky와 같은 대부분의 랜섬웨어는 다음과 같은 수법으로 작동한다.

공격자가 운영하는 서버에 접속하여 공격대상 컴퓨터에 고유한 RSA 공개키를 다운로드

각 파일에 대한 임의의 AES 키를 생성하고 해당 파일을 암호화

해당 AES 키를 RSA 공개키로 암호화하고 공격대상 파일과 암호화된 복호화키를 함께 저장

 

위 내용이 단번에 이해가 안 된다고 염려할 필요는 없다. 이 수법은 RSA 암호화 알고리즘이 두 개의 키를 가지고 작동한다는 데 착안하고 있다. 공개키로 데이터를 암호화하기 때문에 오로지 개인키만이 해당 데이터를 복호화할 수 있다. 바꿔 말하자면 만약 공격자가 클라우드에서 RSA 공개-개인키 쌍을 각 컴퓨터별로 생성하고 공개키만 배포하게 된다면 피해자 파일을 암호화한 AES 키를 복호화하기 위해 필요한 고유의 개인키는 오로지 공격자만이 보유하게 된다.

 

그렇다면 RSA 공개키로 곧바로 암호화를 하지 않고 어째서 굳이 AES 키를 다시 사용하는가. 이는 RSA 키의 작동속도가 느리기 때문에 AES처럼 훨씬 빠른 알고리즘을 사용하는 임의의 키와 같은 소량의 데이터를 암호화할 경우에 적합하기 때문이다. 한편 파일마다 다른 키를 사용하는 이유는 무엇인가. 이는 모든 파일의 암호화가 다를 경우 컨텐츠가 동일하다 해도 하나의 파일에 사용된 복호화 단서를 다른 파일에 적용할 수 없기 때문이다.

 

이 말인즉 돈을 내지 않고 피해파일을 모두 복구하는 일은 다음과 같다.

RSA 공개-개인키 알고리즘을 해체하여 각 파일에 대한 AES 키 복구

각 파일에 대한 AES 암호화 알고리즘을 일일이 해체

 

이렇게 어렵고 불확실한 과정을 거치기보다는 차라리 그냥 돈을 지불하는 방법이 속이 편할 수도 있다.

 

최종 선택지

 

여기까지의 내용만을 본다면 그냥 돈을 지불하는 게 낫다는 식으로 보일 수도 있다. 하지만 돈을 지불할 경우 이는 범죄자를 먹여살리는 셈이 되기 때문에 돈을 지불하지 않는 길을 권고한다. 사실 랜섬웨어 공격을 당하고 나서 모든 파일을 없애고 처음부터 다시 시작한다는 결정을 내린다면 이는 "힘내라"는 말과 함께 격려를 받을 만한 결단이다. 이 글의 요지는 암호화된 파일이 정말로 필요하고 백업과 같은 예비대책을 전혀 세우지 않은 상태라면 돈을 지불하는 외에 달리 선택지는 없다는 데 있다.. 물론 이 글에서는 여전히 돈을 지불하지 않는 길이 낫다는 논지를 유지하나 각자의 결정을 존중할 수밖에 없는 일이다(데이터의 존폐가 경각에 걸린 상황에서 자존심을 세우기란 어렵다). 그런 상황이 오지 않는 게 가장 바람직하지만 비교적 타협의 여지가 없다는 식으로 설명한다면 경각심 측면에서 도움이 될 수 있다는 판단에 따라 글의 흐름이 위와 같이 전개됐다. 결국 "예방이 치료보다 낫다"는 말이다.

 

랜섬웨어 예방요령

 

주기적으로 백업하고 최신 백업사본을 격리하여 보관. 파일이 갑자기 사라질 수 있는 원인으로는 랜섬웨어 외에도 화재, 홍수, 절도, 기기고장, 실수에 의한 삭제 등 수많은 요인이 있을 수 있기 때문이다. 백업사본을 암호화한다면 백업기기가 탈취되는 경우에도 염려할 필요가 없다.

이메일로 수신된 문서 첨부물에 대한 매크로 적용 해제. 수많은 맬웨어는 문서첨부물을 통해 침입하며 사용자로 하여금 매크로(내장된 문서스크립트)를 설정하도록 유도한다. 그냥 안 하면 된다. 마이크로소프트의 경우 이미 수년 전 보안조치로 매크로 자동실행 해제를 기본설정으로 적용했다.

마이크로소프트 오피스 뷰어 설치. 뷰어 어플리케이션을 사용하면 워드나 엑셀을 직접 사용하지 않고도 문서파일을 살펴볼 수 있다. 특히 뷰어는 매크로를 전혀 지원하지 않기 때문에 실수로 매크로를 작동시킬 염려도 없다.

요청하지 않은 첨부물 주의. 문서파일을 통해 맬웨어를 보내는 공격자는 사용자가 확신할 수 있기 전에는 파일을 열어서는 안 되는 동시에 확신을 하려면 그 파일을 열 수밖에 없다는 딜레마를 악용한다. 의심의 여지가 있다면 그 파일은 그냥 버려야 한다.

필요 이상의 로그인 권한을 부여하지 말 것. 가장 중요한 부분은 바로 관리자권한 로그인상태를 필요 이상으로 방치하지 말아야 한다는 점이며 관리자권한을 보유한 상태에서는 브라우징, 문서 열기를 비롯한 "통상적 작업" 활동을 피해야 한다.

신속히 그리고 자주 패치 확인. 문서 매크로를 통해 침투하지 않는 맬웨어는 대체로 오피스, 웹브라우저, 플래시 등 인기 어플리케이션의 보안허점을 악용한다. 패치가 빠르게 이루어질수록 공격자가 악용할 수 있는 허점도 줄어들게 된다.


<참고: 랜섬웨어 차단 가능한 AVG 안티바이러스>

 

 

 

Paul Ducklin, Got Ransomware? What Are Your Options?, 3. 3. 2016.

https://nakedsecurity.sophos.com/2016/03/03/got-ransomware-what-are-your-options/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.04.26 14:46

위로가기