스팸에 해당하는글 6

ThreatTrack 연구진은 최근 Zepto 랜섬웨어 배포수단으로 윈도스크립트파일(WSF, windows scripting file) 압축파일을 첨부한 스팸이 다량 유포되는 현상을 포착했다. 이 수법은 기존에 흔히 쓰인 자바스크립트나 매크로문서 스팸에서 바뀐 것이다. 아래는 이러한 종류의 소셜엔지니어링(social engineering) 수법을 보여주는 실제 이메일이다.










ThreatAnalyzer 분석


위 스팸메일의 WSF를 추출하여 ThreatAnalyzer 맬웨어분석 샌드박스를 통해 분석한 결과는 다음과 같다.




WSF에서 문제되는 부분은 스크립트며 따라서 WScript.exe의 요청트리(call tree)가 판단의 주안점이 됐다.


변경된 파일의 수가 많다는 점은 해당 스크립트가 바이러스나 랜섬웨어일 가능성이 높음을 의미한다.


분석결과 두 장의 스크린샷이 잡혔다.



한편 MODIFED FILES 항목을 펼친 결과는 다음과 같다.




감염된 파일에는 .zepto라는 확장자가 붙게 된다. 위 스크린샷과 파일변경내용으로 볼 때 본 샘플은 Zepto 랜섬웨어의 변종이라고 할 수 있다.



WSF 스크립트 행동양상


C:\Windows\System32\WScript.exe (3388)를 선택하면 WSF 자체의 행동결과를 확인할 수 있다.

-



WSF는 우선 두 개의 파일(UL43Fok40ii, UL43Fok40ii.exe)을 생성하고 mercumaya.net에 대한 HTTP 접속을 개시했다.


아래는 UL43Fok40ii 바이너리 표시다.



아래는 UL43Fok40ii.exe로 PE 파일형식으로 돼 있다.



이들 두 파일을 비교해 보면 각각 용량이 208008바이트와 208004바이트로 그 차이가 4바이트에 불과한데 이를 통해 .exe 확장자가 없는 파일은 복호화를 거쳐 PE 실행파일로 만들어졌다는 추측이 가능하다.


이후 WSF스크립트가 전달인자(arguement) 321을 통해 PE 실행파일을 구동했다.





호스트 주소에 com.my라는 접미어가 들어간다는 사실로 볼 때 서버 위치는 말레이시아로 추정된다.


HTTP 헤더를 봐도 컨텐츠 용량이 208008바이트임을 볼 수 있으며 이는 앞서 본 암호화된 파일의 용량과 동일하다.

WScript.exe가 실행하 WSF 파일은 Windows PE 파일을 다운받아 복호화한 다음 실행시켰다.



다운로드 PE 실행파일


이제 UL43Fok40ii.exe에 대해 살펴본다. 아래 그림에서 판단할 수 있는정보는 다음과 같다.

•  우크라이나에 위치한 일부 정보 게시

•  수백 개의 파일에 접근

•  기본브라우저 실행(본 분석의 경우 크롬)

•  cmd.exe가 포함된 파일 삭제

•  공유폴더 접속

•  파일이 암호화된 모든 폴더에 대해 _HELP_instructions.html 안내문을 생성

•  쓰레드 10개 생성





우크라이나 사이트에 게시된 데이터는 암호화돼있는데 파일 암호화에 필요한  id와 키를 포함하고 있다 추정된다.



ThreatAnayzer 분석결과를 통해 1차(raw) 데이터는 16진법 표시로 볼 수 있다. 1차 데이터를 부분적으로 변환한 결과는 다음과 같다.



아울러 여러 파일의 이름이 변경됐다. 파일이 암호화되는 과정에서 GUID filename을 통해 암호화된 파일 명칭의 접미부분에 .zepto를 붙게 된다.



파일검색을 보면 드라이브 루트 디렉토리로 들어가기에 앞서 연락처 파일를 먼저 노리게 된다.



아래는_HELP_instructions.bmp 파일의 컨텐츠를 보여주는 스크린샷이다.



본 맬웨어 샘플은 구동 중인 실행파일을 Temp 폴더의 파일로 옮기려 한다.



기본브라우저로 설정된 크롬을 통해 바탕화면에 생성된 _HELP_instructions.html이 열린다.

또한 Temp 폴더의 맬웨어 사본이 삭제되는데 이는 사후정리 과정의 하나로 생각된다.


_HELP_instructions.html을 브라우저에서 열면 아래와 같이 나타난다.



Chrome.exe 하부의 프로세스요청트리는 Zepto 악성코드와는 별개로 브라우저에 의해서만 개시됐을 가능성이 높다.




랜섬웨어 방지


오늘날  Zepto와 같은 랜섬웨어의 배후세력은 기업과 정부기관을 침투하기 위해 다양한 방법을 공격적으로 모색하고 있으며 본 사례는 랜섬웨어에 흔히 쓰이는 자바스크립트나 오피스 매크로에서 벗어나 WSF 첨부물을 필터링하지 않는 이메일 게이트웨이 통과를 시도했던 경우에 해당한다.


랜섬웨어와 같은 정교한 위협의 피해를 막기 위해서는 VIPRE Endpoint Security와 같은 지능형 엔드포인트 보안솔루션, ThreatAnalyzer와 같은 맬웨어행동분석툴, ThreatSecure와 같은 사이버공격 방어솔루션 등의 솔루션이 필요하며 중요 데이터를 주기적으로 백업해야 한다.


<참고: ThreatAnalyzer 맬웨어분석 샌드박스> 


<참고: VIPRE 엔드포인트 보안솔루션> 





ThreatTrack Security Labs, Zepto Ransomware Packed into WSF Spam, 7. 25. 2016.

https://blog.threattrack.com/ransomware-packed-into-wsf-spam/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.27 14:39



게시일: 2016-07-05 l 작성자: Trend Micro

2016년 상반기는 ‘랜섬웨어의 대활약’ 이라고 요약할 수 있습니다. 온라인 뱅킹 해킹도구 등과 같은 기타 사이버 범죄와 달리, 랜섬웨어는 고급 기술을 보유하고 있지 않아도 쉽게 돈을 벌 수 있는 멀웨어입니다. 따라서 2014년과 2015년 확인된 랜섬웨어가 총 49개였던 것과 비교하여 2016년 6월 말 현재, 이미 50개 이상의 새로운 랜섬웨어 그룹이 확인되고 있습니다.

랜섬웨어의 암호화 기술 뒤에 숨겨진 전략을 살펴보는 것 이외에, 침입 전략을 살펴보는 것 또한 중요합니다. 랜섬웨어의 전형적인 침입 전략은 (1) 스팸메일, (2) 변조된 웹사이트 또는 익스플로잇 킷이 포함된 악성 웹사이트 입니다. 위 두 가지 방법은 간단하지만 매우 효과적입니다.

트렌드마이크로에서는 대다수의 랜섬웨어가 네트워크 진입로에서 웹사이트 및 이메일 필터링을 통해 차단될 수 있다는 것을 분석하였습니다. 실제 2016년 1월부터 5월까지 당사에서는 6,600만 이상의 랜섬웨어 관련 스팸메일 및 악성 웹사이트를 차단했습니다. 따라서, 본 게시글에서는 랜섬웨어의 침입 전략과 그 대응법에 대해 확인해보고자 합니다.


침입 전략 1 : 스팸메일

스팸메일을 통한 랜섬웨어 유포 전략과 스팸 필터링 우회 기술에 대해 살펴보고자 합니다. 일반적으로 랜섬웨어 유포에 이용되는 스팸메일은 매크로(macro), 자바스크립트(Javascript) 등의 실행형 첨부파일이 포함되어 있으며, 이러한 첨부파일은 랜섬웨어 본체를 다운로드 하는 역할을 합니다.

예를 들어, 랜섬웨어 CRYLOCK / CRILOCK / CRITOLOCK (CryptoLocker) 는 이메일에 악성 파일을 첨부하며(대부분의 경우 ‘UPATRE’의 변종), 실행 시 ZBOT(ZeuS)를 다운로드하는 역할을 합니다. 이 멀웨어는 사용자의 PC에 CryptoLocker를 다운로드하여 실행합니다.

하지만, 공격은 여기서 멈추지 않습니다. 일부 랜섬웨어는 매크로 공격 방식을 추가하여, 샌드박스 기술을 우회합니다. 사용자가 악성 문서파일에 내포된 매크로 실행을 선택하도록 유도하기 위해, 사용자를 속이기 위한 사회 공학기법이 중요한 역할을 합니다.

Locky 랜섬웨어는 악성 매크로 첨부파일을 이용하는 대표적인 예입니다. 매크로에 존재하는 폼 개체(Form Object)를 이용하여 악성코드를 은폐합니다. 해당 랜섬웨어는 2015년 2월에 미국 캘리포니아 할리우드 장로 병원(Hollywood Presbyterian Medical Center) 를 공격한 바 있습니다. 2016년 5월 말부터 6월 초 모습을 감춘 Locky 랜섬웨어는 최근 활동을 재개하고 있는 것으로 확인되었습니다.

그림1. Locky 랜섬웨어를 유포하는 스팸메일


또한 당사에서는 XORBAT, ZIPPY, CRYPTESLA (TeslaCrypt) 4.0버전, CRYPTWALL (CryptoWall) 3.0버전, LOCKY 변종 등을 자동으로 다운로드 하는 자바스크립트 첨부파일 사례도 확인하였습니다. 사이버 범죄자는 Locky,CERBER와 같은 랜섬웨어를 확산하기 위해 VBScript와 같은 스크립팅 언어도 이용하고 있습니다. 스크립트 언어를 첨부 파일로 사용할 경우, 탐지가 불가능하게 되는 경우가 있기 때문입니다.

그림 2. CryptoWall 3.0 자바스크립트 파일


이메일 제목

랜섬웨어를 유포하는 이메일의 제목은 굉장히 평범합니다. 당사에서 확인한 이메일 제목은 ‘이력서’, ‘청구서’, ‘배송 정보’, ‘계정 동결’ 등이었으며, 해당 메일은 공식 기관의 이메일을 표방하여 제작되었습니다.

그림 3. TorrentLocker 유포 메일

그림 4. TorrentLocker 스팸메일의 예

호주와 유럽에서 유행한 CRYPTLOCK (TorrentLocker)의 스팸메일 활동은 주목할 만 합니다. 전형적인 영어 제목이 아닌, 특정 국가의 언어와 기관 이름을 사용합니다. 예를 들어, 호주를 대상으로 하는 경우 호주연방경찰과 호주우편공사 등 현지 기관의 메일로 위장합니다.

이러한 랜섬웨어의 스팸메일 캠페인에서 주목할 것은, 무작위로 전송하는 것이 아닌 특정 언어의 이메일을 해당 지역 사용자에게만 발송한다는 것입니다. 예를 들어, 이탈리아어로 된 스팸메일은 이탈리아의 사용자에게만 전송되었습니다.


메일 발송 타이밍

사이버 범죄자는 조직이나 기업에 스팸메일을 보낼 때 효과적인 타이밍을 노립니다. 예를 들어, CryptoWall은 사용자의 사서함에 오전 5시~9시(동부표준시) 사이에 도착하며, TorrentLocker는 대상 국가의 업무시간에 맞추어 주중 오후 1시~오후 7시경 발송됩니다. 또한, 한번에 다량의 스팸메일을 보내는 것이 아닌, 시간 별 발송량을 조절하여 최대의 효과를 노립니다. 따라서, 기존 스팸메일 탐지 방법으로 검출되지 않는 것입니다.


침입 전략 #2: 악성 웹사이트

랜섬웨어는 악성 URL 또는 변조된 웹사이트에 숨어 활동하기도 합니다. 웹 서버를 공격하여 사용자를 악성 웹사이트로 유도하는 경우도 있습니다. 웹사이트 변조는 웹 차단 기술을 우회하는 효과적인 방법입니다.

일례로, 2015년 12월 사이버 범죄자는 영국의 주요 신문사인 The Independent 의 블로그를 변조하여 TeslaCrypt 2.0을 확산시켰습니다. 문제의 블로그에 접속한 모든 사용자들은 여러 웹페이지를 거쳐 앵글러 익스플로잇 킷(Angler Exploit Kit)를 호스팅하는 사이트로 연결되었습니다. 만일 사용자의 PC가 특정 어도비 플래시 플레이어 취약점(CVE-2015-7645)을 가지고 있는 경우, 곧바로 랜섬웨어가 감염되었습니다.

웹사이트를 해킹하는 것 이외에도 사이버 범죄자들은 악성 파일을 호스트하기 위해 다양한 정식 서비스를 이용합니다. PETYA 랜섬웨어는 클라우드 스토리지 서비스인 Dropbox를 이용하여 랜섬웨어를 유포하였습니다. 구직 메일로 위장한 스팸메일을 전송하여, 첨부된 문서를 클릭하면 Dropbox에 저장된 악성 프로그램이 다운로드되어 랜섬웨어가 감염되는 것입니다.


웹 차단 우회 방법

TorrentLocker는 랜딩 페이지와 드라이브 바이 다운로드에 의한 악성 파일 다운로드와 같은 탐지 및 차단을 우회하기 위해 CAPTCHA 코드의 인증 시스템을 사용하였습니다. 이 외에도 DNS 레코드에 대한 TTL(Time to Live)를 단기간으로 설정하여, 도메인이 약 1시간 정도의 짧은 시간 동안에 활성화되기 때문에, 관련 URL 차단과 추적이 어렵습니다.


익스플로잇 킷에 의한 확산

악성 광고를 통한 익스플로잇 킷에 의한 랜섬웨어 확산도 발견되고 있습니다. 취약점 업데이트가 미비한 PC가 악성 광고를 통해 악성 웹사이트를 접속한 경우 랜섬웨어 또는 기타 악성 프로그램에 감염될 수 있습니다.

하단의 표는 다양한 익스플로잇 킷에 의해 확산되는 랜섬웨어 그룹의 목록입니다.

익스플로잇 키트확산되는 랜섬웨어 (2015)확산되는 랜섬웨어 (2016)
Angler Exploit KitCryptoWall, TeslaCrypt, CryptoLockerCryptoWall, TeslaCrypt, CryptoLocker, CryptXXX
Neutrino Exploit KitCryptoWall, TeslaCryptCryptoWall, TeslaCrypt, Cerber, CryptXXX
Magnitude Exploit KitCryptoWallCryptoWall, Cerber
Rig Exploit KitCryptoWall, TeslaCryptRansom_GOOPIC
Nuclear Exploit KitCryptoWall, TeslaCrypt, CTB-Locker, TroldeshTeslaCrypt, Locky
Sundown Exploit KitCryptoShocker
Hunter Exploit KitLocky
Fiesta Exploit KitTeslaCrypt

 

앵글러 익스플로잇 킷은 TeslaCrypt를 유포하기 위해 사용되었지만, TeslaCrypt 개발자가 2015년 4월 활동을 중지한 뒤에는 CryptXXX의 확산에 이용되었습니다.

사이버 범죄자들은 또 다른 익스플로잇 킷인 뉴트리노(Neutrino EK), 리그(Rig EK)등을 이용하고 있습니다. CryptXXX를 유포하는 뉴트리노와 Locky를 유포하는 뉴클리어(Nuclear EK)가 각각 확산 중에 있습니다.

운영 체제를 최신 상태로 유지하는 것은 익스플로잇 킷 및 부정 광고를 통한 악성 프로그램 다운로드 방지를 위한 보호 조치입니다. 웹 검증 및 취약점 대책을 이용하여 악성 URL을 차단하는 것은 효과적인 보안 조치입니다.


트렌드마이크로의 대책

랜섬웨어에 의한 피해를 방지하지 위해 네트워크 진입로를 보호하는 것은 매우 중요합니다. 랜섬웨어가 엔드포인트까지 침투할 경우, 파일 또는 시스템 복구가 어렵습니다. 네트워크로 연결된 PC 또는 서버까지 감염이 확산될 경우, 복구는 더욱 어려워집니다. 이러한 랜섬웨어의 특성을 고려하였을 때, 기존 보안 대책으로는 충분하지 않습니다. 기업을 위한 다층 보안 설계를 권장합니다.

트렌드마이크로의 Deep Discovery Email Inspector는 이메일로 들어오는 랜섬웨어가 사용자에게 도달하지 못하도록 방어합니다. 오피스스캔은 동작 모니터링, 애플리케이션 관리, 취약점 보호 등의 기능을 통해 엔드포인트를 보호합니다. Deep Discovery Inspector는 네트워크 상에서 랜섬웨어를 감지하며, Deep Security는 물리적, 가상, 클라우드 서버를 보호하는 역할을 합니다.

중소기업용 Worry-Free 비즈니스 시큐리티는 클라우드 기반 이메일 게이트웨이 보안인 이메일 보안 호스팅을 제공합니다. 또한 동작 모니터링, 실시간 웹 검증을 통해 엔드포인트에 도달하는 랜섬웨어를 탐지하고 차단합니다. 개인용 클라이언트 종합 보안 제품 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

최근 트렌드마이크로에서 발표한 무료 툴인 트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거합니다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구 입니다.

원문: Why Ransomware Works: Arrival Tactics




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


랜섬웨어가 ‘먹히는’ 이유 제2탄: 침투 전략

https://www.trendmicro.co.kr/kr/blog/ransomware-arrival-methods/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.27 13:46


 



소셜엔지니어링(social engineering)이란 사람을 속이거나 어떤 행동을 유도하여 그 사람의 금전이나 정보를 훔치는 수법을 의미한다. 이 수법에는 전화, 메일, 우편, 직접적인 만남 등 다양한 수단과 방법이 사용된다. 소셜엔지니어링 공격은 기존 사이버공격과 같은 결과를 야기한다. 사이버범죄자는 피해자의 기밀정보를 알아내는 데 사용될 수 있는 개인정보를 자신에게 제공하도록 유도한다. 이들은 목적은 피해자의 금전, 물품, 중요정보, 사진 등 개인데이터를 탈취하는 데 있으며 피해자의 컴퓨터나 전화를 사용하려는 경우도 있다. 이들은 개인정보 탈취에 아무런 거리낌이 없다는 점에서 더욱 위험하다. 이러한 공격을 방지하려면 단지 안티바이러스 등 솔루션에 의존하기만 해서는 부족하고 우선 그 수법을 이해해야 한다. 온라인 소셜엔지니어링의 주된 방식에는 피싱(phishing)과 스피어피싱(spear-phishing)이 있다.

 

 

피싱이메일

피싱이메일은 데이터침탈과 사이버공격의 1순위 원인이 되는 위협이며 이 수법이 이토록 잘 통하는 이유는 범죄자들이 스팸메일이 정상적인 메일처럼 보이도록 하는 방법을 터득했기 때문이다. 미국 국토안보부 산하 컴퓨터긴급대응팀(United States Computer Emergency Readiness Team, US-CERT)은 피싱이메일이 사용자로 하여금 정상적이라고 위장된 가짜 웹사이트로 이동하는 링크를 클릭하도록 유도한다고 설명한다.

US-CERT 원문: https://www.us-cert.gov/ncas/tips/ST04-014

 

공격자는 종종 공격 당시의 사건이나 혹은 연중 특정시기를 활용하기도 하며 그 예시는 다음과 같다.

자연재해

전염병 등 보건이슈

경제이슈

주요정치일정

휴무일

 

 

스피어피싱

피싱 중에서도 대세를 이루는 공격방식으로 특정 표적을 지정하며 고도로 지능적인 기만수법이다. 스피어피싱은 수천의 이메일을 무작위로 뿌려 몇몇 피해자의 발생을 기대하기보다는 직장동료, 멤버십, 대학동기 등 어떤 공통점을 보유한 특정 인원을 목표로 삼는다.

 

스피어피싱은 대체로 공격대상에 대한 내부정보를 먼저 확보함으로써 그들에게 정상적으로 보일만한 이메일을 제작하는 과정을 거친다. 가장 직접적인 방법으로는 공격대상의 컴퓨터나 혹은 그 회사의 컴퓨터 네트워크에 대한 해킹이 있으며 물론 이 과정은 상당히 어렵다. 이 경우 보안대책이 강력할수록 이러한 해킹을 막을 가능성이 높아지며 따라서 지능형 이메일필터링과 우수한 안티바이러스가 스피어피싱 방지에 큰 도움이 된다. 이들은 해킹에 돌입하기에 앞서 다양한 웹사이트, 블로그, 소셜네트워크 등을 검색하여 필요한 정보를 확보한다.

 

오늘날 사회는 관계 중심으로 발전함에 따라 인해 사람, 뉴스, 장소 사이의 연결이 그 어느 때보다 심화되고 있다. 사용자는 손가락만 까닥하여 온 세상과 접촉할 수 있다. 이는 곧 전례 없이 많은 정보의 공유를 의미하며 이에 따라 의도치 않게 정보를 유출하고 해커들이 이를 조합하여 사기수법과 공격에 활용하게 되는 결과를 불러일으킬 수 있다. 피싱 및 스피어피싱 메일은 대체로 비밀번호, 계좌번호, 사용자 ID, 접속코드, PIN 번호 등 개인정보를 제공해야 하는 이유를 아주 그럴듯하게 설명한다. 이들은 가짜 웹사이트에 대한 클릭을 유도하는 방법을 즐겨 사용한다.

 

이러한 수법을 물론 잘 이해하는 것도 중요하지만 피싱 이메일이 도달하기 전에 막는 솔루션을 사용할 수도 있다. 우선 가장 중요한 툴은 안티바이러스로 여기에는 대체로 불필요한 이메일과 악성 URL을 방지할 수 있는 스팸필터링 기능, 보안상 위험한 웹사이트에 대한 접속을 막을 수 있는 악성웹사이트 차단기능 등이 포함도 있다. 그 외에 사이버공격을 막을 수 있는 안타비아러스 기능으로는 아래 링크 참고.

 

소셜엔지니어링 방지요령

 

US-CERT는 소셜엔지니어링 사기수법을 방지하기 위한 몇몇 요령을 제시하며 그 내용은 다음과 같다.

요청하지 않은 개인에 의한 전화, 방문, 이메일을 통해 직원 등 내부정보를 문의하는 경우를 조심한다. 신원불상 개인이 정상적인 기관에 소속됐다고 주장하는 경우 해당 기관에 직접 문의하여 그 개인의 신원 확인 시도한다.

개인정보 그리고 네트워크구조 등 회사정보는 상대방이 해당 정보를 보유할 권한이 있음이 명백한 경우가 아닌 이상 제공하지 않는다.

이메일에 개인정보나 금융정보를 밝히지 않고 이러한 정보를 요청하는 이메일에 응하지 않는다. 이는 이메일에 담긴 링크에 대해서도 동일하다.

웹사이트 보안이 확인되기 전에는 인터넷으로 기밀정보를 제공하지 않는다.

웹사이트 URL에 주의한다. 악성웹사이트는 정상적인 웹사이트와 똑같아 보일 수 있으나 URL에 다른 철자나 도메인이 들어갔을 수 있다(ex: .com - .net).

이메일에 의한 정보요청이 정상적인지 불확실한 경우에는 해당 회사에 직접 문의하여 이를 확인하도록 한다. 해당 요청에 제시된 웹사이트가 제공하는 연락처는 사용하지 않으며 그 연락처에 대해서는 예전에 밝혀진 내용을 확인한다. 피싱차단그룹(Anti-Phishing Working Group) 등 온라인 그룹을 통해 알려진 피싱공격에 대한 정보를 확인할 수도 있다.

이메일클라이언트와 웹브라우저의 피싱차단기능을 활용한다.

안티바이러스 소프트웨어, 방화벽, 이메일필터링을 사용하여 악성트래픽 유입을 감소시킨다.

 

사이버범죄자들은 다른 사람의 컴퓨터에 침입하기 위해 온갖 수법을 동원하므로 항상 주의하는 자세를 가지고 특히 이메일을 조심해야 한다.

 



VIPRE Security News, Social Engineering 101: Everything You Should Know, 6. 30. 2016.

https://blog.vipreantivirus.com/tech-talk/social-engineering-anyway/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.05 17:10



 

요즘 랜섬웨어에 대한 관심이 뜨겁다. 수많은 미국 병원들이 랜섬웨어 공격을 받아 데이터를 상실하고 업무에 큰 방해를 받게 되어 언론에 보도되고 있는 상황이다. Hollywood Presbyterian Medical CenterCEO는 인터뷰를 통해 "시스템을 복구하기 위해 가장 빠르고 효율적인 방법은 바로 공격자의 요구대로 돈을 내는 것이었다."고 실토하기도 했다(비트코인으로 17천 달러).

랜섬웨어는 보통 이메일이나 웹사이트를 통해 퍼지는 악성코드로 강력한 암호화키(: 2048비트 RSA)를 통해 대량의 데이터를 암호화해 버린다. 그러고 나면 해당 데이터를 복호화하는 대가로 돈을 요구하게 된다. 여기에서는 랜섬웨어 공격을 방지하기 위한 10가지 요령을 소개한다.

 

1. 주기적으로 백업

데이터의 주기적 백업은 암호화된 파일을 복구할 수 있느 가장 빠른 방법이다. 백업도 감염되는 사태를 막기 위해서는 백업을 안전한 오프라인 공간(또는 클라우드솔루션)에 분리 보관해야 하며 읽기 전용으로만 설정해야 한다. 주기적으로 데이터무결성을 확인하여 백업데이터가 안전한지 확실히 할 필요도 있다.

주의: 백업대책의 복구과정을 실제로 시범한 적이 없다면 그 백업대책은 아무런 의미가 없다. 복구 불가능한 백업은 할 이유는 없기 때문이다.

 

2. 이메일보안솔루션을 통해 이메일첨부물 검사 및 차단

이메일첨부물을 검사하거나 특정 이메일첨부물 유형이 메일수신함에 도달하기 전에 차단하는 이메일보안솔루션은 랜섬웨어 피해를 방지할 수 있는 훌륭한 방법이다. 여기에 더해 '실시간보호''실행시 검사'와 같은 기능을 갖춘 안티바이러스를 통해 백그라운드 의심활동을 모니터링할 수 있으며 사용자가 악성파일을 클릭하는 즉시 대응조치가 이루어질 수 있다.

 

3. 특정 사용자프로필 폴더에서 실행되는 실행파일(exe) 차단

엔드포인트에서 윈도 소프트웨어 제한정책(Software Restriction Policy)이나 침임방지 소프트웨어를 사용할 경우 다음 위치에서 실행파일이 실행되지 않도록 해야 한다. 이들 폴더 및 하위폴더는 랜섬웨어가 악성프로세스를 호스팅하는 위치로 알려져 있다.

%userpro

%appdata%

%localappdata%

%ProgramData%

%Temp%

이 때 규칙은 "전체 차단, 일부 허용(block all, allow some)"으로 설정하여 기본 행동은 특정 어플리케이션을 허용하지 않는 이상 모든 실행파일을 차단하도록 해야 한다.

: ThirdTier의 랜섬웨어방지킷(Ransomware Prevention Kit)은 다양한 그룹정책과 정보 등 리소스를 제공하며 이를 통해 랜섬웨어 위협을 줄이고 위에 소개한 규칙을 적용할 수 있다.

 

4. 주기적으로 꾸준히 패치 설치

랜섬웨어의 가장 흔한 감염경로는 바로 소프트웨어 취약점이다. 운영체제, 브라우저, 사무어플리케이션(: MS오피스), 방화벽, 네트워크기기의 패치를 최신으로 유지하여 랜섬웨어 위험을 줄일 수 있다.

 

5. 의심 외부트래픽 모니터링 및 차단

침입탐지&방지시스템(Intrusion Detection and Prevention System, IDPS)은 의심 외부트래픽을 모니터링하고 사용자에게 경고하거나 일정한 조치(: 연결차단 또는 방화벽 재설정)를 실행할 수 있다. 이 정보를 위협정보 공유그룹과 연계시킨다면 보안인프라를 강화하여 네트워크에서 랜섬웨어의 통신활동을 곤란하게 할 수 있다(랜섬웨어와 공격자측의 통신 차단).

 

6. 권한부여 최소화

어떤 랜섬웨어가 관리자 보안권한을 통해 실행된다면 더욱 큰 피해를 야기하고 보다 광범위하게 퍼질 수 있다(: 네트워크드라이브, 공유폴더, USB기기에 보관된 데이터 암호화 가능). 사용자가 작업에 필요한 정도로만 최소한의 권한을 가지고 로그인하도록 권한부여를 최소화함으로써 랜섬웨어의 공격피해를 감소시키고 전파위험도 줄일 수 있다. 어떤 랜섬웨어는 권한수준을 상승시키려 시도하기도 하지만 대부분의 경우 실행된 당시의 보안권한을 따르게 된다. 권한을 최소화시키면 사용자가 관리자권한으로 명령을 실행하거나 어플리케이션을 설치/삭제하고자 할 경우 계정정보를 직접 입력해야만 그 작업에 필요한 시간 동안만 해당 권한수준을 획득할 수 있게 된다.

 

7. "알려진 파일유형 확장자 숨김" 해제

랜섬웨어가 정체를 숨기는 방법으로 정상적인 파일유형으로 위장하는 수법이 있다. 예를 들어 PDF 문서로 위장하는 파일의 경우 "Invoice.pdf.exe"라는 파일이름을 가질 수 있다. 이 경우 "알려진 파일유형 확장자 숨김"이 적용된다면 이 파일의 이름은 "Invoice.pdf"로 보이게 된다. 이러한 확장자 숨김 옵션을 해제하면 의심파일을 보다 용이하게 포착할 수 있다.

 

8. MS오피스 어플리케이션 보안설정 강화

Locky라는 이름의 최신 랜섬웨어 변종은 악성매크로를 통해 공격수단을 다운로드받아 실행하게 된다. 그룹정책을 통해 매크로 사용을 차단하거나 "전자서명된 매크로 제외한 모든 매크로 차단(Disable all macros except digitally signed macros)" 옵션을 설정할 수 있다. 이와 유사하게 액티브X와 외부컨텐츠(External Content) 설정을 "사용자선택(Prompt)"이나 "차단(Disabled)"으로 설정할 수 있다(사용자 환경의 업무상 필요에 따라).

 

9. 사용자 보안교육

랜섬웨어 방지대책의 최종단계에는 바로 사용자가 있다. 부주의한 사용자가 맬웨어를 다운로드하고 실행하는(이메일첨부물 열기, 악성링크 클릭 등) 과정이 없다면 랜섬웨어는 결코 큰 효과를 보기 어렵다. 사용자에게 모범적 행동요령 그리고 위협을 어떻게 포착할지에 대해 교육한다면 소셜엔지니어링 공격에 당할 가능성을 줄일 수 있다. 특히 강조해야 할 부분은 다음과 같다.

알지 못하는 송신자가 보낸 이메일첨부물을 열지 말 것

알지 못하는 송신자가 보낸 이메일의 링크를 클릭하지 말 것

이메일 본문의 도메인 철자오류 확인(: microsoft.com이 아닌 rncom로 표기)

이메일 제목 및/또는 본문의 철자오류 및 형식오류 확인

의심스러운 파일이나 이메일이 있으면 IT 지원창구나 정보보안팀에게 연락

 

10. 인터넷다운로드 전량검사

웹모니터링 및 스캔 솔루션을 사용하여 인터넷다운로드를 전량 검사해야 한다. 이를 통해 알려진 악성사이트에 대한 사용자 접속을 방지할 수 있으며 특정 파일유형을 검사 또는 차단할 수 있다. 피싱이메일이 실제로 침투하거나 사용자가 악성링크를 클릭하게 돼도 GFI WebMonitor와 같은 웹모니터링 및 스캔 솔루션이 있다면 악성사이트 접속이나 파일다운로드를 차단할 수 있다.

 

위 내용이 너무 많다면...

다소 진부한 말일 수 있으나 랜섬웨어 방지에 대해 다층적인 접근방식을 취할 때 감염을 피할 가능성을 극대화할 수 있다. 이러한 다층접근방식을 구체적으로 풀어 랜섬웨어 방지요령을 요약할 때 이에 따른 권고사항은 다음과 같다.

1. 확실한 백업 및 복구 계획이 마련되어 있어야 한다. 이를 통해 랜섬웨어 감염이 발생한다 해도 암호화되지 않은 최신사본을 통해 사고를 극복할 수 있다.

2. 랜섬웨어의 가장 보편적인 공격경로인 이메일과 인터넷다운로드에 대한 보안을 강화함으로써 랜섬웨어 노출을 최소화(GFI MailEssentials이나 GFI WebMonitor와 같은 솔루션을 통해 이메일 및 인터넷다운로드 보안 강화 가능)

3. 네트워크에 침투한 랜섬웨어에 대한 가시성을 높이는 방향으로 설정과 정책을 적용하여 의심스러운 파일이나 활동을 탐지하고 맬웨어가 성공적으로 실행될 가능성을 줄인다.

4. 무엇보다도 사용자들이 의심되는 상황을 감지하고 그런 상황에서 어떻게 행동할지에 대해 교육하는 것이 가장 중요하다.


<참고: 랜섬웨어 차단 가능한 AVG 안티바이러스>

 

 

 

Andrew Tabona, 10 ways to prevent ransomware from damaging your business, 4. 28. 2016.

http://www.gfi.com/blog/10-ways-to-prevent-ransomware-from-damaging-your-business/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.05.09 14:45

 

짐작할 수 있듯 랜섬웨어에 대해 가장 많은 질문은 바로 "이제 어쩌지?". 무엇을 할 수 있었는지 그리고 했어야 하는지에 대한 온갖 지식은 랜섬웨어에 감염되고 나서야 밀려온다. "매크로 설정"을 사용하라는 설명을 무시했을 수도 있고 문제의 이메일을 애초에 그냥 지워 버렸을 수도 있으며 최근에 할인행사를 하던 USB 백업드라이브를 구매했어야 한다는 식이다.

 

그러나 모든 파일이 암호화되고 공격자 측에서 이 소중한 파일을 복호화하는 키를 제공하는 대가로 비트코인 300달러어치를 요구하고 있는 최악의 상황이 닥치면 어떻게 해야 할까. 이 때 오프라인 백업도 없고 보존하려는 파일은 죄다 사용 불가능한 상태로 하드디스크에 갇혀 있는 상황이라고 가정한다. 이 경우 돈을 내지 않고도 파일을 복구할 수 있는가. IT 문제가 다 그렇듯 이에 대한 대답은 "경우에 따라 다르다"가 된다.

 

피해복구방법: 지름길

 

랜섬웨어 공격자는 프로그래밍 과정에서 종종 실수를 하게 되는데 이 경우 무료복구가 가능한 지름길이 생기게 된다. 예를 들어 최초의 랜섬웨어 공격이 발생했던 1989/1990년 사례를 보면 공격자가 파나마의 정해진 주소로 378달러의 은행수표를 보내도록 요구한 적이 있다. 그런데 이 공격자는 모든 컴퓨터에 적용되는 암호화키를 사용하는 간편한 방법을 택했으며 그 결과 AIDS Information Trojan이라는 이름의 해당 맬웨어를 해제할 수 있는 무료툴이 금방 등장하게 됐다. 최근 리눅스기반 랜섬웨어의 사례도 이와 유사한데 이 사례에서는 프로그래머가 공격대상이 되는 여러 서버에 대해 모두 다른 암호화키를 사용했으며 이는 동일한 파일 사본도 다르게 암호화되는 결과로 이어졌다. 하지만 이들은 유사난수생성(pseudo-random number generator, PRNG)이라고 알려진 알고리즘을 통해 암호화키를 생성했는데 이 알고리즘은 최초 암호화대상의 타임스탬프(시점기록, timestamp)를 통해 작동하는 방식을 취했다. 이렇게 보면 복호화키 또한 공격대상 측에서 만들어내는 게 가능했다.

 

일반적인 오프라인 백업 없이도 분리 디스크나 클라우드를 통해 암호화된 데이터의 전부 또는 일부를 복구할 수 있는 길도 있다. 예를 들어 윈도의 경우 파일의 숨은 사본을 만들 수 있는데 이는 일종의 온라인 백업으로 파일의 과거 버전을 간편하게 관리할 수 있는 수단이기도 하다. 숨은 사본은 이름이 지정된 볼륨스냅샷서비스(Volume Snapshot Service, VSS) 파일로 저장된다. VSS 파일은 일부 랜섬웨어에 대해 빠른 복구대책이 될 수 있으나 요즘은 대부분의 랜섬웨어가 데이터 암호화를 실행하기 전에 시스템명령 조작을 통해 VSS 파일을 삭제하기 때문에 이렇게 복구가 가능해지는 경우는 거의 없다.

 

결국 랜섬웨어 공격이 발생했을 경우 해당 맬웨어를 식별할 수 있다면 일단 돈을 지불하지 않고도 복구를 할 수 있는 지름길이 있을지에 대해 알아볼 필요는 있다. 하지만 솔직히 말하자면 "요즘은 그런 간편한 해결은 거의 불가능하기 때문에 최악의 상황을 예상해야 할 것이다."

 

피해복구방법: 돌아가는 길

 

정상적인 프로그램이 기존 파일을 수정할 경우 우선은 해당 파일의 사본을 생성한 다음에 그 사본을 수정하고 나서 원래 파일을 삭제하는 과정을 거친다. 이 원리를 활용한다면 프로그램이 파일을 처리하는 중에 작동 중단될 경우 해당 파일을 복구하는 데 도움을 받을 수 있다.

 

만약 공격자가 이러한 과정을 거쳐 파일을 암호화한다면 공격대상 운영체제의 일반적인 파일삭제 기능을 사용한다는 가정 하에 기존 파일 중 일부를 삭제하지 않는 경우가 있을 수도 있다. 이는 대부분의 운영체제가 삭제된 파일에 곧바로 덮어쓰지 않기 때문이다. 운영체제 대부분은 덮어쓰기에 소요되는 시간을 줄이기 위해 삭제된 기존 파일이 차지하던 디스크공간을 "재사용 가능"으로 표시하며 따라서 일정기간 동안은 삭제된 기존 파일의 복구가 가능한 경우가 많다.

 

하지만 파일삭제 누락은 복불복의 성격이 강하다. 이 방법을 제대로 거치려면 데이터포렌식 전문가를 동원하여 돈과 시간을 들여야 하며 이 경우에도 실망스러운 결과만 남을 수도 있다. 사실 포렌식 전문가의 고용은 살인사건 수사와 같이 아주 중요한 경우에나 있을 법한 일이다. 그리고 랜섬웨어 공격이 발생하고 나면 공격자가 요구하는 금액보다 데이터복구비용이 더욱 많이 나올 수도 있음을 염두에 둬야 한다.

 

물론 랜섬웨어 공격자 역시 피해자가 돈을 안 내고 파일을 복구하는 결과를 원치 않으며 따라서 코딩에 그렇게 심혈을 기울이지는 않는다. 랜섬웨어는 대체로 기존 파일에 그대로 덮어쓰며 이를 통해 기존 데이터가 남아 있을 여지를 최대한 없앤다. 그러나 이론적으로 생각한다면 기존 파일에 덮어쓴다고 해도 실제로는 기존 데이터가 있던 디스크 영역에 덮어쓰지 않는 경우일 수도 있다. 몇몇 운영체제와 일부 디스크의 경우 이른바 wear levelling이라고 하여 디스크 작성영역을 임의로 변경한다. 플래시메모리를 사용하는 고체(solid state) 디스크는 전자 수준에서서의 마모로 인해 성능이 저하될 수 있으며 따라서 동일한 메모리 셀에만 계속 작성할 경우 기기 수명이 줄어들 수 있다. 이를 완화하는 대책이 바로 wear levelling이다. 따라서 디스크영역 수준이나 심지어 디스크 펌웨어 수준으로 파고들어가서 논리적으로는 덮어씌워졌으나 물리적으로는 보존된 상태의 데이터를 찾아내는 방법은 기술적으로 분명 가능한 일이다.

 

그러나 다시 말하지만 이 방법은 자존심을 죽이고 공격자에게 돈을 지불하는 방법보다 훨씬 불확실하고 아주 많은 비용을 지출할 수도 있음을 상기해야 한다.

 

암호화 해제

 

랜섬웨어 공격을 무력화시킬 마지막 방법으로 공격자가 사용한 암호화 자체를 해제하는 방법이 있다. 앞서 언급했듯 랜섬웨어 공격자는 프로그래밍 과정에서 종종 실수를 저지르거나 약한 암호화를 사용하거나 혹은 강한 암호화라도 잘못 사용함에 따라 암호분석학적인 틈(backdoor)을 남겨놓는 경우가 있다. 물론 이들이 정상적으로 암호화를 적용했다면 이를 해제하는 건 사실상 불가능하며 그 이유는 다음과 같다.

 

CryptoWall이나 Locky와 같은 대부분의 랜섬웨어는 다음과 같은 수법으로 작동한다.

공격자가 운영하는 서버에 접속하여 공격대상 컴퓨터에 고유한 RSA 공개키를 다운로드

각 파일에 대한 임의의 AES 키를 생성하고 해당 파일을 암호화

해당 AES 키를 RSA 공개키로 암호화하고 공격대상 파일과 암호화된 복호화키를 함께 저장

 

위 내용이 단번에 이해가 안 된다고 염려할 필요는 없다. 이 수법은 RSA 암호화 알고리즘이 두 개의 키를 가지고 작동한다는 데 착안하고 있다. 공개키로 데이터를 암호화하기 때문에 오로지 개인키만이 해당 데이터를 복호화할 수 있다. 바꿔 말하자면 만약 공격자가 클라우드에서 RSA 공개-개인키 쌍을 각 컴퓨터별로 생성하고 공개키만 배포하게 된다면 피해자 파일을 암호화한 AES 키를 복호화하기 위해 필요한 고유의 개인키는 오로지 공격자만이 보유하게 된다.

 

그렇다면 RSA 공개키로 곧바로 암호화를 하지 않고 어째서 굳이 AES 키를 다시 사용하는가. 이는 RSA 키의 작동속도가 느리기 때문에 AES처럼 훨씬 빠른 알고리즘을 사용하는 임의의 키와 같은 소량의 데이터를 암호화할 경우에 적합하기 때문이다. 한편 파일마다 다른 키를 사용하는 이유는 무엇인가. 이는 모든 파일의 암호화가 다를 경우 컨텐츠가 동일하다 해도 하나의 파일에 사용된 복호화 단서를 다른 파일에 적용할 수 없기 때문이다.

 

이 말인즉 돈을 내지 않고 피해파일을 모두 복구하는 일은 다음과 같다.

RSA 공개-개인키 알고리즘을 해체하여 각 파일에 대한 AES 키 복구

각 파일에 대한 AES 암호화 알고리즘을 일일이 해체

 

이렇게 어렵고 불확실한 과정을 거치기보다는 차라리 그냥 돈을 지불하는 방법이 속이 편할 수도 있다.

 

최종 선택지

 

여기까지의 내용만을 본다면 그냥 돈을 지불하는 게 낫다는 식으로 보일 수도 있다. 하지만 돈을 지불할 경우 이는 범죄자를 먹여살리는 셈이 되기 때문에 돈을 지불하지 않는 길을 권고한다. 사실 랜섬웨어 공격을 당하고 나서 모든 파일을 없애고 처음부터 다시 시작한다는 결정을 내린다면 이는 "힘내라"는 말과 함께 격려를 받을 만한 결단이다. 이 글의 요지는 암호화된 파일이 정말로 필요하고 백업과 같은 예비대책을 전혀 세우지 않은 상태라면 돈을 지불하는 외에 달리 선택지는 없다는 데 있다.. 물론 이 글에서는 여전히 돈을 지불하지 않는 길이 낫다는 논지를 유지하나 각자의 결정을 존중할 수밖에 없는 일이다(데이터의 존폐가 경각에 걸린 상황에서 자존심을 세우기란 어렵다). 그런 상황이 오지 않는 게 가장 바람직하지만 비교적 타협의 여지가 없다는 식으로 설명한다면 경각심 측면에서 도움이 될 수 있다는 판단에 따라 글의 흐름이 위와 같이 전개됐다. 결국 "예방이 치료보다 낫다"는 말이다.

 

랜섬웨어 예방요령

 

주기적으로 백업하고 최신 백업사본을 격리하여 보관. 파일이 갑자기 사라질 수 있는 원인으로는 랜섬웨어 외에도 화재, 홍수, 절도, 기기고장, 실수에 의한 삭제 등 수많은 요인이 있을 수 있기 때문이다. 백업사본을 암호화한다면 백업기기가 탈취되는 경우에도 염려할 필요가 없다.

이메일로 수신된 문서 첨부물에 대한 매크로 적용 해제. 수많은 맬웨어는 문서첨부물을 통해 침입하며 사용자로 하여금 매크로(내장된 문서스크립트)를 설정하도록 유도한다. 그냥 안 하면 된다. 마이크로소프트의 경우 이미 수년 전 보안조치로 매크로 자동실행 해제를 기본설정으로 적용했다.

마이크로소프트 오피스 뷰어 설치. 뷰어 어플리케이션을 사용하면 워드나 엑셀을 직접 사용하지 않고도 문서파일을 살펴볼 수 있다. 특히 뷰어는 매크로를 전혀 지원하지 않기 때문에 실수로 매크로를 작동시킬 염려도 없다.

요청하지 않은 첨부물 주의. 문서파일을 통해 맬웨어를 보내는 공격자는 사용자가 확신할 수 있기 전에는 파일을 열어서는 안 되는 동시에 확신을 하려면 그 파일을 열 수밖에 없다는 딜레마를 악용한다. 의심의 여지가 있다면 그 파일은 그냥 버려야 한다.

필요 이상의 로그인 권한을 부여하지 말 것. 가장 중요한 부분은 바로 관리자권한 로그인상태를 필요 이상으로 방치하지 말아야 한다는 점이며 관리자권한을 보유한 상태에서는 브라우징, 문서 열기를 비롯한 "통상적 작업" 활동을 피해야 한다.

신속히 그리고 자주 패치 확인. 문서 매크로를 통해 침투하지 않는 맬웨어는 대체로 오피스, 웹브라우저, 플래시 등 인기 어플리케이션의 보안허점을 악용한다. 패치가 빠르게 이루어질수록 공격자가 악용할 수 있는 허점도 줄어들게 된다.


<참고: 랜섬웨어 차단 가능한 AVG 안티바이러스>

 

 

 

Paul Ducklin, Got Ransomware? What Are Your Options?, 3. 3. 2016.

https://nakedsecurity.sophos.com/2016/03/03/got-ransomware-what-are-your-options/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.04.26 14:46



필자는 최근 돈 버는 해킹을 통해 해커들이 어떻게 수익을 만들어 내는지 다룬 바 있다. 그 주된 수법 중 하나로 갈취가 있으며 악당들이 고객데이터를 유포하는 등의 피해를 막기 위해 대형 은행들이 엄청난 비용을 치르는 사례는 어제 오늘 일이 아니다.

 

랜섬웨어는 이러한 수법을 실행하는 신종 기술이며 이에 대한 가장 최근의 사례로 Breaking Bad를 들 수 있다. 랜섬웨어의 악성코드는 피해자의 데이터를 암호화해 버리며 해커는 피해자가 돈을 낼 경우에만 해당 데이터의 암호화를 풀어 준다. Breaking Bad의 이름은 인기 TV시리즈의 제목을 따 왔으며 호주에서 피해자에게 1천 달러(호주달러)를 요구하는 식으로 활동사례가 목격됐다. 다른 맬웨어처럼 Breaking Bad 역시 계속하여 퍼지고 변형된다.

 

Breaking Bad 랜섬웨어는 사진, 문서, 동영상을 암호화하여 일반대중을 표적으로 삼는다. 사진의 경우 상당수가 피해자에게 소중한 가치를 가지며 디지털 자료이기 때문에 물리적 사본이 없는 경우가 대부분이어서 피해자인 말단사용자 입장에서는 비싼 비용을 감수해서라도 데이터를 보호하고자 하게 된다.


랜섬웨어의 갈취위협은 다음과 같은 모습이다.

 



Breaking Bad는 처음이 아니다

 

물론 Breaking Bad가 최초의 랜섬웨어는 아니다. 랜섬웨어의 예전 사례로 2014년 악명을 떨쳤던 Cryptolocker가 있는데 데이터를 암호화할 뿐 아니라 신용카드번호를 탈취 및 사용할 수도 있었다. Cryptolocker는 컴퓨터에 침투하여 데이터를 암호화한 후 비트코인으로 650달러에 달하는 금액이 지불되고 나서야 암호화를 풀어 준다. Cryptolocker 25만대에 달하는 기기에 침투했다고 한다.


 

위협을 막는 방법

 

이러한 유형의 갈취 위협은 나날이 늘어나고 있는데 대체로 잠재적 피해자가 어떻게 행동하는지에 따라 그 위험성이 크게 달라진다.

 

IT분야에는 두 가지 부류의 사람들이 있다. 컴퓨터 전문가라도 경험이 적다면 이러한 악성 어플리케이션에 의한 갈취 또는 절도로 인해 회사에 수백만 달러의 피해가 발생할 수 있음을 아는 데 그치고 어떤 조치가 필요한지는 알지 못한다. 제대로 된 보안전문가들은 공격을 차단하거나 약화시킬 수 있는 방법을 알고 있지만 일반소비자의 경우 대비가 취약한 경우가 많다.

 

하지만 누구든 랜섬웨어의 피해자가 될 이유는 없으며 철저한 보안수칙 실천과 강력한 보안소프트웨어의 조합을 통해 랜섬웨어의 위협을 차단할 수 있다. 안티바이러스를 비롯한 모든 소프트웨어가 빠짐없이 패치되어 최신으로 유지되도록 해야 한다. 또한 안티바이러스가 수시로 업데이트되어 새로운 위협을 잡아낼 수 있어야 하며 하나의 안티바이러스 엔진에만 의존하지 않는 것도 중요하다.

 

회사를 보호하려면 GFI 메일에센셜과 같은 보안툴이 필요하다. GFI 메일에센셜은 최대 5기의 주요 안티바이러스 엔진을 장착하여 최고의 방어를 제공한다. 빗디펜더와(BitDefender) 바이퍼(VIPRE) 안티바이러스가 기본 제공되며 카스퍼스키(Kaspersky), 맥카피(McAfee), 아바이라(Avira) 엔진을 추가하여 방어를 더욱 강화할 수 있다.

 

아울러 GFI 메일에센셜은 이메일서버로 들어오는 모든 내용을 모니터링할 수 있으며 악성 첨부물이 사용자에게 도달하기 전에 차단할 수 있다. GFI 메일에센셜을 가지고 Breaking Bad와 같은 맬웨어를 담은 스팸을 99.9% 차단할 수 있다.

 

기타 팁:

신뢰할 수 없는 출처에서 온 첨부물은 열지 않도록 교육

데이터를 백업하여 암호화에 걸린 경우에도 사본이 있도록 대비

.exe 파일 다운로드 차단

안티맬웨어 솔루션 업데이트 최신으로 유지, 여러 검사엔진 사용

 

GFI 메일에센셜을 통해 Breaking Bad 랜섬웨어와 같은 위협을 방지하고 IT전문가의 업무부담을 경감할 수 있다. 다음 링크를 통해30일 무료시험판을 다운로드하여 써 보기 바란다.

http://www.gfi.kr 



COMMENT : 0 TRACKBACK : 0

날짜

2015.10.15 21:17

위로가기