암호화에 해당하는글 20




근래 사이버보안에서 화제가 되고 있는 랜섬웨어는 전염병 수준으로 창궐하고 있으며 금방 사라지기 어려운 위협이다. 랜섬웨어의 역사는 크게 데이터 암호화 전후로 나눌 수 있다. 오늘날에는 데이터를 암호화하는 유형인 cryptor가 주류를 이루고 있지만 이에 앞서 먼저 등장한 건 blocker 랜섬웨어였다. blocker 랜섬웨어는 운영체제나 브라우저 접근을 차단하고 이를 복구하는 대가로 돈을 요구한다. 당시 금전지급은 주로 기부 등에 사용되는 문자메시지 코드나 전자지갑을 통한 송금 등으로 이루어졌다. 보안전문가와 수사기관 측에서는 이러한 지급과정에 착안하여 공격자를 적발해 냈다. 전자결제 관련 규제가 진화함에 따라 위험부담 가중으로 랜섬웨어의 수익성도 떨어졌으며 용의자 적발 또한 늘어났다.


그러나 최근 몇 년 동안 비트코인이 급부상하고 사이버범죄의 주목을 받기 시작하면서 상황은 달라졌다. 비트코인은 전자자산이자 추적이나 규제가 불가능한 결제시스템으로 범죄자에게는 아주 매력적인 수단이다. 또한 랜섬웨어의 방식 자체도 브라우저나 운영체제 접근을 차단하는 대신 데이터를 암호화하는 방향으로 바뀌었다. 운영체제는 사용할 수 없게 돼도 다시 설치하면 그만이지만 개인 파일은 고유한 내용을 가지고 있기 때문에 대체 불가능하다. 공격자는 이를 악용하여 거액의 합의금을 요구할 수 있으며 개인에 대해서는 수백 달러 그리고 기업에 대해서는 수천 달러에 달하는 돈을 뜯어낼 수 있게 됐다. 이러한 랜섬웨서 세대교체는 오래 걸리지 않았으며 2015년 말 랜섬웨어 공격 건수는 눈덩이처럼 불어났다.


카스퍼스키 측 분석에 따르면 랜섬웨어 공격은 2014-2015년 13만 건에서 2015-2016년 72만 건으로 1년 새 무려 5배나 증가했다. 랜섬웨어 공격이 가장 많이 발생하는 국가는 러시아, 카자흐스탄, 이탈리아, 독일, 베트남, 알제리, 브라질, 우크라이나, 미국이다. 하지만 동구권이나 동남아 그리고 남미 등지의 랜섬웨어는 비교적 구형이고 위험성도 떨어지는 blocker 랜섬웨어 비중이 크다. 반면 미국은 cryptor 랜섬웨어 공격이 전체의 40%에 달하며 이탈리아와 독일의 경우 사실상 cryptor가 랜섬웨어와 동의어로 취급될 정도다.



2015-2016년 대세인 랜섬웨어 트로이목마는Teslacrypt, CTB-Locker, Scatter, Cryakl이다. 특히 Teslacrypt의 경우 전체 공격의 절반 가까이를 차지하며 이들 4개 랜섬웨어는 전체 랜섬웨어의 80%에 달한다. TeslaCrypt와 Cryakl의 경우 카스퍼스키 솔루션으로 복호화 가능하다.



랜섬웨어는 초기에는 주로 개인 사용자를 노렸으나 암호화 랜섬웨어가 대세가 된 이후로는 기업에 대한 공격이 늘어났다는 사실도 주목할 만하다. 기업사용자에 대한 공격은 2014-2015년 6.8%에서 2015-2016년 13.13%로 증가했다.





랜섬웨어 피해방지요령


1. 주기적으로 백업


2. 카스퍼스키 솔루션 등 강력한 보안솔루션 사용


<참고: 카스퍼스키 안티바이러스 상세정보>


3. 주기적으로 소프트웨어 업데이트


4. 최신 보안소식 확인


5. 랜섬웨어 감염이 발생해도 섣불리 돈을 먼저 지불하지 않고 아래와 같은 방법을 시도한다.

(1) blocker 랜섬웨어의 경우 카스퍼스키 WindowsUnlocker 툴 사용

(2) cryptor 랜섬웨어의 경우 NoRansom.kaspersky.com 통해 해당 랜섬웨어에 대한 복호화가 가능한지 확인




Alex Drozhzhin, Ransomware’s history and evolution in facts and figures, 6. 22. 2016.

https://usblog.kaspersky.com/ransomware-blocker-to-cryptor/7327/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 3. 14:26


최근 영어권과 러시아권에서 발견된 Ded Cryptor라는 랜섬웨어 트로이목마는 2비트코인(1300달러)이라는 거액을 요구하며 아직 복호화 솔루션도 존재하지 않는 상태다. Ded Cryptor에 감염된 컴퓨터의 배경화면은 아래와 같이 산타클로스와 함께 금전요구가 나오는 그림으로 바뀐다.




Ded Cryptor 랜섬웨어의 배경에는 사실 상당히 복잡한 이야기가 얽혀 있다. 터키 보안전문가 Utku Sen은 랜섬웨어를 제작하고 해당 코드를 개발자 협업채널인 GitHub에 공개했다. 이는 사이버공격자가 해당 코드를 토대로 악성코드를 직접 제작하도록 유도하고 미리 심어둔 백도어를 통해 이들의 행동양상을 이해하려는 전략이었다. Sen은 이보다 앞서 교육 및 연구 목적으로 Hidden Tear라는 이름의 랜섬웨어 프로젝트도 진행하고 있었다. 그는 이후 오프라인에서도 작동 가능한 신종 랜섬웨어를 개발했으며 이를 토대로 EDA2라는 강력한 랜섬웨어가 만들어졌다. EDA2는 Hidden Tear에 비해 개선된 비대칭 암호화방식을 채택했으며 C&C 서버와 통신하면서 서버에 전송하는 키를 암호화시킨다. 피해자에게는 아래와 같이 엽기적인 사진을 보여주기도 한다.



EDA2 소스코드 또한 GitHub에 공개됐으며 이는 많은 주목과 비판을 불러들였다. 실제로 이 소스코드는 랜섬웨어 공격에 악용될 수 있었으며 Sen 또한 이를 이해하고 있었다. 그는 자신이 공개한 랜섬웨어에 미리 백도어를 삽입해 뒀으며이를 통해 복호화 키를 수집할 수 있었다. 랜섬웨어가 작동할 경우 해당 C&C 서버의 URL을 알아내고 복호화키를 추출하여 이를 피해자에게 배포하는 과정을 염두에 두고 있었던 것이다. 그런데 이를 위해서는 피해자 측에서 먼저 Sen의 존재를 알아야 하는데 사실 실제 피해자의 대부분은 그의  존재를 전혀 모르는 상태였으며 따라서 복호화키 배포에 시간이 걸린다는 점이 이 방식의 약점이었다.


Hidden Tear 및 EDA2를 응용한 랜섬웨어는 오래지 않아 등장했으며 Hidden Tear의 경우 위에서 소개한 방식대로 복호화키가 피해자들에게 배포될 수 있었다. 하지만 EDA2를 응용한 Magic 랜섬웨어의 경우 공격자 측에서 무료 호스트를 통해 C&C 서버를 운용했으며 호스트 측에서는 악성활동에 대한 신고에 대응하여 별도의 조치 없이 해당 사이버공격자의 계정과 파일을 삭제해 버렸기 때문에 본래 예정됐던 백도어를 통한 복호화키 추출이 불가능해졌다. Magic 랜섬웨어 제작자들은 여기에서 나아가 Sen과 접촉했으며 이들의 대화는 오랜 논란으로 이어졌다. Magic 제작자 측에서는 Sen이 EDA2 소소코드를 공개도메인에서 삭제하고 3비트코인을 지불한다면 자기네 복호화키를 공개하겠다는 제안을 내놨다. 이 과정에서 기존 피해자에 대한 금전요구는 없던 일이 된다는 합의도 도출됐다. 결국 Sen은 EDA2와 Hidden Tear의 소소코드를 GitHub에서 삭제했지만 이미 너무 늦은 상황이었다. 2015년 2월 2일 카스퍼스키 전문가 Jornt van der Wiel은 SecureList에 게재한 글을 통해 Hidden Tear 및 EDA2 기반 암호화툴이 24개에 달한다고 밝혔으며 이 수는 이후 계속 늘어났다.


Ded Cryptor는 바로 이 EDA2 소소코드를 기반으로 제작됐으며 다만 공격자 측 보안과 익명성 강화를 위해 Tor 네트워크를 통해 C&C 서버가 운용되며 tor2web 서비스를 통해 서버와의 통신이 이루어진다. Ded Cryptor 제작과정에서 프록시서버 코드는 다른 GitHub 개발자로부터 전달됐으며 암호화키 요청 코드는 제3자 개발자가 작성하는 등 여러 출처로부터 덕지덕지 만들어진 느낌이 강하다. Ded Cryptor는 서버와 직접 통신하지 않고 감염시킨 컴퓨터에 프록시 서버를 설정하고 이를 통해 서버와 통신한다는 점이 특이하다.


Ded Cryptor 제작자는 Magic 랜섬웨어와 마찬가지로 러시아어 사용자로 추정된다. 우선 금전지급 요구가 영어 및 러시아어로만 돼 있다. 그리고 카스퍼스키 선임맬웨어분석가 Fedor Sinitsyn의 분석 결과 C:\Users\sergey\Desktop

\доделать\eda2-master\eda2\eda2\bin\Release\Output\TrojanSkan.pdb 라는 파일경로가 발견되기도 했다. Ded Cryptor 배포경로에 대해서는 별로 알려진 내용이 없으며 다만 카스퍼스키에 다르면 러시아에서 가장 많이 발견되고 중국 독일, 베트남, 인도 등에서도 발견빈도가 높다고 한다.



Ded Cryptor는 앞서 언급했듯 현재로써는 복호화 수단이 존재하지 않으며 다만 운영체제에서 사전에 생성한 숨은 사본이 있을 경우에만 복구가능성이 있기 때문에 예방이 정말 중요하다. 카스퍼스키 솔루션의 경우 Hidden Tear 및 EDA2 기반 트로이목마를 탐지할 수 있고 Trojan-Ransom.MSIL.Tear를 탐지할 경우 이를 사용자에게 알리며 또한 랜섬웨어 작동을 차단하고 암호화를 방지할 수 있다.


<참고: 카스퍼스키 안티바이러스 상세정보>




John Snow, Ded Cryptor: Greedy ransomware with open-source roots, 7. 8. 2016.

https://usblog.kaspersky.com/ded-cryptor-ransomware/7379/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 2. 16:04


Shade는 2015년 초 등장한 랜섬웨어며 주로 악성스팸이나 취약점악용(exploit kit)을 통해 배포된다. 취약점악용의 경우 피해자가 감염된 웹사이트를 방문하기만 하면 되고 별도로 어떤 파일을 여는 과정이 불필요하기 때문에 특히 위험하다.



Shade가 피해자 시스템 침입에 성공하면 중앙(C&C) 서버로부터 암호화키를 받으며 서버 사용이 불가능할 경우에 대비하여 자체 암호화키도 예비로 보유하고 있다. 이는 랜섬웨어가 일단 침투하고 나면 피해자 컴퓨터에서 인터넷 연결을 끊는다 해도 예정대로 작동할 수 있음을 의미한다. Shade가 암호화할 수 있는 파일유형은 MS오피스 문서, 이미지, 압축파일 등 150종이 넘으며 암호화 과정에서 파일 이름 뒤에 .xtbl 또는 .ytbl 확장자를 추가한다. 암호화가 완료되면 아래와 같이 금전지급 요구가 화면에 표시된다. 한편 Shade는 암호화를 끝내고 나서도 다른 맬웨어를 다운받는 등 지속적으로 활동한다


카스퍼스키는 네덜란드경찰, 유로폴, 인텔시큐리티(Intel Security)와 연합하여 랜섬외어 복호화툴을 모으고 배포할 목적으로  NoMoreRansom.org라는 웹사이트를 개설했다. 이번에 사이트 개설과 함께 Shade 랜섬웨어 복호화툴이 추가됐으며 사용방법은 다음과 같다.


1. NoMoreRansom.org 방문


2. 인텔시큐리티 또는 카스퍼스키 측 다운로드 링크 선택 (이하 내용은 카스퍼스키 복호화툴 기준으로 작성)


3. ShadeDecryptor.zip 압축 풀고 ShadeDecryptor.exe 실행


4. 실행창에서 Change parameters 클릭



5. 암호화파일을 스캔할 드라이브 선택



6. Delete crypted files after decryption은 복호화가 끝나고 나서 암호화된 파일을 자동 삭제하는 옵션이지만 파일이 완전히 복구됐는지 확신할 수 없다면 이 옵션은 권장하지 않는다.


7. OK를 선택하여 실행창으로 돌아오고 Start scan 클릭



8. Specify the path to one of encrypted files 창에서 암호화된 파일 하나를 선택하고 Open 클릭


9. 만약 피해자의 ID를 자동 탐지할 수 없다는 메시지가 뜬다면 금전지급요구와 피해자 ID가 기재된 readme.txt로 파일경로를 지정하면 된다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Alex Drozhzhin, No More Ransom, 7. 25. 2016.

https://usblog.kaspersky.com/shade-decryptor/7441/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 2. 13:44



Petya 및 Mischa 랜섬웨어 제작자들이  '업계 경쟁세력'에게 일격을 날렸다. 우선 이른바 랜섬웨어서비스(Ransomware-as-a-Service, RaaS)라는 방식으로 랜섬웨어 변종을 대량 배포함으로써 일반인도 범죄의지만 있다면 랜섬웨어로 사이버공격을 행할 수 있는 발판을 마련했다.

참고: http://www.securityweek.com/petya-mischa-ransomware-now-available-service


그리고 Chimera 랜섬웨어에 감염된 시스템에 적용될 수 있다고 주장하면서 3500개의 RSA 개인키를 배포했으며 이는 라이벌 세력인 Chimera 랜섬웨어의 활동을 방해하려는 의도로 보인다. 해당 키는 Pastebin에 게재됐으며 게시글에서는 이를 통해 복호화툴을 만드는 데 도움이 될 수 있다고 밝히고 있다.

참고: http://pastebin.com/7HrZCsmT


Mischa 제작자들이 작성한 내용은 다음과 같다. "2016년 초 우리는 Chimera 랜섬웨어 개발과정에 상당부분이 접근할 수 있었으며 이에 따라 Chimera를 우리 프로젝트에 포함시켰다. 아울러 Chimera에 대한 복호화키 3500개를 공개 배포한다."


해당 복호화키가 실제로 Chimera 랜섬웨어로 암호화된 파일을 복호화할 수 있는지 판별하고 이를 통해 복호화 프로그램이 제작돠려면 시간이 거릴 수밖에 없지만 적어도 가능성은 생겼으므로 Chimera 랜섬웨어 피해자는 섣불리 파일을 삭제하지 말고 기다리는 것도 방법이 될 수 있겠다. 하지만 앞서 언급한 RaaS를 통해 참여자에게 랜섬웨어를 배포하여 수익을 챙길 수 있는 기회를 주는 방식이 출현했으며 상당기간 널리 퍼지리라 예상되므로 결코 주의를 늦출 수는 없다.


컴퓨터기술포럼 BleepingComputer.com 설립자 Lawrence Abrams는 "이번 일을 계기로 Petya 및 Mischa 랜섬웨어의 배포가 더욱 활발하게 일어날 가능성이 높다."는 의견을 피력했다.



Lisa Vaas, Chimera ransomware keys leaked by rival malware developers, 7. 28. 2016.

https://nakedsecurity.sophos.com/2016/07/28/chimera-ransomware-keys-leaked-by-rival-malware-developers/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 29. 16:40

VPN과 SSH 터널은 암호화된 접속을 통해 네트워크 트래픽을 안전하게 전송하는 방식으로 부분적으로 유사하기도 하지만 작동방식 등이 근본적으로 다르다. 양자가 가진 차이를 이해할 수 있다면 어떤 방식을 선택할지 판단하는 데 도움이 될 수 있다.




VPN


VPN(virtual private network)이란 '가상 사설 네트워크'로 해석되며 그 명칭에서 알 수 있듯 본래 인터넷과 같은 공개 네트워크를 경유하여 사설 네트워크에 접속하는 데 사용된다. 파일공유지점, 네트워크프린터 등이 연결된 일반적인 사무실 네트워크를 가정해 보면 경우에 따라서는 직원이 사무실 외 공간에서 이 네트워크에 접속해야 하는 일이 생길 수 있다. 하지만 사무실 네트워크는 회사의 중요 자원으로 공개된 공간인 인터넷에 노출되지 않는다. 이 경우 그 회사는 VPN 서버를 설정하여 직원으로 하여금 그 VPN을 통해 외부에서도 사무실 네트워크에 접속하도록 할 수 있다. 접속이 완료된 클라이언트는그 사무실 네트워크에 실제 물리적으로 연결된 것과 동일하게 인식돼 파일공유 등 네트워크자원에 접근할 수 있게 된다. VPN 클라이언트가 인터넷을 통해 서버와 통신하는 접속은 암호화돼 있으며 따라서 그 VPN을 설정한 회사의 경쟁업체 등이 서버와 클라이언트 사이에서 웹브라우징 트래픽 등 접속데이터를 가로채는(snoop) 것을 방지할 수 있다.



VPN은 이러한 특성으로 인해 공용 와이파이 네트워크 등에서 접속내역을 노출시키지 않을 수 있는 방법이 된다. 또한 트래픽의 발신지점이 실제 클라이언트가 아닌 해당 VPN 서버라고 인식되는 점을 이용하여 지역적으로 제한이 걸린 서비스에 접근하거나 웹에 대한 검열을 회피할 수 있는 방법이 되기도 한다.



VPN은 어플리케이션 계층보다는 운영체제 계층에 가깝게 작동한다. VPN 연결이 생성되면 개별 설정에 따라 달라질 수 있으나 기본적으로 운영체제에서 모든 어플리케이션의 네트워크 트래픽을 그 VPN으로 경유시킬 수 있다.



SSH 터널


SSH란 secure shell의 약자로 본래는 네트워크 트래픽을 경유시키는 기능에 국한되지 않고 원격단말세션(remote terminal session)을 안전하게 사용하는 등의 목적으로 사용된다. SSH는 VPN과 마찬가지로 강력한 암호화로 보호되며 이를 활용하여 SSH 클라이언트를 SOCKS 프록시처럼 작동하도록 한 다음 웹브라우저 등 어플리케이션이 그 프록시를 경유하도록 설정할 수 있다. 이 경우 해당 트래픽은 SOCKS 프록시로 들어간 다음 SSH 클라이언트 측에서 이를 SSH 접속을 통해 전송하는데 이를 SSH 터널 혹은 SSH 터널링이라 한다. 웹서버 측에서 해당 트래픽의 발신지를 SSH 서버로 인식하고 접속이 암호화된다는 면에서 이는 VPN과 유사하기도 하다.



다만 운영체제 수준에서 모든 트래픽을 경유시키는 VPN과 달리 SSH의 경우 개별 어플리케이션이 프록시를 통과하도록 설정해야 한다. VPN이 운영체제 측에서 사용자가 원격네트워크에 있는 것으로 인식하도록 하여 윈도 네트워크 파일공유 접속을 용이하게 하는 반면 SSH 터널은 파일공유 접근이 훨씬 어렵다는 점도 다르다.




VPN과 SSH 터널의 보안 비교


회사 입장에서는 시스템의 전체 네트워크 트래픽을 경유시키는 VPN이 보다 더 안전한 방식이라고 할 수 있지만 단순히 카페나 공항 같은 공개 와이파이 등을 통해 인터넷을 사용할 때 접속을 암호화하고자 하는 목적이라면 VPN과 SSH 모두 강력한 암호화를 제공하기 때문에 별 차이가 없다.


한편 VPN은 사용 자체는 간편하지만 서버 설정이 다소 복잡하며 반대로 SSH 터널은 사용이 까다로운 반면 서버 설정은 오히려 쉬운 편이다. 만약 사용자가 별도 설정 없이 SSH 서버에 접속할 수 있는 상태라면 이를 그대로 사용하는 것이 VPN 서버를 설정하여 사용하는 방법보다 훨씬 간편하다. 이 때문에 SSH 터널은 돈이 모자랄 때 사용하는 VPN 대용수단으로 인식되기도 한다.




Chris Hoffman, VPN vs. SSH Tunnel: Which Is More Secure?, 7. 5. 2012.

http://www.howtogeek.com/118145/vpn-vs.-ssh-tunnel-which-is-more-secure/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 28. 16:53



랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략

게시일: 2016-06-17 l 작성자: Trend Micro

기업은 어떻게 랜섬웨어 공격에 대응할 수 있을까요? 최근 여러 기관에서 랜섬웨어 공격에 대비하여 비트코인을 사들이고 있다는 연구가 있었습니다. 공격 받을 시 빠른 시간 내 중요한 파일을 복구하기 위한 대응책입니다. 하지만 돈을 지불하는 것이 파일 복구를 보장하지 않는 것은 물론이고, 추가적인 랜섬웨어 공격으로 이어질 수 있습니다. 그럼에도 불구하고 랜섬웨어 공격으로 인한 기업 손실과 명예 실추로 인해 추가적인 불이익을 예상한다면, 기업의 이러한 대처를 비난할 수는 없습니다.


지속적인 랜섬웨어의 공격

랜섬웨어 피해자가 되지 않기 위해, 이 멀웨어가 어떻게, 그리고 왜 공격을 하는지 이해하는 것이 중요합니다. 물론, 사회공학적 기법과 상용 등급 암호화는 랜섬웨어 공격의 중요한 요소입니다. 하지만 최근 유행하는 랜섬웨어들은 다른 멀웨어의 수법을 차용하여, 복호화를 어렵게 만들고 있습니다.

예를 들어보겠습니다. A 회사에서 ‘파일과 중요 데이터가 모두 암호화 되었으니, 되찾고 싶다면 돈을 지불하라’는 메시지를 수신했습니다. IT 운영자는 즉시 감염된 시스템의 네트워크를 차단하고 분리했습니다. 그 후, 감염된 컴퓨터를 치료하여 파일 복구를 시도합니다. 하지만 이 때 여러 문제점이 발생합니다.

일례로 랜섬웨어가 일반적으로 사용하는 기법 중 하나는 섀도우 복사본을 삭제하는 것입니다. 하단의 커맨드 중 하나를 사용하여 이를 실행합니다.

vssadmin.exe Delete Shadows/All/Quiet

WMIC.exe shadowcopy delete/nointeractive

섀도우 복사본을 삭제함으로써, 사용자가 파일을 복구할 수 없도록 백업 파일을 삭제하게 되는 것입니다.CRYPWALLLockyCERBERCRYPTESLA와 같은 변종 랜섬웨어에서 이와 같은 기능을 사용하고 있습니다. 부팅 변경, 감염 확산, 백신 우회 등과 같은 기법도 널리 활용되고 있습니다.


부팅 변경

마스터 부트 레코드(MBR)의 재작성 또는 삭제로 인해 시스템 부팅이 불가능해집니다. 이를 우회하기 위해 안전모드 부팅을 시도하는 것도 무용지물입니다. PETYA 는 이러한 공격 수법을 가진 대표적인 랜섬웨어입니다.


감염 확산

랜섬웨어에 의해 감염된 1개의 시스템 복구도 어렵지만, 이동식 드라이브와 네트워크를 통해 감염이 확산된다면 또 다른 중요 데이터가 암호화 될 위험에 놓이게 됩니다. 해당 공격 수법을 사용하는 랜섬웨어는Zcryptor(ZCRYPT crypto-ransomware)는 이동식 드라이브와 네트워크의 공유폴더까지 확산하여 감염시킵니다.


백신 우회

워치독 프로세스(Watchdog process)는 멀웨어의 새로운 인스턴스를 부활시키기 위해 svchost.exe로 명명된 regsvr32.exe 또는 rundll32.exe을 복사합니다. 하나의 프로세스가 암호화를 실행하면, 나머지 하나의 프로세스는 워치독으로 활동합니다. 랜섬웨어가 탐지를 우회하기 위해 고용하는 또 다른 기술은, 해당 환경이 VMWare 환경인지 확인하는 것입니다.

그림 1. CryptXXX 감염 프로세스 트리, 워치독 프로세스 포함

VIRLOCK 은 다형성 암호 기법을 가진 랜섬웨어로서, 감염이 실행될 때마다 코드를 변경해 보안 소프트웨어에서 탐지가 매우 어렵습니다. 하단 그림에서와 같이 감염 파일에 무작위 가비지 코드와 API 콜을 삽입하기도 합니다.

그림 2. VIRLOCK의 탐지 우회 기술 코드 정보


또 다른 공격 수법

랜섬웨어의 지속적인 공격에서 주목할 만한 기술은 네트워크 드라이브의 데이터를 암호화하고, 이와 더불어 SMB(Server Message Block)를 공유하여 발견되는 모든 파일을 암호화 하는 것입니다. 2015년 등장한 CryptoFortress는 위와 같은 수법을 사용합니다. CRYPWALL 3버전과 4버전 또한 마찬가지로, 연결된 모든 드라이브로 확산하여 데이터를 암호화 합니다.

또 다른 변종인 PowerWare와 POSHCODER는 윈도우 PowerShell 기능을 악용합니다. CryptoLocker 공격에서는 C&C 서버 연결을 위한 DGA(Domain Generation Algorithm)도 처음 발견되었습니다. CryptXXX의 경우, 피해자의 정보를 탈취하여 지하시장에서 판매합니다.

랜섬웨어 공격자가 취약점을 이용하여 위협을 확산시킬 경우, 감염 피해 복구는 더욱 어려워집니다. SAMSAM은 Jexboss 익스플로잇을 악용하여 네트워크를 통해 취약한 서버에 침투하여 랜섬웨어 공격을 실행하였습니다.


다층 보안 설계

파일 암호화로부터 초래되는 불편함, 파일 복구 시도의 실패, 잠재적인 추가 피해로 인해 몇몇 기관들에서는 랜섬을 지불하는 것을 택하고 있습니다. 하지만 이것은 매우 위험한 결정이라고 할 수 있습니다. 한 번 랜섬을 지불할 경우, 돈을 지불하는 피해자로 인식되어 더 많은 랜섬웨어 공격의 대상이 될 수 있습니다.

랜섬웨어를 이해하는 것은 기업의 IT환경을 보호하기 위한 중요한 시작입니다. 파일을 백업하는 것은 보안의 가장 기초이지만, 그것만으로 끝나는 것이 아닙니다. 백업을 찾아내어 삭제하는 변종들이 계속 새롭게 등장하고 있기 때문입니다. 기업에서는 다층 보안 설계를 구축해야 합니다.

트렌드마이크로는 대기업, 중소기업 및 개인 사용자가 크립토 랜섬웨어의 피해를 최소화할 수 있는 대응책을 제공합니다.

트렌드마이크로의 Deep Discovery Email Inspector는 이메일로 들어오는 랜섬웨어가 사용자에게 도달하지 못하도록 방어합니다. 오피스스캔은 동작 모니터링, 애플리케이션 관리, 취약점 보호 등의 기능을 통해 엔드포인트를 보호합니다. Deep Discovery Inspector는 네트워크 상에서 랜섬웨어를 감지하며, Deep Security는 물리적, 가상, 클라우드 서버를 보호하는 역할을 합니다.

중소기업용 Worry-Free 비즈니스 시큐리티는 클라우드 기반 이메일 게이트웨이 보안인 이메일 보안 호스팅을 제공합니다. 또한 동작 모니터링, 실시간 웹 검증을 통해 엔드포인트에 도달하는 랜섬웨어를 탐지하고 차단합니다.

개인용 클라이언트 종합 보안 제품 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

최근 트렌드마이크로에서 발표한 무료 툴인 트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거합니다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구 입니다.


원문: Why Ransomware Works: Tactics and Routines Beyond Encryption




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략

https://www.trendmicro.co.kr/kr/blog/why-ransomware-works-tactics-beyond-encryption/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 26. 15:15


AVG 바이러스연구소는 최근 Bart 랜섬웨어에 대한 파일복구 툴을 제작했다. 랜섬웨어 중에서도 최신에 속하는 Bart 랜섬웨어는 이미 전 세계에 퍼졌으며 주로 사진과 이미지에 관련된 제목을 가진 이메일을 통해 배포된다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>


Bart 랜섬웨어는 Dridex 및 Locky 랜섬웨어 제작자가 만들었다고 추정된다. Dridex 그리고 Locky가 파일을 암호화시킨 상태로 다시 쓰는 반면 Bart의 경우 개별 파일을 별도의 암호화된 압축파일(zip)에 넣은 다음 원본 파일을 삭제한다. 물론 사용자가 돈을 지불하기 전까지는 해당 파일에 접근할 수 없다는 점은 마찬가지다.


Bart 랜섬웨어에 감염될 경우 파일의 원래 이름에 bart.zip이라는 확장자가 들어가기 때문에 감염을 바로 알아낼 수 있다. 바탕화면은 대체로 다음과 같은 그림으로 변경된다. 이 그림에 들어간 텍스트는 "Recover.bmp" 그리고 "recover.txt" 파일에 보관되며 Bart 랜섬웨어 식별의 단서가 될 수 있다.



여기에서 소개하는 AVG Bart 복호화툴은 복호화 작업에 앞서 암호화된 파일을 해당 파일의 원본과 비교하는 과정을 거쳐야 한다. 그러므로 툴을 다운받아 구동하기 전에 먼저 암호화되지 않은 파일을 비교대상으로 선택하고 다음 단계를 따른다.


1. 비교대상 파일을 선택한다. 만약 모든 파일이 암호화된 경우라면 (1) 클라우드나 외부저장기기 등에 보관된 파일 (2) 바탕화면 등 윈도우 표준 미디어파일 (3) 이메일에 첨부된 미디어파일을 사용한다.


2. 선택한 파일을 데스크탑에 복사한다. Bart 랜섬웨어는 금전을 요구하고 나서는 파일 암호화를 그치기 때문에 문제가 없다. 이 과정을 마치고 나서  Bart 복호화툴을 다운받아 실행한다. 툴이 실행되면 암호화된 파일과 암호화되지 않은 파일을 추가하라고 요청한다.



3. 파일을 선택하고 나면 나머지 과정은 툴에서 자동 진행한다.



Bart 랜섬웨어 AVG 복호화툴 다운로드링크

http://now.avg.com/barts-shenanigans-are-no-match-for-avg/




Jakub Kroustek, Bart’s Shenanigans Are No Match for AVG, 7. 19. 2016.

http://now.avg.com/barts-shenanigans-are-no-match-for-avg/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 21. 14:40



안드로이드 키스토어(Android KeyStore)는 안드로이드OS에서 암호화키와 사용자 계정정보를 보관하는 시스템인데 최근 보안분석가 두 명이 작성한 Breaking Into the KeyStore: A Pratical Forgery Attack Against Android Keystore라는 논문을 통해 취약점이 있다는 점이 밝혀졌다.   키스토어는 키별 할당작업을 수행하여 안드로이드 앱이 자체적인 암호화키를 보관 및 생성할 수 있도록 한다. 키스토어는 키를 격리 보관하여 기기에서 삭제되기 어렵도록 처리한다.


France Telecom Orange Labs에서 재직중인 연구원 Mohamed Sabt와 Jacques Traoré가 작성한 내용에 따르면 안드로이드 키스토어는 데이터 무결성을 보장하지 못하며 따라서 공격자가 들키지 않고 보관된 키를 변경할 수 있다고 한다. 연구진은 위조 공격으로 이러한 취약점을 악용하여 키스토어에 침입하는 과정을 시연했다고 한다. "악성앱이 다른 모바일앱으로 하여금 보안프로토콜을 적용에 취약한 키를 사용하도록 하는 공격이 가능하다.. 공격자가 들키지 않은 채 사용자 보안을 침해할 수 있다는 면에서 이는 명백한 위협이다."


연구진은 또한 어플리케이션이 키스토어에 대칭키를 보관하는 경우의 공격 시나리오를 제시하기도 했다. "예컨대 256비트 HMAC 키를 32비트 수준으로 몰래 변경하여 사용자가 실제 보안수준을 오인하도록 유도할 수 있다. 네트워크를 제어하는 외부자는 이를 악용하여 이렇게 취약한 키를 사용하는 프로토콜을 뚫어버릴 수 있다. 이 공격은 탐지되지 않은 채 진행될 수 있다는 점에서 실질적으로 중대한 위협이 될 수 있다."


연구진은 이번 연구가 보안 문제에서 직관을 믿어서는 안 된다는 중요한 사실에 방점을 찍고 있다고 설명한다. "시스템 설계자는 대체로 암호화방식을 선정할 때 입증된 안전성보다는 간결함을 기준으로 삼는 경향이 있다. 위 연구에서도 나타나듯 이는 시스템 전체에 심각한 결과를 초래할 수 있기 때문에 좋은 선택이 아니다."




VIPRE Security News, Android’s Encryption System Has Gaping Holes, Researchers Claim, 7. 18. 2016.

https://blog.vipreantivirus.com/security-news-room/androids-encryption-system-gaping-holes-researchers-claim/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 20. 13:09

위로가기