오피스에 해당하는글 3

근래 수많은 회사들을 공격한 랜섬웨어는 현존하는 중대한 위협이다. 랜섬웨어를 방지할 수 있는 가장 효과적인 방법은 바로 교육이며 이에 따라 본 인포그래픽은 기업에서 랜섬웨어 방지를 위해 따라야 할 실천수칙을 정리했다. 인포그래픽은 예방을 위한 대책 및 조언 외에 랜섬웨어가 실제 침투한 경우에 대비한 방안도 제시하고 있다.



- 인포그래픽 본문 -


랜섬웨어란 강력한 암호화키로 사용자 파일을 암호화시킨 다음 복호화의 대가로 돈을 요구하는 악성코드다. 랜섬웨어는 주로 이메일 첨부물이나 악성웹사이트 링크를 통해 배포되며 피해방지를 위해서는 예방이 최선책이다.


1.  주기적으로 데이터 백업: 주기적으로 백업이 된 상태라면 랜섬웨어에 감염된 파일을 신속히 되찾을 수 있다. 백업도 감염되는 사태를 방지하기 위해서는 해당 백업을 읽기전용으로 설정하고 오프라인 또는 클라우드로 백업을 격리시켜야 한다.


2. 주기적으로 소프트웨어 패치: 운영체제, 브라우저, 어플리케이션, 네트워크기기의 패치를 최신으로 유지한다면 악성코드에 대한 취약점을 줄이고 랜섬웨어의 일반적 감염경로를 차단할 수 있다.


3. 의심 트래픽 모니터링 및 차단: 침임 탐지⋅방지 시스템(IDS⋅IPS)을 통해 의심스러운 트래픽을 모니터링하고 필요한 경우 사용자에게 알리거나 지정된 조치를 즉각 실행하도록 할 수 있다. 의심 트래픽 차단을 통해 감염확산을 막고 데이터피해 확대를 방지할 수 있다.


4. 인터넷 다운로드파일 검사: 웹모니터링 솔루션을 통해 인터넷에서 다운받은 파일을 검사하고 사용자의 악성웹사이트 접근을 방지할 수 있다. 이 경우 피싱이메일이 필터링을 통과하고 사용자가 링크를 클릭하는 경우에도 악성웹사이트 접속이나 감염된 파일 다운로드를 차단할 수 있다.

<참고: GFI WebMonitor 웹모니터링솔루션>


5. 이메일첨부물 검사: 이메일보안 솔루션을 통해 첨부물을 검사하거나 특정한 파일유형에 해당하는 첨부물을 차단하고 여기에 안티바이러스 솔루션을 통한 엔드포인트 실시간 모니터링을 병행한다면 랜섬웨어를 더욱 효과적으로 방지할 수 있다.

<참고: GFI MailEssential 이메일보안솔루션>


6. 의심 실행파일 구동 차단: 윈도 소프트웨어제한정책(Windows Software Restriction Policy)이나 IPS 소프트웨어를 통해 '%userprofile%\AppData', '%ProgramData%', '%Temp%' 등 랜섬웨어가 사용한다고 알려진 폴더에서 실행파일이 구동되지 못하도록 할 수 있다.


7. "알려진 파일유형 확장자 숨김(Hide extensions for known file types)" 해제: 랜섬웨어는 잘 알려진 파일유형으로 위장을 시도한다. 악성파일이 PDF 문서로 위장할 경우 "’Invoice.pdf.exe"와 같은 이름을 사용하게 되는데 이 경우 파일확장자가 숨겨진다면 사용자 측에서 해당 파일을 식별해내기 어려워진다.


8. 마이크로소프트 오피스제품군 보안설정 강화: 최근 발견된 랜섬웨어들은 감염된 마이크로소프트 워드 문서를  통해 정상적인 인보이스로 위장한 다음 악성코드를 다운받아 구동시킨다. 그룹정책을 통해 마이크로소프트 오피스 어플리케이션의 매크로 작동을 차단함으로써 감염가능성을 줄일 수 있다.


9. 사용자권한 제한: 사용자가 필요한 만큼만 권한을 가지고 로그인하도록 하면 맬웨어 감염의 피해를 줄일 수 있고 랜섬웨어가 네트워크 전체로 번지는 사태를 방지할 수 있다.


10. 사용자교육 실시: 상당수 보안위협대책의 마지막 축은 사용자 측에 있다. 랜섬웨어는 부주의한 사용자가 요청한 바 없는 이메일 첨부물을 열거나 악성링크를 클릭하는 등 직접 감염된 파일을 다운받고 실행하는 행동을 하지 않기만 해도 랜섬웨어의 위협을 크게 줄일 수 있다.

  1. 전송자를 알지 못하는 경우 이메일첨부을 열거나 링크를 클릭하지 않도록 한다.

  2. 예정에 없는 이메일의 경우 도메인 철자오류나 제목 및/또는 본문 형식오류 여부를 확인한다.

  3. 의심 파일이나 이메일은 즉시 관계 인력이나 부서에 연락하도록 한다.





GFI Software, 10 ways to prevent ransomware headaches [infographic], 7. 21. 2016.

http://www.gfi.com/blog/wp-content/uploads/2016/07/GFI_Software_Ransomware_Infographic_final_1.jpg


번역: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 25. 16:41

Zepto는 최신 랜섬웨어 변종으로 유명한 로키(Locky) 랜섬웨어와 상당히 유사하며 특히 Zepto 랜섬웨어에 대한 합의금 지불 페이지로 들어가면 아래와 같은 메시지를 볼 수 있다. Zepto와 로키의 차이는 암호화시킨 파일의 확장자가 .locky가 아닌 .zepto가 된다는 데 있다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>


 


Zepto 감염과정

 

Zepto는 이메일에 zip 압축파일 또는 docm 문서파일로 첨부돼 피해자 컴퓨터에 도달한다.


 


zip 압축파일을 열면 .js(자바스크립트) 확장자를 가진 파일을 열게 된다. 문서처럼 보이는 파일의 형식이 자바스크립트라는 점이 다소 이상할 수 있지만 윈도 운영체제는 기본적으로 .js 확장자를 숨기고 해당 파일을 텍스트파일처럼 보이게 한다. 이 파일을 열먼 스크립트 프로그램이 실행되어 .exe 형식 랜섬웨어가 다운되고 실행된다. 한편 docm 파일을 열면 마이크로소프트 워드가 기본 실행된다.


 

한편 docm은 매크로문서(document with macros)의 약자를 딴 파일형식으로 VBA(Visual Basic for Applications, 어플리케이션 비주얼베이직)로 작성된 내부 스크립트를 포함하고 있다. VBA는 자바스크립트와 많은 부분에서 유사한 프로그래밍 언어며 맬웨어 배호 등 다양한 목적으로 활용될 수 있다. 오늘날 마이크로소프트 워드에서는 매크로가 기본적으로 실행되지 않지만 Zepto 랜섬웨어의 경우 옵션을 통한 보안설정 변경을 유도하기 위해 아래와 같이 매크로를 허용하여 보안을 향상해야 한다는 식의 메시지를 띄운다. 이 때 매크로를 허용하게 되면 자바스크립트 파일을 여는 경우와 마찬가지로 VBA 스크립트 실행을 통해 .exe 랜섬웨어가 다운로드된다최근 사례에서는 아래와 같이 빈 문서에 VBA 매크로가 숨겨진 경우도 발견됐다.


 

Zepto는 로키와 비슷하게 우선 공격자가 운영하는 웹서버와 통신하여 암호화키를 다운받는다. 암호화된 데이터파일은 조작되고 이름 또한 변경돼 다음과 같이 보이게 된다.

 

FA3D5195-3FE9-1DBC-E35E-89380D21F515.zepto

FA3D5195-3FE9-1DBC-7E8D-D6F39B86044A.zepto

FA3D5195-3FE9-1DBC-1683-7BF4FD77911D.zepto

FA3D5195-3FE9-1DBC-30B9-E2FF891CDB11.zepto

 

각 파일 이름의 전단 부분은 모든 파일에 대해 동일하며 피해자가 돈을 지불할 때 공격자 측에서 그 피해자를 식별하는 역할을 판다.

 

파일 암호화가 완료되면 Zepto는 지불방법(how to pay) 메시지를 띄워 돈을 지불하면 파일을 복구할 수 있음을 알린다. 이 메시지는 데스크탑 배경화면, 윈도 포토뷰어(Photo Viewer)로 열리는 이미지, 파일이 암호화된 디렉토리에 생성되는 HTML 페이지의 형태로 나타난다. 지불방법 메시지에 나오는 개인식별 ID는 암호화된 파일 이름 전단과 동일하다.


 


감염 대처요령

자바스크립트 첨부물을 파일탐색기(Explorer).js 파일을 메모장으로 열도록 한다.

조작된 파일확장자를 식별하려면 파일탐색기를 통해 파일확장자가 보이도록 한다.

VBA 랜섬웨어 방지하려면 오피스가 인터넷에서 다운받은 문서에서 매크로를 실행하지 않도록 설정

랜섬웨어 방지 참고자료(PDF 문서):

https://www.sophos.com/en-us/medialibrary/Gated%20Assets/white%20papers/sophosransomwareprotectionwpna.pdf?la=en

랜섬웨어 방지 참고자료(팟캐스트):

https://nakedsecurity.sophos.com/2014/11/25/sophos-techknow-dealing-with-ransomware/


 

 

Paul Ducklin, Is Zepto ransomware the new Locky?, 7. 5. 2016.

https://nakedsecurity.sophos.com/2016/07/05/is-zepto-ransomware-the-new-locky/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 8. 13:20


파일유형에 따른 위험성

 

컴퓨터를 사용자들은 대체로 실행파일(.exe)가 위험할 수 있다는 사실은 알고 있지만 사실 윈도우 운영체제에는 실행파일 말고도 위험성을 안고 있는 파일확장자가 적지 않으며 심지어 화면보호기 파일도 위험할 수 있다.

 

웹에서 다운받았거나 이메일에 첨부된 파일이 열어도 안전한지 알기 위해서는 우선 어떤 파일확장자가 위험성을 가지고 있는지 알아야 한다. 위험성이 있는 파일을 취급해야 하는 경우라면 해당 파일을 안티바이러스 프로그램으로 검사하거나 VirusTotal과 같은 맬웨어 데이터베이스에 등록하는 등의 조치를 통해 바이러스 등 맬웨어가 아닌지 확실히 해야 한다.

 

파일확장자가 종류에 따라 위험성을 가지는 이유는 코드를 포함하거나 임의명령을 실행할 수 있기 때문이다. 위에서 언급한 .exe 파일은 윈도우 사용자계정제어(User Account Control)의 범위내에서 사실상 무엇이든 할 수 있기 때문이다. 반면 .jpeg 이미지나 .mp3 음원파일 등 미디어파일은 기본적으로 코드를 포함하지 않기 때문에 위험성이 없다(악성으로 조작된 이미지 등 미디어파일이 뷰어 어플리케이션의 취약점을 악용할 수 있었던 사례가 있지만 이런 경우는 극히 드물며 보완도 신속히 이루어진다).

 

프로그램

.EXE 프로그램 실행파일로 윈도우 운영체제에서 실행되는 어플리케이션은 대부분 .exe 파일이다.

.PIF MS-DOS 프로그램에 대한 프로그램 정보파일로 원래는 실행코드를 포함하지 않지만 만약 실행코드가 포함된 경우라면 윈도우에서 .exe와 동일하게 인식되어 실행될 수 있다.

.APPLICATION 마이크로소프트 ClickOnce 기능을 토대로 한 어플리케이션 인스톨러.

.GADGET 윈도우 비스타(Vista)부터 도입된 바탕화면 가젯(gadget) 기능을 작동시키는 가젯 파일.

.MSI 마이크로소프트 인스톨러 파일로 실행시 컴퓨터에 다른 어플리케이션을 설치한다. 참고로 .exe 또한 어플리케이션을 설치할 수 있다.

.MSP 윈도우 인스톨러 패치파일로 .MSI 파일로 설치된 어플리케이션에 대한 패치 용도로 사용된다.

.COM MS-DOS가 사용하는 프로그램 유형.

.SCR 윈도우 화면보호기로 실행코드를 포함할 수 있다.

.HTA HTML 어플리케이션으로 브라우저에서 실행되는 HTML 어플리케이션과 달리 샌드박스 투입 없이 신뢰되는 어플리케이션으로 실행된다.

.CPL 제어판(Control Panel) 파일로 윈도우 제어판에 있는 모든 유틸리티는 .CPL 파일이다.

.MSC 마이크로소프트 관리콘솔(Management Console) 파일로 그룹정책편집기 및 디스크관리툴과 같은 어플리케이션이 .MSC 파일이다.

.JAR 자바 실행코드를 포함하고 있는 파일로 자바 런타임이 설치된 경우 .JAR 파일이 프로그램으로 실행된다.




 

스크립트

.BAT 배치(batch) 파일로 본래 MS-DOS에서 사용되며 열게 되면 컴퓨터에서 실행되는 명령 목록을 포함하고 있다.

.CMD .BAT와 유사한 배치파일이지만 윈도우NT에서부터 도입됐다.

.VB, .VBS VBScript 파일로 실행시 VBScript 코드를 실행하게 된다.

.VBE 암호화된     VBScript 파일로 일반적인 VBScripty 파일과 유사하지만 실행시 어떤 결과가 나올지 예측하기 어렵다.

.JS 자바스크립트 파일로 주로 웹페이지에서 사용되며 웹브라우저에서 실행시 안전하다. 하지만 윈도우에서는 .JS 파일을 브라우저 외부에서 샌드박스 투입 없이 실행시키기 때문에 위험성이 있다.

.JSE 암호화된 자바스크립트 파일.

.WS, .WSF 윈도우 스크립트 파일

.WSC, .WSH 윈도우 스크립트 구성요소(Script Component) 및 윈도우 스크립트 호스트(Script Host) 파일로 윈도 스크립트 파일과 함께 사용된다.

.PS1, .PS1XML, .PS2, .PS2XML, .PSC1, .PSC2 윈도우 파워쉘(PowerShell) 스크립트로 파일 내에 지정된 순서대로 파워쉘 명령을 실행한다.

.MSH, .MSH1, .MSH2, .MSHXML, .MSH1XML, .MSH2XML 파워쉘의 전신인 모나드(Monad) 스크립트 파일.


 


바로가기

.SCF 윈도 탐색기(Explorer) 명령파일로 위험한 명령을 윈도 탐색기에 넘길 수 있다.

.LNK 컴퓨터에 깔린 프로그램에 대한 링크로 사용자에 대한 문의 없이 파일을 삭제하는 등의 위험한 행동을 실행할 수 있는 명령어 속성을 포함할 수 있다.

.INF AutoRun이 사용하는 텍스트파일로 실행시 동반하여 실행되는 어플리케이션이 위험할 수도 있으며 윈도우에 포함된 프로그램에 위험한 옵션을 전달할 수도 있다.

 

기타

.REG 윈도 레지스트리 파일로 실행시 추가하거나 삭제할 레지스트리 입력 목록이 들어 있다. 악성 .REG 파일은 레지스트리에서 중요한 정보를 제거하고 이를 불량 또는 악성 데이터로 대체해 버릴 수 있다.


 

오피스(Office) 매크로

.DOC, .XLS, .PPT 마이크로소프트 워드, 엑셀, 파워포인트 문서로 악성 매크로코드를 포함할 수 있다.

.DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM, .PPSM, .SLDM 오피스 2007부터 도입된 파일확장자로 확장자 끝의 M은 해당 문서가 매크로를 포함한다는 사실을 가리킨다. 예를 들어 .DOCX 파일은 매크로가 없는 반면 .DOCM 파일은 매크로를 포함할 수 있다.

 

 


Chris Hoffman, 50+ File Extensions That Are Potentially Dangerous on Windows, 2. 12. 2013.

http://www.howtogeek.com/137270/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 6. 22. 14:25

위로가기