정보보안에 해당하는글 36



가정용 라우터는 보안이 취약한 편이며 허술하게 제작된 수많은 라우터들이 사이버공격에 노출된 실정이다. 가정용 라우터는 스마트폰 시장처럼 여러 제조업체들이 수많은 종류의 기기를 대규모로 제작하지만 이들 기기에 대한 업데이트 등 후속조치가 철저하지 못하며 이 때문에 공격에 쉽게 노출될 수 있다. 여기에서는 라우터 보안 결함이 야기할 수 있는 문제와 이를 확인하는 방법을 소개한다.

 

공격자는 사용자 라우터의 DNS 서버 설정을 변경하여 사용자 접속을 악성 DNS 서버로 이동시키는 수법을 자주 사용한다. 사용자가 예를 들어 은행 웹사이트에 접속하고자 할 경우 위와 같이 정상적인 DNS가 아닌 악성 DNS 서버를 거친다면 원래 은행이 아닌 피싱 사이트로 접속하게 된다. 이 때 주소창에는 여전히 정상적인 은행 URL이 적혀 있을 수 있다.

 

라우터 해킹 과정에는 많은 경우 사이트 간 요청 조작(cross-site request forgery, CSRF) 수법이 쓰인다. 공격자가 웹페이지에 악성 자바스크립트를 첨부시키면 이 자바스크립트가 라우터 웹기반 관리페이지를 열어 설정을 변경한다. 해당 자바스크립트가 사용자 로컬네트워크 내부의 기기에서 작동하는 한 그 로컬네트워크 내부에서만 접근 가능한 라우터 웹인터페이스에 접근할 수 있기 때문이다. 몇몇 라우터의 경우 원격관리 인터페이스가 초기 사용자이름과 암호를 통해 작동되는 상태일 수도 있으며 봇은 인터넷을 통해 이런 라우터를 검색하여 접속할 수 있다. 한편 상당수 라우터에서 발견되는 UPnP 취약점 악용 등 다른 방식의 취약점악용 가능성도 존재한다.

 

공격자가 이렇게 DNS 서버 악용에 성공했다면 이를 광고주입, 검색결과 조작, 악성코드 방문다운로드(drive-by download) 유도 등에 활용한다. 있다. 광고주입과정을 살펴보면 구글분석기(Google Analytics)를 비롯하여 거의 모든 웹사이트가 사용하는 각종 스크립트를 수집하여 해당 접속을 광고주입 스크립트를 제공하는 서버로 변경시킬 수 있다.

 

DNS 요청시간이 비정상적으로 지연될 경우 이는 라우터 감염의 징후로 볼 수 있다. 또한 위와 같이 피싱 사이트에 접속된 경우 HTTPS 암호화가 표시되지 않은 경우라면 이 역시 위험하다는 신호다. 또한 SSL 제거(SSL striping) 수법은 전송 중인 데이터의 암호화를 제거해 버릴 수도 있다. 물론 악성 DNS 서버는 모든 요청에 일일이 응답하지는 않으며 대부분의 요청을 시간초과 처리하여 요청자에 대한 본래 ISP의 기본 DNS 서버로 접속을 이동시키지만 일부 요청이라도 자체적으로 별도 입력된 악성 URL로 이동시킨다는 것이 문제다.

 

 

확인방법 및 조치

라우터의 웹기반 인터페이스에 접속하면 라우터의 설정 현황을 확인할 수 있다. 라우터 사용자이름과 암호를 통해 접속하여 DNS 설정을 확인한다. 만약 설정이 자동(automatic)으로 돼 있다면 DNS 요청이 기본 ISP를 경유하기 때문에 염려하지 않아도 된다. 반대로 수동(manual) 상태로 돼 있으며 별도의 DNS 서버가 입력된 상태라면 문제가 될 수 있다. DNS 서버 변경은 라우터 해킹의 징후로 볼 수 있기 때문이다. 물론 별도의 DNS 서버가 구글 DNS(8.8.8.8, 8.8.4.4) 또는 OpenDNS(208.67.222.222, 208.67.220.220)처럼 건실한 DNS 서버라면 문제가 안 되지만 이렇게 잘 알려진 DNS 서버가 아닌 생소한 서버 주소가 보인다면 맬웨어가 주소를 변경했을 가능성이 있으며 이를 확실히 하려면 해당 주소를 웹에서 검색해 보면 된다. 만약 주소가 0.0.0.0인 경우는 공백으로 처리되어 DNS 설정이 자동으로 이루어지기 때문에 문제가 없다. 전문가들은 이러한 확인이 주기적으로 해 주는 게 좋다고 한다.



 

위와 같이 확인한 결과 악성 DNS로 설정된 경우라면 ISP로부터 자동으로 DNS를 받도록 설정하거나 구글 DNS와 같이 신뢰할 수 있는 DNS 주소를 입력하면 된다. 또는 라우터 설정을 완전히 초기화하는 방법도 있다.


 

 

라우터 보안 강화 방법

펌웨어 업데이트 라우터 펌웨어는 항상 최신으로 유지돼야 한다. 만약 라우터에 펌웨어 자동업데이트 기능이 있다면 이를 사용하는 방법이 제일 좋지만 라우터 대부분은 이러한 자동업데이트 기능을 가지고 있지 않다.

원격접속 해제 라우터 웹기반 관리페이지에 대한 원격접속을 차단한다.

암호 변경 라우터 웹기반 관리페이지 비밀번호를 변경하여 초기 비밀번호 단계에서 뚫리는 일이 없도록 한다.

UPnP 기능 해제 UPnP는 그 자체로 취약성이 있으며 라우터 자체 UPnP에 문제가 없더라도 로컬네트워크 어딘가에 맬웨어가 있다면 UPnP를 사용하여 DNS 서버를 변경시킬 수 있다. UPnP는 로컬 네트워크 내부에서 발신되는 요청은 전부 신뢰하기 때문이다.

 

한편 DNSSEC 기능은 본래 도메인 접속에 대한 추가 보안대책이지만 이 경우에는 큰 효용이 없다. 실제로 클라이언트PC는 설정된 DNS 서버를 신뢰하는 데 그칠 뿐이다. 악성 DNS 서버의 입장에서는 자기네 DNS 기록이 DNSSEC에 등록되지 않았다고 주장하거나 IP주소가 진정하다고 주장하면 그만이다.


 

 

 

Chris Hoffman, How to Check Your Router for Malware, 8. 31. 2015.

http://www.howtogeek.com/227384/how-to-check-your-router-for-malware/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 6. 23. 14:06



일반적인 회사는 매일 엄청나게 많은 사이버보안 경고에 시달리며 사이버공격을 통해 목표 시스템에 대한 맬웨어 침투의 성공가능성도 결코 작지 않다. 이렇게 보면 지능형 사이버공격 대응에는 왕도가 없다고 할 만하다. 최근 EMA 보고에 따르면 응답자의 88%가 하루에 받는 중요 사이버보안 경고는 최대 500건에 달하며 이들 중 80%는 이러한 경고를 일일 11~25건밖에 조사하지 못한다고 한다. 위협의 대부분이 조사조차 받지 않은 채 시스템에 머무를 수 있다는 의미다. IT부서에 수많은 인력을 투입해도 조사해야 할 위협의 양은 줄어들지 않으며 이는 잠재적 위협을 사전에 예상하기 위해 필요한 정보를 얻기가 대단히 곤란함을 뜻한다.

 

맬웨어가 시스템에 침투하는 과정은 이하의 세 가지 방법을 통해 진행된다.

파일기반 공격은 기존 파일을 변경하거나 또는 종래 탐지수단으로는 탐지되지 않는 위치로 옮김으로써 맬웨어를 숨긴다.

파일 없는 공격은 맬웨어 배포 또는 실행 과정에서 파일에 의존하지 않고 메모리에 머무르기 때문에 탐지가 더욱 어렵다.

맬웨어 없는 공격은 침탈된 계정정보를 활용하여 시스템에 접속하기 때문에 정상적인 사용자와 잠재적 공격을 분리해서 판단하는 데 어려움이 따른다.

 

 

파일기반 공격(File-based Attacks)

 

사이버공격의 대부분은 파일에 의존하는 방법을 사용하며 시그내쳐(signature) 탐지 엔진의 한계를 활용한다. 소프트웨어 패킹, 코드 다중변형, 코드 드롭/다운로드와 같은 지능형 수법의 경우 탐지코드의 신속한 변환을 방지할 수 있다. 이러한 공격이 통하는 이유는 침투대상의 보안전략에 사각지대가 존재하기 때문이다. 이렇게 시그내쳐 탐지를 우회할 수 있는 공격에 대해서는 행동기반 솔루션에 의한 실시간 탐지가 요구된다. 이 경우 다층방어대책이 큰 효과를 발휘할 수 있다.

 


파일 없는 공격(File-less Attacks)

 

파일 없는 공격은 기존 프로세스와 승인된 어플리케이션을 활용하여 공격을 실행한다. 파일 없는 공격은 별도로 파일을 유포하거나 기존 파일의 변경에 의존하지 않는 지능적 방식을 취하기 때문에 일반적인 엔드포인트 솔루션의 탐지를 피할 수 있다. 동적 맬웨어분석은 이러한 파일 없는 공격에 대한 방어를 강화할 수 있는 좋은 방법이다. 샌드박스를 사용한다면 행동관찰을 통해 탐지 및 예방을 동시에 챙길 수 있다. 하지만 고도로 지능화된 공격의 경우 가상화된 공간과 샌드박스를 탐지해 낼 수 있어서 이러한 동적 맬웨어분석을 회피해 버릴 수 있다. 이 경우 커널에서 구동되고 시스템 자체(네이티브)에서 작동하여 정교한 맬웨어와 VM탐지가능 코드의 탐지를 피할 수 있는 샌드박스가 가장 좋은 방법이다.


 

맬웨어 없는 공격(Malware-less Attacks)

 

차세대 맬웨어는 시스템 사이를 수평적으로 이동할 수 있기 때문에 가장 탐지하기 어렵다. 공격자는 침탈된 계정과 기존의 관계를 활용하여 탐지되지 않은 채 네트워크 내부에 침투할 수 있으며 계정정보와 툴을 조사, 판단, 수집하기 위해 자동수법과 수동수법을 모두 사용하게 된다. 대체로 공격자가 이 정도 단계에 이르고 나면 공격대상 환경에서 높은 수준의 자유도를 확보할 수 있기 때문에 기존 방법으로는 탐지가 대단히 어렵다.

 

이 경우 이상적인 해법은 기존 방어대책의 사각지대를 해소할 수 있는 실시간 행동양상 탐지에 있다. 발견된 위협과 네트워크 이상활동의 연관성을 식별 및 판단할 수 있는 지능형솔루션은 위와 같은 공격의 수평이동을 밝혀내는 데 도움이 된다. 완전한 네트워크 가시성은 지능형 공격 방지를 위해 필수적이며 방화벽 안쪽에서 은신하는 맬웨어를 잡아낼 수 있는 유일한 방법이다.


 

언제나 그렇듯 공격 탐지의 주안점은 정보를 최대한 많이 확보하는 데 있으며 이론적으로 생각하면 보안운영자는 이를 통해 유리한 고지를 선점할 수 있다. 하지만 현실적으로는 최대한 많은 정보의 수집은 지나치게 많은 정보로 이어진다. 하루에 주어진 시간도 제한될 뿐더러 보안인력도 제한되기 때문에 이렇게 많은 정보를 그대로 처리해서는 네트워크의 정확한 상황을 파악하기 곤란하다. 실제로 ThreatTrack에서 201510월 조사한 내용에 따르면 응답자의 44%는 기업보안에서 가장 어려운 부분으로 보안운영의 복잡성을 꼽았으며 또한 61%는 위협이 나날이 정교해짐으로 인해 기업의 공격에 노출될 위험이 늘어나고 있다고 응답했다.

 

이렇게 공격자에게 끌려가는 판세를 바꾸는 길은 바로 올바른 정보를 획득하고 상황의 종합적 이해를 구함으로써 패러다임을 전환하는 데 있으며 이는 신속한 탐지와 우선순위에 따른 대응이 예방만큼 중요하다는 사실을 인지함으로써 실현될 수 있다. 이러한 패러다임 전환을 도와줄 수 있는 내용은 다음과 같다.

사건을 단순히 알리는 데 그치지 않고 이들을 서로 연관시키는 서비스중심 관점을 채택한다.

커널기반 샌드박스를 사용하여 맬웨어 공격을 파악하고 지능형맬웨어에 의한 역탐지를 방지한다.


<참고: ThreatAnalyzer 맬웨어분석 샌드박스>


지능형공격의 네트워크 내 수평이동을 탐지할 수 있는 보안전략을 수립한다. 발견된 위협과 네트워크 이상활동의 관련성을 판단하여 가시성과 맥락정보를 확보한다.

지능형 보안솔루션을 평가하거나 또는 맥락정보와 반응시간 연장을 제공할 수 있는 솔루션 추가도입을 고려한다.

 

보안전략에서 어떤 단계에 있든 패러다임 전환은 어려운 일이지만 빠를수록 바람직하다는 점은 분명하다. 사이버공격의 가능성은 상존하며 나날이 지능화되는 사이버공격을 방지하기 위해서는 회사보안에 빈틈이 없어야 한다. 맥락정보를 많이 확보할수록 공격위험을 보다 빠르고 효과적으로 판단할 수 있으며 반응시간을 연장할 수 있고 현재 혹은 장래의 사건을 예상할 수 있다.

 

 


ThreatTrack Security CSO Blog, Advanced Attacks and How to Stop Them, 6. 8. 2016.

https://blog.threattrack.com/cso/advanced-attack-methods-stop/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 6. 22. 14:13

 


ThreatTrack의 지능형맬웨어방지제품 ThreatSecure Network®14회 아메리칸비즈니스어워즈(American Business Awards)에서 2016Silver Stevie 소프트웨어 보안솔루션 부문 올해의 신제품에 선정됐다. 이번 시상에는 다양한 규모와 분야의 기업을 통해 총 3400여 후보가 지명됐으며 세계 각지의 전문가 250여명이 수상자 선정에 참여했다.

  

ThreatTrack Security 사장 Jason Greenwood는 다음과 같이 설명한다. "이번 수상을 통해 오늘날 정교한 사이버공격의 배후가 되는 맬웨어 퇴치를 위해 ThreatTrack이 선보인 혁신의 가치가 입증됐다. ThreatTrack은 기업들이 네트워크를 방어하고 데이터를 보호할 수 있는 능력을 갖추도록 지원한다. 이번 수상은 ThreatSecure 개발팀의 노력과 열정이 인정받은 결과라고 하겠다."

 <참고: ThreatAnalyzer 맬웨어분석 샌드박스>

 <참고: ThreatIQ 맬웨어 데이터베이스>

 

ThreatSecure Neworks는 지능형 맬웨어방지 기능을 제공하여 사이버보안인력이 사이버공격을 식별 및 저지하는 과정을 뒷받침하도록 설계됐다. 발견된 위협 및 네트워크 이상행동에 대한 실시간분석을 토대로 사이버공격의도를 파악하기 위해 기업 네트워크에 대한 높은 가시성을 제공하며 이러한 가시성 제공을 통해 맬웨어감염을 식별하고 네트워크상 전파, 복제, 침투나 진행 중인 공격의 징후를 탐색할 수 있다. ThreatSecure Network의 주요 강점은 다음과 같다.

진행 중인 공격을 탐지하고 행동변화를 식별하여 공격의도 파악

실시간 위협탐지

분석 중 관측된 네트워크활동 연관성 조사

악성URL 관련 세션 차단 및 보고

 

아메리칸비즈니스어워즈는 미국의 일류 기업수상프로그램이다.


아메리칸비즈니스어워즈에 대한 상세정보와 2016년도 Stevie 수상자 명단은 다음 링크 참고. http://www.stevieawards.com/ABA


ThreatTrack 지능형 맬웨어방지솔루션에 대한 상세정보는 다음 링크 참고

https://www.threattrack.com/network-security-threats.aspx

 

 

 

ThreatTrack Security CSO Blog, Another Win for ThreatTrack’s Advanced Malware Protection, 6. 9. 2016.

https://blog.threattrack.com/cso/another-win-threattracks-advanced-malware-protection/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

보안솔루션

날짜

2016. 6. 15. 14:30

 맬웨어분석툴은 지능형 공격을 탐지할 수 있다.

 


우수한 맬웨어분석 샌드박스의 요건은 무엇인가. 이하에 네트워크 내 맬웨어의 행동을 정확히 파악하기 위해 샌드박스 솔루션에 갖춰야 할 요건을 소개한다.

 

간편성: 샌드박스는 사이버 보안대책을 복잡하게 하는 게 아니라 강화하기 위한 수단이다. 맬웨어분석툴은 맬웨어분석 프로세스를 간소화하여 효율성을 최대로 끌어올릴 수 있어야 한다.

 

가격효율성: 샌드박스가 빠르면서도 생산성을 향상사킬 수 있다면 비용절감에 도움이 된다. 가격효율이 좋은 샌드박스를 통해 시간을 절약하고 맬웨어 처리량을 늘릴 수 있다.

 

유연성: 샌드박스 커스터마이징의 유연성이 커질수록 맬웨어 노출에 대한 위험을 보다 잘 식별할 수 있다. 이상적인 커스터마이징이 제공하는 기능은 다음과 같다.

클라이언트 커스터마이징: 정해진 기기에 대한 맬웨어의 영향 그리고 해당 기기가 표적특화공격의 대상이 될 수 있는지 판단할 수 있다.

플러그인 커스터마이징: 단순한 작동/해제를 맬웨어를 작동시키는 데 그치지 않고 맬웨어의 행동을 토대로 분석 과정에서 시스템의 행동을 조작할 수 있는 샌드박스가 좋다.

맬웨어탐지규칙: 제품의 기본 탐지규칙과 맞춤형 탐지규칙을 분리하고 사용자가 직접 탐지규칙을 작성할 수 있다면 사용자 필요에 맞추어 선택의 폭을 넓힐 수 있다.

역탐지회피: 시스템에 유해한 파일이나 URL을 찾아내기 위해서는 맬웨어가 샌드박스에서 작동하고 있다는 사실을 알아채지 못하도록 해야 한다. 이렇게 보면 커널기반 솔루션이 좋은 선택이 된다.

 

종합분석기능: 직관적인 인터페이스를 통해 간편한 패턴 분석이 가능해야 한다. 샌드박스의 주된 목적은 잠재적 맬웨어의 행동을 분석하는 데 있으며 이 작업이 쉽고 빨라질수록 좋은 솔루션이다.

 

오늘날 데이터침탈사고와 사이버공격이 나날이 늘어나고 있는 상황에서 단일한 범용수단만 가지고는 맬웨어위협을 제대로 파악하기 어렵다. 특히 ThreatAnalyzer 6.0과 같이 현대화된 분석프로세스를 보유한 툴은 맬웨어분석의 효율성을 개선하고 분석결과를 신속하게 제공할 수 있다.

 

이상의 주요 특장점은 위험을 이해하고 격리된 환경에서 악성행동을 관측하는 데 도움이 될 수 있다.


ThreatTrack 샌드박스솔루션 ThreatAnalyzer 6.0에 대한 상세정보는 다음 링크 참고.

 <참고: ThreatAnalyzer 맬웨어분석 샌드박스>

 

 

 

ThreatTrack Security CSO Blog, Five Characteristics of a Top-Notch Sandbox, 2. 29. 2016.

https://blog.threattrack.com/cso/five-characteristics-of-a-top-notch-sandbox/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 6. 15. 14:14

 

랜섬웨어는 미국을 비롯한 세계 각지의 기업들에게 중대한 온라인보안위협으로 떠올랐다. 이제는 공공기관조차 랜섬웨어 위협에서 자유롭지 못하다. 2015년 미국 매사추세츠 주 경찰은 파일 복호화를 위하 사이버범죄자들에게 500달러를 지불한 적이 있으며 이는 수많은 피해사례 중 하나에 불과하다.

 

랜섬웨어 소개

랜섬웨어는 스팸이나 피싱이메일을 통해 전달되어 사용자가 악성링크를 클릭하도록 유도하며 컴퓨터시스템, 기기, 파일에 대한 접근을 차단하고 이를 인질삼아 접근을 재개시키는 대가를 비트코인이라는 인터넷통화의 형태로 요구한다. ThreatTrack 제품담당수석 Usman Choudhary는 다음과 같이 설명한다. "사이버범죄자들의 이러한 수법이 먹히는 이유는 소비자와 기업이 기업 지적재산에서부터 가족사진에 이르기까지 온갖 데이터를 탈취당하여 돈을 주지 않는 이상 이를 복구할 길이 없는 상황에 대한 대비가 전혀 안 된 상태기 때문이다. 기업 보안전문가들조차 3명에 1명꼴로 탈취되거나 암호화된 데이터를 안전하게 복구하기 위해 돈을 지불할 용의가 있다고 응답했으며 이미 표적이 된 기업에서는 이 비중이 55%까지 올라갔다." 이하에서는 바이퍼(VIPRE) 안티바이러스팀이 개인과 기업이 모두 따를 수 있는 랜섬웨어 대비요령을 소개한다.

 

1. 데이터백업

언제나 데이터사본을 백업해 둬야 한다. 외장 하드드라이브의 경우 공급량이 늘어나고 가격이 떨어지고 있기 때문에 간편하고 저렴한 백업수단이 된다. 또한 각종 클라우드솔루션을 통해 자동으로 외부서버에 백업하는 방법도 있다. Carbonite, CrashPlan, Mozy 등 백업서비스는 클라우드에 데이터를 보관하게 하여 랜섬웨어공격 상황을 복구할 수 있고 또한 화재, 홍수, 토네이도, 지진과 같은 자연재해의 경우에도 보호받을 수 있도록 한다. 이는 랜섬웨어의 협박을 피할 수 있는 가장 좋은 방법이다.

 

2. 데이터백업 주기적으로 실행

데이터백업도 중요하지만 최종백업 시점이 언제인지 기억할 수 정도로 시간이 지난다면 백업의 효과를 거둘 수 없다. 되도록 매일 그리고 적어도 일주일에 한 번 데이터를 백업하도록 해야 한다.

 

3. 종합 맬웨어방지솔루션 사용

랜섬웨어를 차단하고 잡아내기 위해서는 다양한 방어대책을 활용해야 한다. 개인사용자의 경우 바이퍼 솔루션을 최신버전인 9.3 버전으로 무료 업데이트가 가능하며 가장 강력한 제품인 인터넷시큐리티프로(Internet Security Pro)를 사용할 수도 있다. 기업사용자라면 바이퍼 엔드포인트시큐리티(Endpoint Security)에 투자할 필요가 있다. 엔드포인트시큐리티는 종합보안전략에 필요한 각종 신기능을 제공한다. 이메일에 대해서는 파일을 컴퓨터로 유입시킬 수 있는 악성 URL을 검사할 수 있으며 웹브라우저 또한 글로벌 실시간 클라우드서비스를 통해 악성URL을 차단하여 즉시방어가 가능하다. 기기보호기능은 USB와 같은 무허가기기가 컴퓨터환경의 파일에 접근하는 것을 막는다. 그리고 엔드포인트시큐리티의 고유기능인 행동분석은 클라우드보호서비스를 통해 업데이트되며 이를 통해 제로데이 취약점 분석능력을 계속 향상시킬 수 있다.

<참고: 랜섬웨어 차단 AVG 유료안티바이러스>

 

4. 피싱이메일 주의

사용자의 가족 또는 최신 소셜엔지니어링 수법을 익힌 다른 사용자로 인해 악성링크와 첨부물을 클릭하는 결과가 유도된다는 점을 인지해야 한다. 온라인 강의나 보안의식제고 서비스와 같이 도움을 받을 수 있는 방법이 아주 다양하다. 기업사용자는 스팸, 맬웨어, 스피어피싱, 웨일링 등 다양한 해킹수법과 용어에 대해 주기적으로 알림으로써 친구, 직장동료, 온라인매장 등으로 출처를 위장하는 피싱시도를 직원들이 보다 잘 식별해 내도록 해야 한다. 그리고 개인사용자는 바이퍼에 포함된 스팸필터링을 통해 피싱이메일을 피할 수 있으나 그렇다 해도 이메일을 확인할 때마다 주의하는 태도를 가져야 한다.

 

5. 안전한 컴퓨터 사용과 소프트웨어 업데이트

랜섬웨어 제작자들은 주요 소프트웨어 어플리케이션의 취약점을 악용하는 수법도 즐겨 사용한다. 어플리케이션의 업데이트를 항상 최신으로 유지하고 있다면 공격가능성을 대폭 줄일 수 있다. 더욱 좋은 방법은 바로 모든 어플리케이션에 대해 자동업데이트 기능이 있다면 이를 작동시키는 것이다. 어도비리더, 어도비플래시, 자바, 구글크롬, 아이튠즈, 스카이프, 파이어폭스 등이 주요 공격대상이다.

바이퍼 비즈니스프리미엄(Business Premium) 그리고 바이퍼 엔디포인트시큐리티 기업용버전은 패치관리기능이 있으며 VIPRE 인터넷시큐리티 및 인터넷시큐리트 프로 또한 자동패치기능을 제공한다. 자동패치기능이 대시보드에서 켜져 있다면 소프트웨어 업데이트가 새로 나올 때마다 즉시 설치된다. 자동패치에 대한 상세정보는 아래 링크 참고.

https://support.vipreantivirus.com/support/solutions/articles/1000092556-what-is-vipre-auto-patch 


6. 업무데이터와 개인데이터 분리

최근 조사에 따르면 IT보안인력이 임원급의 컴퓨터/기기에 대해 맬웨어 제거요청을 받았을 때 원인이 해당 임원의 가족이 그 기기를 사용했기 때문인 비율이 3분의 1이나 됐다고 한다. 이제 수많은 사람들이 가정에서도 업무를 보며 특히 소기업의 경우 가정에서만 업무가 처리되는 경우도 있기 때문에 업무와 개인생활을 분리하는 게 어려울 수도 있으나 양자를 최대한 분리해야 데이터를 안전하게 지키고 사이버공격의 피해를 최소화할 수 있다.

마지막으로 만약 랜섬웨어에 감염된다면 그 즉시 모든 연결을 차단해야 하며 이는 컴퓨터를 즉시 끄고 네트워크에서 분리해야 함을 의미한다. 이렇게 하면 비록 피해가 발생한다 해도 맬웨어가 다른 시스템과 기기에까지 퍼지는 사태를 막을 수 있다.

 

 

 

VIPRE Security News, Six Tips to Avoid Ransomware, 6. 1. 2016.

https://blog.vipreantivirus.com/featured-article/six-tips-avoid-ransomware/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 6. 7. 17:27


전문가 진단에 따르면 각급 기업의 사이버범죄 비용이 매년 증가추세에 있으며 글로벌 상거래가 가상공간으로 옮겨가는 현상이 지속됨에 따라 이 비용의 증가는 앞으로도 확실시되고 있다. 2015년 데이터침탈비용 연구(2015 Cosft of Data Breach)에 따르면 데이터침탈을 겪은 기업의 평균비용은 650만 달러로 늘어났다. 다른 연구에 따르면 2019년까지 데이터침탈비용 총액이 2조 달러에 달할 전망이라고 한다.

 

전문가들이 사이버범죄 차단을 위해 다양한 솔루션을 논의하는 가운데 두 가지가 확실시되고 있다. (1) 현재 경계방어기술은 지능형 지속위협 맬웨어를 상대로는 효과적이지 못하며 (2) 맬웨어의 공격력이 보안대책의 효용성보다 빠르게 성장하고 있다는 것이다. 포츈(Fortune) 매거진 선정 100대 기업과 대규모 정부기관에 대한 공격 등 첨단 보안기술과 전문가집단을 동원한 수백 건의 공격 사례로 인해 보안대책에 대한 새로운 접근이 절실해지고 있다.

 

여기에서 소개하는 맬웨어 그리고 네트워크 이상활동을 감지하기 위한 5대 핵심방안은 맬웨어 확산문제를 방지하기 위한 밑그림을 제공한다. 이들 방안은 ThreatAnalyzer(CWSandbox) 샌드박스기술을 활용한 정적 및 동적 맬웨어분석 그리고 지능형 맬웨어 수천 건에 대한 연구를 바탕으로 하고 있다. 이하에 일반적인 맬웨어 문제와 그에 대한 해결방안을 간략히 소개하고 항목별로 세부적인 내용을 기술한다.


맬웨어 행동

해결방안

네트워크활동 폭증

이상행동에 대한 기준 형성

비정상적 시스템활동 발생

맬웨어 행동단서 이해

비정상적 네트워크활동 발생

시간대별 네트워크 트래픽데이터 추적하여 이상 식별

파편화된 기업시스템 운영 악용

모든 이해관계자에게 위협탐지정보를 제공하고 해당 이상행동과 이에 대한 해결방안을 이해하도록 조력제공

보안대책 취약점 노출

다른 기업과의 정보공유 통해 업계와 회사 측 비용 최소화

 



이상행동에 대한 기준 형성

 

기업 차원에서 인간과 기계 모두에 대해 정상적 네트워크 트래픽의 기준을 수립해야 한다. 보안분석가들이 정상의 기준을 이해하고 나면 이를 통해 임계점을 설정할 수 있다. 이러한 임계점은 일반적인 한계나 상한선처럼 향후 분석에 활용될 수 있다. 공격자들은 일단 공격대상 환경에 침투하고 나면 탐지될 위험이 적다고 간주한다. 그러나 위와 같은 기준점을 수립한다면 맬웨어활동이 주목받게 될 가능성을 대폭 높일 수 있다.



맬웨어 행동단서 이해

 

정상 트래픽에 대한 기준이 수립되고 나면 다음 단계로는 맬웨어의 기본적인 행동양상에 대한 이해가 필요하다. 첫 단계에서 설정된 임계점을 돌파하는 네트워크 트래픽이나 행동은 조사개시로 이어진다. 이 조사는 시스템상 맬웨어 의심대상의 최초출현지점과 행동에 초점을 맞춘다. 맬웨어의 기본행동양상에 대한 이해는 공격자의 진로를 예상하고 차단하기 위해 아주 중요하다.

 


시간대별 네트워크 트래픽데이터 추적

 

시스템 및 인간 부문의 기준에 대한 이해가 확립되고 나면 분석가가 시간대별 네트워크트래픽을 열람하여 이상징후 그리고 더욱 중요하게는 침탈의 발생여부 그리고 예상되는 공격진행을 판단할 수 있다. 카네기멜론대학교 소프트웨어공학연구소(The Software Engineering Institute at Carnagie Mellon)에 따르면 이상행동을 추적하는 데 사용된 핵심행과지표(key performance indicator, KPI)에는 바로 사람의 행동, 시스템 및 기술적 오류, 내부프로세스 오류, 외부사건 등이 있다고 한다. 시간대별 네트워크트래픽 추적의 중요성을 보다 자세하게 다룬 내용으로는 다음 링크 참조.

https://blog.threattrack.com/cso/why-tracking-network-traffic-is-important/

 

 

모든 이해관계자에게 위협탐지정보 제공

 

보안대책들이 방화벽, IDS/IPS, 패킷수집기, 엔드포틴트솔루션 등 조직의 다층보안대책을 이루는 각 보안계층에 파편화됨에 따라 의사소통의 간극이 문제로 떠올랐다. 네트워크의 활동 및 보안 현황을 종합적으로 파악하려면 개별 보고서나 분석의 조합이 요구된다. 따라서 효과적인 보안대책을 구축하려면 보안팀이 컨설턴트로 진화하여 핵심 이해관계자에게 투자, 인력, 기술 소요에 대해 알림으로써 최적의 보안방책을 유지해야만 한다. 이에 대한 추가 내용은 다음 링크 참조.

https://blog.threattrack.com/cso/how-to-give-threat-detection-visibility-to-non-it-stakeholders/


 

다른 기업과의 정보공유 통해 전체 위험 감소

 

사이버공격자의 주요 악용대상으로 업계 경쟁자들 사이의 정보공유 실패도 빼놓을 수 없다. 동종 업계에 종사하는 기업들은 서로를 경쟁자로 인식하기 때문에 위협에 대한 정보의 공유를 꺼리게 된다. 그러나 이러한 태도는 근시안적이고 맬웨어가 개별 기업을 효과적으로 각개격파하여 결국 업계 전체에 불이익을 끼치는 결과로 이어질 수 있으며 이는 병원에 대한 랜섬웨어 공격 사례를 통해 입증됐다. 지식이란 힘이며 힘이란 곧 과거 실패에 대한 교훈을 통해 개발된 솔루션이라는 형태로 응용되는 지식을 의미한다.

 

경계보안기술과 다층보안대책에 의존해 온 보안분석가들은 기술이란 결코 완벽할 수 없으며 맬웨어는 결국 어떤 식으로든 기술적 틈을 파고들게 된다는 점을 그 어느때보다도 절감하고 있다. 기준수립, 합리적인 네트워크 및 시스템 임계점 수립, 맬웨어 행동 이해, 회사 핵심이해관계자 및 업계 동업자에 대한 협조적 접근방식 수립을 통해 나날이 증가하는 맬웨어위협에 대한 대응에 큰 도움을 받을 수 있으며 보안분석가의 효용성을 대폭 향상할 수 있다. 네트워크 이상행동 탐지에 대해 보다 상세한 내용으로는 아래 링크의 ThreatTrack 최신 기술백서 참조.

http://land.threattracksecurity.com/5-Key-Ways-to-Dectect-Anomalous-Behavior-on-Your-Network.html#_ga=1.257197451.1084892965.1463641239

 

 

 

Robert Bond, How to Detect Malware and Other Anomalous Behavior, 5. 23. 2016.

https://blog.threattrack.com/cso/detect-malware-anomalous-behavior/


번역: madfox




참고링크 


<ThreatTrack 보안솔루션 제품소개>


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 6. 3. 14:51

 

Security Products 매거진과 securitytoday.com에서 ThreatTrack의 지능형 맬웨어방지 플랫폼인 ThreatSecure Network2016Govies Government Security Awards 프로그램의 네트워크보안 분야를 수상했다. 본 프로그램은 다양한 분야에서 뛰어난 성능을 보이는 정부보안제품을 조명한다.

 


 

보안업계에서 선정된 각 패널들이 기능, 혁신성, 사용자편의성, 상호운용성, 품질, 디자인 등 여러 기준을 통해 2016년 항목별 수상제품을 선정했다. ThreatSecure Network는 정부영역에서 널리 쓰이고 있으며 지능형 위협방어를 통해 보안인력이 능동적 사이버공격을 식별 및 차단할 수 있도록 한다. 주요 기능은 다음과 같다.

 

지능형 공격과정을 탐지하고 행동변화를 식별하여 악성행동 탐지

실시간 위협탐지

분석 간 관측된 네트워크활동 연관성 판단

악성URL에 관련된 세션 차단 및 보고

 

ThreatTrack 사장 John Lyons는 다음과 같이 설명한다. "본 수상을 통해 ThreatTrack이 정부기관에 제공하는 고급 보안솔루션의 성능 그리고 네트워크보안분야에서 ThreatTrack의 선도적 위치가 다시금 확인됐다. 기관들은 공격과정을 빨리 식별할수록 위해를 최소화할 가능성을 높일 수 있다. ThreatSecure Network는 위협이 식별된 전후에 활동을 모니터링 및 추적하며 이를 통해 위협을 훨씬 상세하게 파헤칠 수 있다."

 

분야별 수상제품은 아래 링크 확인

https://securitytoday.com/pages/govies

 

ThreatSecure Network가 정부기관들에게 널리 채택되는 이유에 대해서는 아래 링크 확인

https://www.threattrack.com/network-security-threats.aspx#_ga=1.230539932.1084892965.1463641239

 

 

 

ThreatTrack Security CSO Blog, ThreatSecure Network Named Winner of Govies Government Security Award, 4. 17. 2016.

https://blog.threattrack.com/cso/threatsecure-network-named-winner-2016-govies-government-security-awards/

 

번역: madfox




참고링크 


<ThreatTrack 보안솔루션 제품소개>


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

보안솔루션

날짜

2016. 6. 3. 14:45

사이버보안 업계에서는 누군가 대규모 맬웨어공격을 성공시킬 때마다 그 배후자에 대해 분노와 경외감을 동시에 느끼는 것이 일반적이다. 랜섬웨어가 바로 그러한 경우다. 랜섬웨어는 2009년 초부터 서서히 번지기 시작했지만 랜섬웨어의 의미를 재정립하고 그 위협을 새로운 수준으로 끌어올린 건 바로 CryptoWall이다. 초기 랜섬웨어는 정상파일로 가장한 감염파일이 파일공유사이트를 통해 배포되는 식으로 전파됐다. 랜섬웨어가 다운로드되면 사용자 기기에서 실행되어 사용자 데이터를 암호화하거나 기기 자체를 잠가 버리게 된다. 여기에서는 CryptoWall이 전통적인 방어대책인 안티바이러스를 어떻게 회피했는지에 대해 살펴보고자 한다.

 

1단계: 사전작업

 

오늘날 모든 기업에서 가장 널리 사용되는 수단은 바로 커뮤니케이션이다. CryptoWall 제작자들은 공격진입지점으로 활용하기 위해 인터넷에서

(주로 마케팅사이트를 통해 알려지는) 공개된 회사 이메일주소를 수집해 왔다. 그리고 이들 이메일주소에 대해 피싱이메일이 전송됐다. 이들 피싱이메일은 수신자 측에서 중요 이메일이기 때문에 제대로 열람해야 한다고 착각하도록 위장됐다. 이들 이메일은 대체로 CryptoWall 랜섬웨어에 대한 직접다운로드 링크 또는 첨부물을 포함하고 있으며 물론 수신자는 이를 알지 못한다. 사용자가 이 링크나 첨부물을 클릭하는 즉시 암호화 과정이 개시된다. 아래는 booking.com 이메일로 위장된 랜섬웨어 첨부 이메일의 예시다.

 

Booking.com 이메일 예시

 

2단계: Cryptowall 4.0 최신버전 해부

 

Cryptowall 4.0

Md5 해시값: e73806e3f41f61e7c7a364625cd58f65

 

CryptoWall은 다음과 같은 시스템정보를 수집한다.

∘ ComputerName

∘ UserName

∘ SystemDrive serial number

∘ CPU INFO (using PROCESSOR_IDENTIFIER)

∘ Number of CPUs (using PROCESSOR_Level)

∘ Revision Number of CPU (using PROCESSOR_REVISION)

∘ OS Major version

∘ OS Minor version

∘ IsWow64

∘ Keyboard Layout

 

로딩된 모듈에는 윈도 Crypto API(CRYPTSP), 윈도7 Windows 7 Enhanced Cryptographic Provider(RSAENH)에 관련된 DLL이 있다. 이를 통해 CryptoWall이 암호화에 관련된 활동을 개시하리라는 사실을 짐작할 수 있다.



CryptoWall은 위 시스템정보를 활용하여 다음과 같은 API 시퀀스를 통해 피해자 PCmd5 해시를 생성한다.

∘ CryptAcquireContext

∘ CryptCreateHash ; Algorithm ID = CALG_MD5 0x00008003, hash key: nonkeyed algorithm (0)

∘ CryptHashData

∘ CryptGetHashParam

 

그 예시는 아래와 같다.




 

CryptoWall은 아래와 같은 API를 사용하여 새로운 프로세스인 Explorer.exe에 코드를 주입하게 된다.

∘ ZwCreateSection

∘ ZwMapViewOfSection

∘ ZwAllocateVirtualMemory

∘ ZwWriteVirtualMemory

∘ ZwProtectVirtualMemory

∘ ZwQueueApcThread

∘ ZwResumeThread

 

CryptoWall%APPDATA% 폴더의 원본파일에 대한 사본을 생성하고 AutoStart 레지스트리 입력을 생성하게 된다. 주입된 코드는 시스템 보호를 해제하는 역할을 하며 또한 시스템의 숨은 사본을 삭제하고 새로운 프로세스인 svchost.exe에 코드를 주입한다.

 

숨은 사본을 제거하여 파일복구서비스 불능화

 

- AV Limitation: - Emulation TimeOut

 

시스템복구 불능화

 

암호화과정은 svchost.exe에서 이어진다. 이 프로세스에서는 CnC(command and control, 명령통제) 서버와 통신하기 위해 필요한 명령을 구현한다. 또한 이상의 시스템정보를 수집하고 피해자 PCmd5 해시를 생성하여 이를 통해 CnC 서버와 통신하게 된다.

 

일부 CnC 서버:

 

CnC 서버

 

네트워크 커뮤니케이션은 HTTP를 사용하되 암호화된다. I2P URL을 통해 다음 I2P 프록시 중 하나에 접속을 시도하게 된다. 이 접속이 성공하면 POST 요청과 암호화된 스트링 요청을 전송하게 된다.


 

CryptoWall은 다음과 같은 정보를 설정파일 내부에 보관한다.

∘ Received public key binary data

∘ TXT

∘ HTML

∘ PNG

 

위 정보 중 마지막 3개 파일은 파일암호화 프로세스 이후 피해자 시스템의 각 폴더에 쓰여진다.

∘ Normal file behavior

∘ Payload after multiple layers of encryption

 

3단계 - 자동차에 열쇠를 놓고 나온 상황

 

자동차 안에 열쇠가 놓인 채로 문이 잠긴다면 무척 난감하다. 열쇠를 코앞에 두고도 방법이 없어서 따로 기사를 불러야만 하거나 도구를 기가 막히게 쓸 수 있어야만 한다. 랜섬웨어가 딱 이렇다. 사용자의 소중한 정보와 데이터가 인질로 잡혀 공개될 위기에 있는 와중에 이를 막기 위한 방법이 없기 때문이다.

 

HELP_YOUR_FILES.HTML

 

CryptoWall은 암호화를 끝내고 나서 사용자에게 상황을 설명하고 복호화수단 구매방법을 안내하는 메시지를 전송한다.

 

CryptoWall에 대해 보다 상세한 정보는 아래 링크 참조.

https://blog.threattrack.com/cryptowall-4-targets-bookings-com-customers/

 

 

4단계 랜섬웨어 대비솔루션 모색

 

다행인 점은 바로 CryptoWall 감염의 징후가 발견된다면 이를 막을 수 있는 기회가 적지 않다는 것이다. 우선 이메일의 경우 기존 보안대책을 회피하는 맬웨어를 포착하도록 설계된 지능형 이메일보안솔루션은 랜섬웨어를 유포시키는 랜섬웨어나 취약점악용을 탐지할 수 있는 훌륭한 방책이다. 이를 통해 CryptoWall에 의한 데이터 탈취 및 암호화를 방지할 수 있다. 그리고 네트워크 방어를 강화할 수도 있다. 발견된 위협을 식별하고 이를 네트워크 이상활동과 연관시키는 지능형 보안솔루션은 데이터를 지킬 수 있는 중요한 자산이다. ThreatTrack이 개발한 ThreatSecure Network는 엔드 간 네트워크 가시성을 제공하며 실시간탐지를 통해 랜섬웨어 배포 그리고 이에 대한 CnC 서버와 관련된 악성 IP 주소를 거치는 트래픽을 잡아낼 수 있다.


<참고: ThreatTrack 보안솔루션>




ThreatTrack Security Labs, The Day the Earth Stood Still for CryptoWall, 5. 25. 2016.

https://blog.threattrack.com/the-day-the-earth-stood-still-for-cryptowall/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 6. 1. 14:13

위로가기