피싱에 해당하는글 9


오늘날 맬웨어의 진화과정에는 일정한 패턴이 있다고 여겨진다. 우선 기본적인 기능만 있고 악성활동은 거의 없이 조용히 작동하는 맬웨어가 주로 트로이목마의 형태로 등장한다. 이 초기 악성코드는 배포되고 얼마 지나지 않아 여러 안티바이러스 업체에게 포착되긴 하지만 아직까지는 별다른 주목을 받지 못하는 잠재적 악성코드에 불과할 뿐이다.


시간이 지나고 나면 해당 트로이목마는 추가 기능을 갖추고 본격적인 위해를 가할 수 있게 되며 마지막 단계에서는 대규모 공격이 개시됨에 따라 수천 대의 기기가 감염되고 트로이목마가 본래 기획된 행동을 개시한다. 얼마나 큰 피해가 야기되는지는 트로이목마의 구체적인 유형에 따라 달라지는데 이는 수백 달러에 달하는 돈을 뜯어내는 랜섬웨어가 될 수도 있고 신용카드라든지 스파이툴을 통해 개인정보를 탈취하는 뱅킹트로이목마(banking trojan)가 될 수도 있다.



Asacub는 위와 같은 단계별 진화과정을 단적으로 보여주는 사례로 처음에는 단순한 피싱프로그램이었지만 이후 강력한 기능을 갖춘 뱅킹트로이목마로 진화했다. 이러한 Asacub보다 더욱 흉악하다고 할 수 있는 악성코드가 바로 Acecard다. Acecard 안드로이드 뱅킹트로이목마 계열 악성코드로 다른 뱅킹트로이목마와 마찬가지로 모바일 금융어플리케이션의 인터페이스에 자체 피싱 입력창을 덮어씌움으로써 사용자로 하여금 카드정보를 입력하도록 유도한다. 사용자가 입력완료 등의 기능을 실행하면 입력된 데이터가 탈취되며 악성코드 제작자 측에서는 카드에서 자기네 계좌로 돈을 빼돌리거나 해당 개인정보를 제3자에게 매각할 수 있다.


Acecard가 특히 돋보이는 이유는 우선 일반적인 뱅킹트로이목마가 고작 몇몇 뱅킹 어플리케이션만 복제 가능한 데 비해 30종에 달하는 은행 및 결제서비스를 복제할 수 있다는 점에 있다. 특히 중앙 서버로부터 별도의 명령을 부여받으면 사실상 모든 종류의 어플리케이션을 복제할 수 있기 때문에 실제로 공격대상이 되는 앱은 훨씬 많아질 수 있다. 아울러 Acecard의 복제대상이 뱅킹어플리케이션에 국한되지 않는다는 점도 위험하다. Acecard는 페이스북, 트위터, 인스타그램 등 모바일 소셜네트워크앱 그리고 왓스앱, 스카이프 등 메신저를 복제할 수 있고 페이팔과 구글 지메일 계정까지 흉내낼 수 있으며 특히 구글플레이스토어와 구글플레이뮤직에 대해서까지 피싱창을 구현할 수 있다.




Acecard는 일반적인 이메일 스팸으로도 배포되지만 플래시 등 유용한 유틸리티로 위장할 수도 있다. 참고로 안드로이드용 플래시는 2012년 이미 지원이 중단됐기 때문에 현재 정식으로 서비스가 제공되는 안드로이드 플래시 플레이어는 존재하지 않는다. 또한 구글플레이스토어를 통해 Acecard를 다운받는 트로이목마도 발견됐다. Acecard는 2014년 2월 처음 발견될 당시만 해도 특별한 악성행동을 보이진 않았지만 1년 반이 지나면서 신기능이 추가됨에 따라 실질적인 위협으로 거듭났다. 카스퍼스키 연구진은 Acecard 변종을 10종 넘게 발견했으며 각 버전은 더욱 강력한 기능을 갖춰 나가고 있다. 특히 카스퍼스키 선임맬웨어분석가 Roman Unuchek은 최근 변종을 두고 "현존 최악의 위협"으로까지 평가했다. Acecard의 본격적인 공격은 2015년 5월 시작됐으며 9월에 이르기까지 6천 명이 넘는 사용자가 공격에 노출됐다. Acecard는 호주에서 뱅킹 사이버공격이 급증한 원인이며 러시아, 독일, 오스트리아, 프랑스에서도 피해사례가 속출했다. Acecard 배후세력은 러시아어 구사자로 추정된다.




모바일 랜섬웨어 방지요령


1. 구글플레이와 같은 공식 채널을 통해서만 어플리케이션 설치. 안드로이드 보안설정을 통해 알지 못하는 출처를 통한 앱 설치를 차단해야 한다.


2. 펌웨어와 어플리케이션을 주기적으로 업데이트한다. 앱의 경우 자동 업데이트가 가능하지만 시스템은 수동으로 업데이트를 직접 해야 한다.


3. 강력한 보안솔루션 사용. 맬웨어는 구글플레이와 같은 공식채널에도 잠입할 수 있으며 미식별 취약점을 파고드는 취약점악용도 가능하기 때문에 별도의 보안솔루션이 필요하다.


<참고: 카스퍼스키 안티바이러스 상세정보>




John Snow, Android trump card: Acecard, 2. 22. 2016.

https://usblog.kaspersky.com/acecard-android-trojan/6745/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.05 15:31



게시일: 2016-06-20 l 작성자: Ryan Flores (Threat Research Manager)

범죄의 목적으로 기업 최고경영자(CEO) 또는 대표이사, 사장 등 고위 간부을 사칭한 이메일 범죄의 증가는 놀라운 일이 아닙니다. 고위 간부의 요청사항을 거절하기 쉽지 않기 때문입니다. 부자연스러운 문법 표현, 복권 당첨, 타국가 왕족의 편지와 같은 비현실적인 이메일을 범죄에 활용하는 시대는 지나갔습니다. 오늘날 범죄에 이용하는 이메일은 업무 이메일 해킹으로 이루어지는 ‘허위 송금 이메일(Business Email Compromise, BEC)’ 입니다. 기업의 간부로 교묘하게 위장하여 타겟 기업의 최고 재무책임자(CFO) 등 재무 관계 책임과 업무를 담당하는 직원을 대상으로 하고 있습니다.

BEC 공격 캠페인은 중소중견 및 대기업 등 기업의 규모와 무관하게 모든 기업이 피해를 입을 수 있는 위험한 사이버 범죄 중 하나로 손 꼽히고 있습니다. 우선, 보안 소프트웨어 등으로 감지되지 않는 사회공학적 수법을 구사하기 때문이며, 또한 재무 부문을 특정 타겟으로 하여 상급 직권에 따를 수 밖에 없는 상황을 악용하기 때문입니다. 이는 바로, 기업의 맹점을 찌르는 공격 수법이라고 할 수 있습니다.

트렌드마이크로는 지난 2년 동안 발생한 BEC 공격 및 피해 사례에 대한 조사를 실시했습니다. 당사의 조사 결과, BEC 공격에는 일정한 패턴을 확인했으며, 추후 기업에서 실시해야 할 보안 대책을 파악할 수 있습니다.

  • BEC 공격의 40%는 CFO를 타겟으로 한다.
  • BEC 공격의 31%가 CEO를 사칭한다.
  • BEC 공격에서 가장 많이 사용되는 이메일 제목은 “Transfer(송금)”, “Request(요청)”, “Urgent(긴급)” 등의 간단하고 직접적인 표현이다.

다양한 수법

기업 간부로 위장하여 송금을 지시하는 “CEO 사기” 수법 이외에도, 다양한 송금 사기 수법이 활용되고 있습니다. 게다가, 저렴한 비용으로 가능합니다. BEC 공격 캔페인에 사용되는 멀웨어는 온라인에서 50 달러에 구매 가능하며, 무료로 사용할 수 있는 멀웨어도 존재합니다. 또 다른 경우, 단순한 이메일 스푸핑을 넘어서는 수법도 있습니다. 사이버 범죄자는 정상적인 이메일 계정을 해킹하여 계정 소유자를 사칭하여 허위 계좌로 송금을 요청합니다. 피싱 또는 키로거(keylogger)를 사용하여 직원 계정 정보를 탈취한 후 이를 이용하여 송금을 요청합니다. 경우에 따라, 계약 성립 전화 등을 꾸며내기도 합니다. 특히, 해외와 거래하는 업체들은 송금내역 수정 등의 수법을 활용한 BEC의 주요 타겟이 되고 있습니다.


직원 대처의 중요성

BEC의 수법은 여러 조사에 의해 대부분 알려져 있습니다. 하지만 미연방수사국(FBI)에 다르면 최근 조사 결과, 2013년 10월부터 2016년 5월까지 피해액이 약 31억 달러에 이릅니다. 이러한 피해 규모를 고려해 보았을 때, BEC 공격 캠페인의 수법을 정확히 파악하여 이에 대처할 수 있도록 직원을 교육하는 것이 중요합니다.

BEC 공격은 교묘하고 은밀하게 이루어지기 때문에 기본적인 주의사항 또는 보안 대책만으로 충분하지 않습니다. BEC 공격 캠페인은, 기업과 조직의 자산을 보호하기 위해 직원의 역할이 얼마나 중요한지 보여줍니다. 직원 개인의 보안 의식 증진은 거액의 송금을 요구하는 BEC 공격 수법에 대응할 수 있는 중요한 방어 요소라고 할 수 있습니다.


트렌드마이크로의 대책

트렌드마이크로는 중소중견 및 대기업이 사회공학적 기법을 이용한 공격인 BEC의 수법에 대응하기 위한 방어책을 보유하고 있습니다. 엔드포인트 보안인 Worry-Free 비즈니스 시큐리티와 오피스스캔은 이상 파일 또는 스팸메일을 감지하고 악성 URL 차단을 통해 위협으로부터 보호합니다. Deep Discovery는 관련 악성 프로그램을 감지하고 시스템의 감염 및 정보 탈취를 방지합니다. 또한, Deep Discovery Email Inspector는 악성 첨부파일과 악성 URL을 차단하여 기업을 보호합니다.

관련 링크


원문: Company CFOs Targeted The Most By BEC Schemes




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


기업 CFO를 노리는 허위 송금 이메일, BEC

https://www.trendmicro.co.kr/kr/blog/company-cfos-targeted-bec-schemes/index.html



참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.21 13:50


사례: 사용자는 자신이 구입하려고 한 물품에 대한 .pdf 형식 주문서가 첨부된 이메일을 확인한다. 해당 이메일은 스팸 필터링에 걸리지 않았으며 첨부물에 대한 검사결과도 이상이 없었다. pdf 본문에는 httx://www.mesaimeerclub.com/templates/invest/just라는 링크가 있었다. 이 링크를 클릭한 결과 Gmail 로그인 페이지처럼 보이는 웹페이지로 이동했으며 이에 따라 사용자가 Gmail 아이디와 비밀번호를 입력했다. 입력 이후 몇 분이 지나고 나서 다시 구글 로그인을 시도한 결과 비밀번호가 변경된 상태였고 비밀번호 복구 옵션도 작동하지 않았다.






하루에 수신하는 소셜네트워크 업데이트, 주문확인, 업무상 연락 등 보통 사람이 하루에 수신하는 이메일의 양은 엄청나게 많다. 경우에 따라 이들 이메일은 그 사용자가 실제로 하는 일과 관련이 있기도 하다. 그렇기 때문에 사용자들이 별도의 교육 없이 피싱공격을 일일이 구별해 내기란 번거롭고 어려운 일이다. 특히 몇몇 피싱이메일의 내용은 그 진위를 밝혀내기가 어렵기도 하다. 사용자가 이메일을 열고 악성코드를 실행하도록 유도하는 일은 어렵지 않다. 특히 위 사례의 경우 문법적 오류도 거의 없었으며 악성웹사이트의 외관도 정상적으로 보였다.


이렇게 사용자들로 하여금 링크 클릭, 스크립트 열기, 악성웹사이트 방문 등을 하도록 유도하려는 시도는 아주 다양한데 이는 사용자의 데이터가 그만큼 가치가 크기 때문이다. 특히 사용자 정보를 암호화시키거나 위 사례처럼 계정을 잠가 버리고 복구의 대가로 사용자에게 돈을 요구하는 랜섬웨어도 생각할 수 있다.


랜섬웨어 제작자들은 나날이 지능적이고 교묘하게 진화하고 있으며 사용자의 돈을 뜯기 위해 언제나 새로운 수법을 모색하고 있다. 2014년에 배포된 랜섬웨어는 데이터 복호화의 대가로 0.5비트코인(미화 325달러) 정도를 요구했지만 오늘날의 랜섬웨어 변종은 24시간 내에 8비트코인을 지불하도록 요구하며 기한이 지나면 그 두배의 액수를 요구한다. 랜섬웨어는 일반사용자 외에 기업과 IT관리자까지 노리는데 이들의 인프라 내 권한이 승격된 상태임을 이용하고자 하기 때문이다.


여기에서는 기업 내 모든 사용자들에게 공통적으로 적용될 수 있는 몇 가지 유의사항을 소개하려 한다. IT관리자의 경우라면 랜섬웨어와 같은 사이버공격에 대한 대비는 이미 상당히 갖춰진 상태지겠지만 일반사용자는 아무런 대책이 없을 수 있다.


• 음성메일, 구매주문, 배송알림 등을 받았지만 그러한 수신이 본래 업무상 예정된 경우가 아니라면 발신자의 신원이 분명한지 그리고 그 발신자가 해당 내용을 실제로 보냈는지 확인한다. 발신자 신원이 불명확하거나 혹은 수상해 보인다면 해당 이메일은 삭제가 바람직하다. 만약 동기 혹은 상사로부터 문서를 받았고 본문에 첨부물을 반드시 열도록 쓰여 있는 경우에도 일단은 그 동기나 상사에게 직접 연락하여 해당 첨부물을 실제로 보냈는지 확인한다.


• 이메일 첨부물이 있을 때 일단은 그 첨부물을 열지 말고 해당 이메일의 발신자가 자신이 아는 사람이라도 그 발신자가 보통 그러한 첨부물을 보내지는 않는 경우라면 발신자에게 직접 연락하여 해당 첨부물을 그 발신자가 보냈는지 확인한다.


• 어떤 첨부물이든 스크립트 해제 혹은 편집 해제로 인해 링크 클릭을 요구한다면 해당 기능을 절대로 켜서는 안 된다. 특히 데이터가 뒤섞여 보이는 경우라면 이는 사용자의 데이터 전체를 암호화하기 위한 미끼임이 거의 확실하다.


• 회사 기기에서 개인 이메일을 열지 않아야 하며 반대로 개인 기기에서 업무 이메일을 열어서도 안 된다. 랜섬웨어가 주로 기업을 목표로 하며 사용자가 해당 랜섬웨어가 들어간  이메일을 열어서 감염된다면 단순히 파일이 잠기는 데 그치지 않고 업무에 지장을 초래할 수 있어서 훨씬 더 좋지 못한 결과로 이어질 수 있다.

• 마이크로소프트, 에너지업체,우편업체 등은 절대로 사용자에게 설정복원, 주문접수, 음성메일 등을 구실삼아 어떤 웹사이트를 열도록 요청하지 않는다. 이는 순전히 공격자가 사용자 기기에 접근하기 위해 사용하는 기만수법일 뿐이다.


다만 이상의 모든 경우의 수를 다 막아낼 수 있는 만능수단은 존재하지 않는다. 다층보안(layered security)을 통해 최대한 위험을 완화시키는 것이 최선의 방향이다. 악성이메일을 아무리 잘 막아낸다 해도 일부는 필터링을 뚫고 들어올 수도 있으며 악성광고 또한 보안대책에도 불구하고 여전히 나타날 수 있다. 보안대책의 마지막 단계에 해당하는 사용자 측에서는 악성코드가 실행될 경우 어떤 결과가 발생할 수 있는지 알고 이에 대비해야 한다. 아울러 백업솔루션 또는 재난복구대책을 준비하여 보안사고로부터 복구하기 위해 필요한 대책을 마련해 두는 것도 아주 중요하다.




Bjorn Leenen, Hacked by a purchase order. How it can happen, 7. 14. 2016.

http://www.gfi.com/blog/hacked-by-a-purchase-order/


번역요약madfox



참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.19 16:07


 



소셜엔지니어링(social engineering)이란 사람을 속이거나 어떤 행동을 유도하여 그 사람의 금전이나 정보를 훔치는 수법을 의미한다. 이 수법에는 전화, 메일, 우편, 직접적인 만남 등 다양한 수단과 방법이 사용된다. 소셜엔지니어링 공격은 기존 사이버공격과 같은 결과를 야기한다. 사이버범죄자는 피해자의 기밀정보를 알아내는 데 사용될 수 있는 개인정보를 자신에게 제공하도록 유도한다. 이들은 목적은 피해자의 금전, 물품, 중요정보, 사진 등 개인데이터를 탈취하는 데 있으며 피해자의 컴퓨터나 전화를 사용하려는 경우도 있다. 이들은 개인정보 탈취에 아무런 거리낌이 없다는 점에서 더욱 위험하다. 이러한 공격을 방지하려면 단지 안티바이러스 등 솔루션에 의존하기만 해서는 부족하고 우선 그 수법을 이해해야 한다. 온라인 소셜엔지니어링의 주된 방식에는 피싱(phishing)과 스피어피싱(spear-phishing)이 있다.

 

 

피싱이메일

피싱이메일은 데이터침탈과 사이버공격의 1순위 원인이 되는 위협이며 이 수법이 이토록 잘 통하는 이유는 범죄자들이 스팸메일이 정상적인 메일처럼 보이도록 하는 방법을 터득했기 때문이다. 미국 국토안보부 산하 컴퓨터긴급대응팀(United States Computer Emergency Readiness Team, US-CERT)은 피싱이메일이 사용자로 하여금 정상적이라고 위장된 가짜 웹사이트로 이동하는 링크를 클릭하도록 유도한다고 설명한다.

US-CERT 원문: https://www.us-cert.gov/ncas/tips/ST04-014

 

공격자는 종종 공격 당시의 사건이나 혹은 연중 특정시기를 활용하기도 하며 그 예시는 다음과 같다.

자연재해

전염병 등 보건이슈

경제이슈

주요정치일정

휴무일

 

 

스피어피싱

피싱 중에서도 대세를 이루는 공격방식으로 특정 표적을 지정하며 고도로 지능적인 기만수법이다. 스피어피싱은 수천의 이메일을 무작위로 뿌려 몇몇 피해자의 발생을 기대하기보다는 직장동료, 멤버십, 대학동기 등 어떤 공통점을 보유한 특정 인원을 목표로 삼는다.

 

스피어피싱은 대체로 공격대상에 대한 내부정보를 먼저 확보함으로써 그들에게 정상적으로 보일만한 이메일을 제작하는 과정을 거친다. 가장 직접적인 방법으로는 공격대상의 컴퓨터나 혹은 그 회사의 컴퓨터 네트워크에 대한 해킹이 있으며 물론 이 과정은 상당히 어렵다. 이 경우 보안대책이 강력할수록 이러한 해킹을 막을 가능성이 높아지며 따라서 지능형 이메일필터링과 우수한 안티바이러스가 스피어피싱 방지에 큰 도움이 된다. 이들은 해킹에 돌입하기에 앞서 다양한 웹사이트, 블로그, 소셜네트워크 등을 검색하여 필요한 정보를 확보한다.

 

오늘날 사회는 관계 중심으로 발전함에 따라 인해 사람, 뉴스, 장소 사이의 연결이 그 어느 때보다 심화되고 있다. 사용자는 손가락만 까닥하여 온 세상과 접촉할 수 있다. 이는 곧 전례 없이 많은 정보의 공유를 의미하며 이에 따라 의도치 않게 정보를 유출하고 해커들이 이를 조합하여 사기수법과 공격에 활용하게 되는 결과를 불러일으킬 수 있다. 피싱 및 스피어피싱 메일은 대체로 비밀번호, 계좌번호, 사용자 ID, 접속코드, PIN 번호 등 개인정보를 제공해야 하는 이유를 아주 그럴듯하게 설명한다. 이들은 가짜 웹사이트에 대한 클릭을 유도하는 방법을 즐겨 사용한다.

 

이러한 수법을 물론 잘 이해하는 것도 중요하지만 피싱 이메일이 도달하기 전에 막는 솔루션을 사용할 수도 있다. 우선 가장 중요한 툴은 안티바이러스로 여기에는 대체로 불필요한 이메일과 악성 URL을 방지할 수 있는 스팸필터링 기능, 보안상 위험한 웹사이트에 대한 접속을 막을 수 있는 악성웹사이트 차단기능 등이 포함도 있다. 그 외에 사이버공격을 막을 수 있는 안타비아러스 기능으로는 아래 링크 참고.

 

소셜엔지니어링 방지요령

 

US-CERT는 소셜엔지니어링 사기수법을 방지하기 위한 몇몇 요령을 제시하며 그 내용은 다음과 같다.

요청하지 않은 개인에 의한 전화, 방문, 이메일을 통해 직원 등 내부정보를 문의하는 경우를 조심한다. 신원불상 개인이 정상적인 기관에 소속됐다고 주장하는 경우 해당 기관에 직접 문의하여 그 개인의 신원 확인 시도한다.

개인정보 그리고 네트워크구조 등 회사정보는 상대방이 해당 정보를 보유할 권한이 있음이 명백한 경우가 아닌 이상 제공하지 않는다.

이메일에 개인정보나 금융정보를 밝히지 않고 이러한 정보를 요청하는 이메일에 응하지 않는다. 이는 이메일에 담긴 링크에 대해서도 동일하다.

웹사이트 보안이 확인되기 전에는 인터넷으로 기밀정보를 제공하지 않는다.

웹사이트 URL에 주의한다. 악성웹사이트는 정상적인 웹사이트와 똑같아 보일 수 있으나 URL에 다른 철자나 도메인이 들어갔을 수 있다(ex: .com - .net).

이메일에 의한 정보요청이 정상적인지 불확실한 경우에는 해당 회사에 직접 문의하여 이를 확인하도록 한다. 해당 요청에 제시된 웹사이트가 제공하는 연락처는 사용하지 않으며 그 연락처에 대해서는 예전에 밝혀진 내용을 확인한다. 피싱차단그룹(Anti-Phishing Working Group) 등 온라인 그룹을 통해 알려진 피싱공격에 대한 정보를 확인할 수도 있다.

이메일클라이언트와 웹브라우저의 피싱차단기능을 활용한다.

안티바이러스 소프트웨어, 방화벽, 이메일필터링을 사용하여 악성트래픽 유입을 감소시킨다.

 

사이버범죄자들은 다른 사람의 컴퓨터에 침입하기 위해 온갖 수법을 동원하므로 항상 주의하는 자세를 가지고 특히 이메일을 조심해야 한다.

 



VIPRE Security News, Social Engineering 101: Everything You Should Know, 6. 30. 2016.

https://blog.vipreantivirus.com/tech-talk/social-engineering-anyway/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.05 17:10


웹브라우저 주소창에 있는 자물쇠 모양 아이콘은 암호화 접속방식인 HTTPS(Hypertext Transfer Protocol Secure)를 가리키며 이는 온라인에서의 뱅킹과 쇼핑 그리고 피싱 방지 측면 중요한 의미를 가진다. 대부분의 웹사이트는 HTTP 표준 프로토콜을 사용하는데 HTTPS는 여기에 암호화를 통해 보안을 강화한 방식이다.

 

HTTP의 보안상 문제점

HTTP 프로토콜을 채택한 웹사이트에 접속할 때 브라우저는 웹사이트에 대한 IP 주소를 열람하여 이를 통해 접속하기만 하면 접속한 위치를 올바른 웹사이트로 인식한다. 또한 데이터가 평문으로 전송되기 때문에 중간에서 와이파이 네트워크, 인터넷서비스공급자(internet service provider, ISP), 국가정보기관 등이

사용자가 방문하는 웹페이지와 주고받는 데이터를 수집할 수 있다.

 

이러한 HTTP 방식은 우선 접속한 대상이 올바른 웹사이트인지 확인(authenticate)할 방법이 따로 없다는 문제가 있다. 예를 들어 은행 웹사이트로 접속한 줄 알았는데 은행처럼 꾸민 허위 웹사이트에 접속하는 일이 생길 수 있다는 것이다. 또한 HTTP은 접속에 별도의 암호화가 없기 때문에 비밀번호나 카드번호 등 개인정보가 노출되어 외부인에게 탈취될 수 있으며 사용자의 방문 및 검색 기록도 유출될 수 있다.

 

HTTPS의 작동원리와 장점

HTTPS는 위와 같은 HTTP의 약점을 극복하이 위해 설계된 프로토콜이다. HTTPS를 채택한 사이트에 접속하면 웹브라우저가 웹사이트 측의 보안인증서를 확인하고 그 인증서가 정식 인증기관으로부터 발행됐음을 확인하게 된다. 따라서 주소창에 예를 들어 은행 웹사이트 주소가 https://bank.com이라고 적혀 있다면 그 은행 주소가 허위가 아닌 진짜임을 알 수 있다. 인증기관 측에서 불량인증서를 발행함으로 인해 웹사이트 접속이 잘못되는 경우도 없진 않다. 또한 개인계정 로그인을 하거나 카드번호, 결제기록 등 개안정보를 전송할 경우 해당 데이터는 암호화되어 외부인에 의한 정보 탈취를 차단한다. HTTPS가 완벽한 보안대책이라고 보긴 어렵지만 적어도 HTTP의 근본적 문제점을 대폭 수정했다는 면에서 의미가 있다.

 

HTTPS는 웹사이트 정보에 대한 인증수단으로서 접속한 웹사이트가 올바른 웹사이트인지 가짜인지 판별하는 증요한 기준이 된다. 특히 은행 웹사이트에 접속할 때 로그인 페이지에 HTTPS 주소와 아이콘이 표시되지 않았다면 웹페이지 자체의 모양이 실제 은행 웹사이트와 비슷해 보여도 이는 허위로 꾸며졌을 가능성이 대단히 높다. 또한 웹사이트에서 개인정보를 입력하여 로그인하거나 결제관련 정보를 입력할 때 해당 웹사이트에서 이러한 데이터를 암호화하는 HTTPS 방식을 채택했는지가 중요하며 만약 단순 HTTP일 경우에는 별도 보안대책이 없는 한 개인정보 등 기밀정보를 입력해서는 안 된다.

 

구글의 경우 이제 HTTPS가 기본 설정으로 채택되며 따라서 구글에서 검색을 실행할 경우 외부인이 사용자의 검색기내용을 볼 수 없게 된다. 예를 들어 사용자가 위키피디아에 HTTPS로 접속할 경우 외부인은 사용자가 위키피디아에 접속했다는 사실만 알 수 있고 위키피디아에서 구체적으로 어떤 글을 보는지는 알 수 없다.

 

HTTPS 판별 및 주의사항

어떤 웹사이트가 HTTPS를 채택했는지 확인하기 위해서는 주소창에 적힌 주소가 https://로 시작하는지 보면 된다. 이 경우 자물쇠 아이콘도 표시되며 이걸 클릭하면 웹사이트 보안에 대한 상세정보를 확인할 수 있다.



 


그런데 사용자들이 이렇게 HTTPS 주소와 자물쇠 아이콘을 확인한다는 사실을 악용하여 웹사이트를 조작하는 경우도 있다. 실제로 HTTPS 인증서를 허위로 발행받아 악성웹사이트를 HTTPS 프로토콜로 위장하는 수법이 가능하다. 이는 HTTPS 인증방식 구조가 자신이 보유하지 않은 다른 사이트를 사칭하는 경우만을 차단하도록 돼 있기 때문이다. 예를 들어 https://bankofamerica.com.3526347346435.com이라는 주소가 있을 때 이 주소는 HTTPS 방식을 채택하기는 했으나 실제 접속되는 페이지는 Bank of America가 아닌 3526347346435.com의 하위 도메인이 되는 것이다. 한편 자물쇠 아이콘을 모방하여 주소창에 표시함으로써 사용자를 기만하는 수법도 쓰일 수 있다. 이러한 지능적 수법은 대체로 이메일 등에 첨부된 악성링크를 클릭할 때 접속하는 사이트가 스스로를 올바른 웹사이트로 위장할 때 사용될 수 있으므로 가장 확실한 방법은 불확실한 출처의 링크를 클릭하지 않는 것이라고 할 수 있다. https://를 확인하는 데 그치지 않고 주소 전체를 주의하여 확인하는 과정도 필요하다.


 

 


Chris Hoffman, HTG Explains: What is HTTPS and Why Should I Care?, 2. 10. 2014.

http://www.howtogeek.com/181767/htg-explains-what-is-https-and-why-should-i-care/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.06.29 14:08

 

랜섬웨어는 미국을 비롯한 세계 각지의 기업들에게 중대한 온라인보안위협으로 떠올랐다. 이제는 공공기관조차 랜섬웨어 위협에서 자유롭지 못하다. 2015년 미국 매사추세츠 주 경찰은 파일 복호화를 위하 사이버범죄자들에게 500달러를 지불한 적이 있으며 이는 수많은 피해사례 중 하나에 불과하다.

 

랜섬웨어 소개

랜섬웨어는 스팸이나 피싱이메일을 통해 전달되어 사용자가 악성링크를 클릭하도록 유도하며 컴퓨터시스템, 기기, 파일에 대한 접근을 차단하고 이를 인질삼아 접근을 재개시키는 대가를 비트코인이라는 인터넷통화의 형태로 요구한다. ThreatTrack 제품담당수석 Usman Choudhary는 다음과 같이 설명한다. "사이버범죄자들의 이러한 수법이 먹히는 이유는 소비자와 기업이 기업 지적재산에서부터 가족사진에 이르기까지 온갖 데이터를 탈취당하여 돈을 주지 않는 이상 이를 복구할 길이 없는 상황에 대한 대비가 전혀 안 된 상태기 때문이다. 기업 보안전문가들조차 3명에 1명꼴로 탈취되거나 암호화된 데이터를 안전하게 복구하기 위해 돈을 지불할 용의가 있다고 응답했으며 이미 표적이 된 기업에서는 이 비중이 55%까지 올라갔다." 이하에서는 바이퍼(VIPRE) 안티바이러스팀이 개인과 기업이 모두 따를 수 있는 랜섬웨어 대비요령을 소개한다.

 

1. 데이터백업

언제나 데이터사본을 백업해 둬야 한다. 외장 하드드라이브의 경우 공급량이 늘어나고 가격이 떨어지고 있기 때문에 간편하고 저렴한 백업수단이 된다. 또한 각종 클라우드솔루션을 통해 자동으로 외부서버에 백업하는 방법도 있다. Carbonite, CrashPlan, Mozy 등 백업서비스는 클라우드에 데이터를 보관하게 하여 랜섬웨어공격 상황을 복구할 수 있고 또한 화재, 홍수, 토네이도, 지진과 같은 자연재해의 경우에도 보호받을 수 있도록 한다. 이는 랜섬웨어의 협박을 피할 수 있는 가장 좋은 방법이다.

 

2. 데이터백업 주기적으로 실행

데이터백업도 중요하지만 최종백업 시점이 언제인지 기억할 수 정도로 시간이 지난다면 백업의 효과를 거둘 수 없다. 되도록 매일 그리고 적어도 일주일에 한 번 데이터를 백업하도록 해야 한다.

 

3. 종합 맬웨어방지솔루션 사용

랜섬웨어를 차단하고 잡아내기 위해서는 다양한 방어대책을 활용해야 한다. 개인사용자의 경우 바이퍼 솔루션을 최신버전인 9.3 버전으로 무료 업데이트가 가능하며 가장 강력한 제품인 인터넷시큐리티프로(Internet Security Pro)를 사용할 수도 있다. 기업사용자라면 바이퍼 엔드포인트시큐리티(Endpoint Security)에 투자할 필요가 있다. 엔드포인트시큐리티는 종합보안전략에 필요한 각종 신기능을 제공한다. 이메일에 대해서는 파일을 컴퓨터로 유입시킬 수 있는 악성 URL을 검사할 수 있으며 웹브라우저 또한 글로벌 실시간 클라우드서비스를 통해 악성URL을 차단하여 즉시방어가 가능하다. 기기보호기능은 USB와 같은 무허가기기가 컴퓨터환경의 파일에 접근하는 것을 막는다. 그리고 엔드포인트시큐리티의 고유기능인 행동분석은 클라우드보호서비스를 통해 업데이트되며 이를 통해 제로데이 취약점 분석능력을 계속 향상시킬 수 있다.

<참고: 랜섬웨어 차단 AVG 유료안티바이러스>

 

4. 피싱이메일 주의

사용자의 가족 또는 최신 소셜엔지니어링 수법을 익힌 다른 사용자로 인해 악성링크와 첨부물을 클릭하는 결과가 유도된다는 점을 인지해야 한다. 온라인 강의나 보안의식제고 서비스와 같이 도움을 받을 수 있는 방법이 아주 다양하다. 기업사용자는 스팸, 맬웨어, 스피어피싱, 웨일링 등 다양한 해킹수법과 용어에 대해 주기적으로 알림으로써 친구, 직장동료, 온라인매장 등으로 출처를 위장하는 피싱시도를 직원들이 보다 잘 식별해 내도록 해야 한다. 그리고 개인사용자는 바이퍼에 포함된 스팸필터링을 통해 피싱이메일을 피할 수 있으나 그렇다 해도 이메일을 확인할 때마다 주의하는 태도를 가져야 한다.

 

5. 안전한 컴퓨터 사용과 소프트웨어 업데이트

랜섬웨어 제작자들은 주요 소프트웨어 어플리케이션의 취약점을 악용하는 수법도 즐겨 사용한다. 어플리케이션의 업데이트를 항상 최신으로 유지하고 있다면 공격가능성을 대폭 줄일 수 있다. 더욱 좋은 방법은 바로 모든 어플리케이션에 대해 자동업데이트 기능이 있다면 이를 작동시키는 것이다. 어도비리더, 어도비플래시, 자바, 구글크롬, 아이튠즈, 스카이프, 파이어폭스 등이 주요 공격대상이다.

바이퍼 비즈니스프리미엄(Business Premium) 그리고 바이퍼 엔디포인트시큐리티 기업용버전은 패치관리기능이 있으며 VIPRE 인터넷시큐리티 및 인터넷시큐리트 프로 또한 자동패치기능을 제공한다. 자동패치기능이 대시보드에서 켜져 있다면 소프트웨어 업데이트가 새로 나올 때마다 즉시 설치된다. 자동패치에 대한 상세정보는 아래 링크 참고.

https://support.vipreantivirus.com/support/solutions/articles/1000092556-what-is-vipre-auto-patch 


6. 업무데이터와 개인데이터 분리

최근 조사에 따르면 IT보안인력이 임원급의 컴퓨터/기기에 대해 맬웨어 제거요청을 받았을 때 원인이 해당 임원의 가족이 그 기기를 사용했기 때문인 비율이 3분의 1이나 됐다고 한다. 이제 수많은 사람들이 가정에서도 업무를 보며 특히 소기업의 경우 가정에서만 업무가 처리되는 경우도 있기 때문에 업무와 개인생활을 분리하는 게 어려울 수도 있으나 양자를 최대한 분리해야 데이터를 안전하게 지키고 사이버공격의 피해를 최소화할 수 있다.

마지막으로 만약 랜섬웨어에 감염된다면 그 즉시 모든 연결을 차단해야 하며 이는 컴퓨터를 즉시 끄고 네트워크에서 분리해야 함을 의미한다. 이렇게 하면 비록 피해가 발생한다 해도 맬웨어가 다른 시스템과 기기에까지 퍼지는 사태를 막을 수 있다.

 

 

 

VIPRE Security News, Six Tips to Avoid Ransomware, 6. 1. 2016.

https://blog.vipreantivirus.com/featured-article/six-tips-avoid-ransomware/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.06.07 17:27

로키(Locky) 랜섬웨어는 오늘날 가장 널리 퍼진 스팸 맬웨어다. 로키 맬웨어의 활동은 2015년부터 개시됐으나 본격적인 전파는 20161월 이후였으며 그 이후로 사그러들지 않고 있다. 로키 랜섬웨어 이메일은 대체로 zip 압축파일이 첨부되며 이 파일의 압축을 풀면 문서나 자바스크립트가 나오게 된다. ThreatTrack 측에서 수집한 로키 랜섬웨어는 실행파일을 다운로드 및 실행할 수 있는 자바스크립트를 포함하고 있었다. 여기에서는 이 실행파일을 중심으로 로키 랜섬웨어를 분석하고 최신 버전을 살펴보고자 한다.


맬웨어제작자가 전송한 스팸메일

 

기본 감염과정 및 파일해시

1582A0B6A04854C39F8392B061C52A7A zip 첨부물

59D2E5827F0EFFE7569B2DAE633AFD1F zip에서 추출된 자바스크립트

F79C950FA3EFC3BB29A4F15AE05448F2 자바스크립트로 다운받은 로키 실행파일

 



기본 감염과정 및 파일해시

 

감염징후

 

어떤 기기가 로키에 감염됐는지의 여부는 어렵지 않게 발견할 수 있다. 아래 그림은 로키에 감염된 윈도XP 기기의 데스크탑 바탕화면을 나타낸다.

 

로키에 감염된 컴퓨터의 바탕화면

 

로키에 감염된 파일은 .locky라는 확장자가 들어가게 되며 감염된 사용자의 개인ID가 파일명 앞에 붙게 된다. 본 실험에서는 MD5 해시값인 8B74B4AA40D51F4A가 붙는다. 또한 _HELP_instructions.txt라는 텍스트파일에는 위 바탕화면에 표시된 내용과 동일한 메시지가 들어 있다.

 

로키 암호화파일

 

로키는 HKCU\Software에 암호화된 사용자고유 레지스트리키를 생성한다. 레지스트리값에 대한 상세내용은 아래에 설명한다. 본 실험에서 생성된 키는

8W21gQe9WZ3tc.

 

암호화된 사용자 개인키

 

합의금지급 안내

 

사용자는 TOR 브라우저를 설치하여 아래 합의금지급 웹페이지에 접속하라는 안내를 받게 된다. 이 때 비트코인 지갑이 있어야 하며 지정된 비트코인 주소로 1.5비트코인을 전송해야 한다.

 

로키 랜섬웨어 합의금지급 페이지

 

자바스크립트 59D2E5827F0EFFE7569B2DAE633AFD1F 소개

 

본 자바스크립트를 텍스트편집프로그램으로 열면 아래와 같이 표시된다.

 

자바스크립트

 

본 자바스크립트는 GET을 통해 http://goldish[dot]dk/o2pds로부터 명령을 다운받고 이를 %Temp%에서 실행시킨다. 이 실행파일은 %Temp% 폴더에 들어 있지 않으면 정상 작동하지 않는다.

 

실행파일 F79C950FA3EFC3BB29A4F15AE05448F2 상세분석

 

Upatre, Dridex, Crypto와 마찬가지로 로키 실행파일 역시 지표(시그내쳐) 탐지를 회피하기 위해 어느 정도 암호화돼 있다.

 

복호화 최종단계에서는 RTLDecompressBuffer API를 통해 실행파일의 압축을 풀게 된다. 이 방식은 Upatre 그리고 Necurs 룻킷 다운로더에서도 사용된 바 있다.

 

RTLDecompressBuffer API


압축이 풀린 로키 실행파일의 MD5 해시값은 F35D01F835FC637E0D9E66CD7E571C06이다.

 

실행파일은 우선 아래와 같은 CnC 서버 IP주소를 복호화한다.

 

중앙통제(CnC) 서버 IP주소

 

실행파일은 API GetWindowsDirectoryA를 통해 윈도 디렉토리를 받는다. 이는 API GetVolumeNameForVolumeMountPointA의 기준으로 사용된다. 이 함수는 감염대상 기기의 윈도폴더에 연관된 volume GUID 경로를 받게 된다.

 

윈도 디렉토리

 

GUID는 로키 랜섬웨어가 사용자의 고유ID를 확보하기 위한 기반 역할을 한다.

 

우선 로키 실행파일이 API CryptHashData에 대해 GUID를 활용한다.


API CryptHashData

 

로키 실행파일은 기기에 대한 고유ID(8B74B4AA40D51F4A)를 확보하기 위해 API CryptGetHashParam를 활용하여 GUID 관련 고유ID를 얻게 된다. hex 덤프를 보면 첫 8바이트를 확인할 수 있다.

 

API CryptGetHashParam

 

이렇게 확보된 고유ID는 본 실험에서 사용된 로키 버전의 신규 레지스트리키와 관련된다. 이제 ID는 체크섬을 통해

로키 실행파일이 설치한 스트링루틴으로 변환되어 레지스트리키로 사용될 스트링을 확보하게 된다. 본 실험에서 신규 레지스트리값이 이전 버전에서 쓰였던 Locky가 아닌 8W21gQe9WZ3tc인 이유가 바로 여기에 있다.

 

신규 레지스트리키

 

CnC 통신

로키 실행파일은 http://<IP/Domain>/submit.phpPOST 요청을 전송하며 이 때 쓰이는 명령과 파라미터는 다음과 같다.

 

Commands --- Parameters (Remove the <>)

&act=getkey&affid= --- id=<>,&lang=<>,&corp=<>,&serv=<>,&os=<>,&sp=<>,&x64=<>

&act=gettext&lang= --- id=<>

&act=stats&path= --- id=<>,&encrypted=<>,&failed=<>,&length=<>

 

&act=getkey&affid= 명령에 대한 파라미터 예시(암호화 생략)

id=8B74B4AA40D51F4A&act=getkey&affid=1&lang=en&corp=0&serv=0&os=Windows+XP&sp=3&x64=0

 

이들 명령은 API HttpSendRequestA를 통해 암호화된 상태로 CnC 서버에 전송된다. 실행파일은 또한 API InternetReadFile을 통해 암호화된 응답을 수신한다.

 

CnC 서버 명령창


로키 실행파일은 CnCgetkey 명령을 보내고 나서 공개 RSA키를 통해 암호화된 메시지와 getkey 명령을 복호화하게 된다. 아래 그림을 통해 암호화 과정 일부를 볼 수 있다. 공개 RSA키는 ASC에 들어간다.

 

복호화과정

 

사용자기기에 공개키 저장

 

로키 실행파일은 RSA 공개키를 암호화하고 해당 체크섬은 스트링으로 변환되며 이는 레지스트리키가 생성된 과정과 동일하다. 이는 HKCU\Software에 있는 레지스트리키에 바이너리값으로 저장된다. 값의 이름은 270CwQa9XuPIc7이다.

 

RSA 공개키 암호화

 

사용자에 대한 메시지

 

그리고 CnC&act=gettext&lang= 명령이 전송된다. 로키 랜섬웨어는 이를 통해 데스크탑 배경화면 그림과 동일한 내용의 메시지를 받게 된다.

 

로키 랜섬웨어 메시지

 

드라이브, 네트워크리소스, 암호화대상 파일 수집

 

네트워크 공유 및 리소스

로키 실행파일은

WNetOpenEnumW, WNetEnumResourcesW, WNetAddConnection2,

WNetCloseEnum API를 통해 아래와 같은 3종의 리소스를 파싱했다.

#define RESOURCE_CONNECTED 1

#define RESOURCE_GLOBALNET 2

#define RESOURCE_REMEMBERED 3

 

각종 리소스유형에 대한 NetResource 파싱과정의 용도는 아래와 같다.

 

NetResource 파싱 과정


아래 그림은 분석대상 기기에서 공유폴더기능을 켤 때 실행파일이 해당 공유폴더에 접속하여 나중에 공유폴더에 있는 파일까지 암호화할 수 있도록 준비하는 모습을 보여준다.

 

공유폴더 파일 암호화

 

실행파일은 다음으로 GetLogicalDrives 그리고 GetDriveTypeW API를 통해 암호화대상 드라이브를 수집한다. 본 실험에서는 C:\ 드라이브가 수집됐다.

 

C드라이브 암호화

 

마지막으로 위에서 수집한 드라이브와 리소스를 토대로 폴더별로 파일을 암호화할 쓰레드가 생성된다.

 

로키 랜섬웨어 프로세스 최종단계

 

데이터복구 차단 위한 숨은 사본 삭제

 

로키 실행파일은 다음으로 아래 명령을 실행하여 모든 숨은 사본을 삭제한다.

vssadmin.exe Delete Shadows /All /Quiet

 

Crypto 등 다른 랜섬웨어 또한 동일한 명령을 사용했다.

 

파일암호화 프로세스 - 쓰레드 생성

 

본 과정의 첫 단계는 기기의 파일 및 디렉토리를 파싱하는 것이다. 로키 실행파일은 암호화대상 파일에 대한 참고로서 메모리공간을 할당한다.

 

허용목록 확인

로키는 감염대상 기기의 디렉토리를 파싱하면서 각 파일의 파일명을 이하의 허용목록 스트링과 대조하게 된다. 아래와 같은 스트링을 포함한 파일이름은 암호화되지 않게 된다.

@_HELP_instructions.bmp, _HELP_instructions.txt, _Locky_recover_instructions.bmp, _Locky_recover_instructions.txt, tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

 

차단목록 확인

로키 실행파일은 또한 암호홛상 파일의 확장자를 확인한다. 아래와 같은 확장자를 가진 파일은 암호화된다.

.001, .002, .003, .004, .005, .006, .007, .008, .009, .010, .011, .123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .ARC, .CSV, .DOC, .DOT, .MYD, .MYI, .NEF, .PAQ, .PPT, .RTF, .SQLITE3, .SQLITEDB, .XLS, .aes, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .db, .dbf, .dch, .dif, .dip, .djv, .djvu, .docb, .docm, .docx, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .js, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .ms11 (Security copy), .n64, .odb, .odg, .odp, .ods, .odt, .onetoc2, .otg, .otp, .ots, .ott, .p12, .pas, .pdf, .pem, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .pptm, .pptx, .psd, .pst, .qcow2, .rar, .raw, .rb, .sch, .sh, .sldm, .sldx, .slk, .sql, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip, wallet.dat (filename specific)

 

파일암호화 프로세스 API 및 함수 수준 개관

 

로키 랜섬웨어가 AES RSA 암호화를 사용한다는 자체 주장은 일단 맞다. 암호화과정에서 CryptGenRandom 그리고 CryptEncrypt Crypto API가 사용된다. 또한 이 프로세스에서 aesenc 그리고 aeskeygenassisst를 사용하는 함수가 발견되기도 했다.

 

API 개관

 

암호화된 로크 파일의 최종 0x344바이트 해부

 

 

아래 그림을 보면 최종 0x344바이특 파일 말단에 쓰여진다. 4바이트는 실행파일에 의해 하드코딩된다. 본 실험에서는 이 부분이 로키 랜섬웨어 제작자가 사용자파일을 암호화한 실행파일의 버전을 확인하는 일종의 식별부호라고 추측했다.

 

하드코딩된 0x8956FE93

 

파일 위에 쓰기

 

다음 0x10바이트는 물론 사용자의 고유ID. 다음 0x100바이트는 CryptEncrypt API의 결과물이다. 마지막 0x230바이트는 위에서 언급한 AESENC 함수로부터 생성됐다.

 

감염 최종단계

로키 실행파일은 파일을 암호화한 모든 폴더 위치에 _HELP_instructions.txt 파일을 생성하게 된다. 또한 합의금지급 안내를 담은 비트맵 이미지파일을 생성하고 저장하여 이를 사용자 바탕화면으로 지정시킨다. 아울러 stats라는 액션을 CnC 서버로 전송하며 그 내용은 다음과 같다.

 

id=8B74B4AA40D51F4A&act=stats&path=c%3A&encrypted=1&failed=0&length=5912

Path = the infected Drive “C:\”

Encrypted = True

Failed = false

Length = number of files

 

마지막으로 최종 암호화 레지스트리값이 생성된다. 이는 과거 버전 로키의 Completed=Yes와 같다. 이를 통해 암호화된 레지스트리값에 대한 상세정보 3건이 완성된다.

 

암호화 최종단계

 

본 실험의 실행파일은 또한 도메인생성 알고리즘도 가지고 있었는데 이는 로키 랜섬웨어가 발견된 이래 계속 있었다고 알려져 있다. 실팽파일은 최초에 복호화된 IP 주소로부터 응답을 받지 못할 경우 이 알고리즘을 사용하게 된다.

 

대처방안

 

ThreatSecure 제품을 사용하면 로키 랜섬웨어 실행파일의 다운로드를 차단할 수 있다. 아래 이미지는 ThreatSecure NetworkGET 과정을 통해 악성코드 다운로드를 탐지하는 장면을 보여준다.

 

ThreatSecure 구동

 

사용자는 이메일 첨부물을 열기에 앞서 ThratTrack의 동적 맬웨어분석 샌드박스솔루션인 ThreatAnalyzer를 사용하여 해당 파일의 악성여부를 조사할 수 있다. ThreatAnalyzeranalysis.xml이라는 이름의 파일에 조사결과를 기록한다. 이 결과를 통해 ThreatAnalyzer가 해당 실행파일이 랜섬웨어의 행동양상을 보였음을 알 수 있다.

 

.locky에 보관 및 암호화된 파일

 

ThreatAnalyzer 샌드박스를 통해 파일이 암호화됐음을 탐지할 수 있으며 Help Instructions 텍스트파일 또한 생성됐음을 확인할 수 있다.


도움말 텍스트파일

 

CnC 서버 IP주소로의 POST 명령 통신에 대한 네트워크 캡쳐

 

로키 실행파일이 외부로 나가는 접속을 개시했음을 확인할 수 있다.

 

CnC 서버 통신 네트워크 캡쳐

 

백업을 모두 삭제하는 Vssadmin.exe 실행프로세스 캡쳐

 

Vssadmin.exe 실행프로세스 캡쳐

 

HKCU\software에서 암호화 레지스트리값을 4Y0743Ngl로 설정

 

로키는 파일 암호화에 앞서 기기의 네트워크리소스를 측정하며 이 역시 암호화된다. ThreatAnalyzer는 이 행동 역시 포착했다.

 

로키 네트워크리소스 계산

 

이상을 통해 본 실험에서 쓰인 것과 같은 지능형 위협방지 솔루션이 랜섬웨어 감염 방지에 도움이 될 수 있다. 지능형솔루션을 통해 신종위협이 실제로 위해를 가하기 전에 이를 차단할 수 있다. 특히 ThreatAnalyzer의 샌드박스 기능은 사용자가 실수로 첨부물을 열였을 경우에 침입 및 잠재적 악성행동에 대한 징후를 기록할 수 있으며 이를 통해 나날이 증가하는 주요 랜섬웨어공격에 대한 방어를 한층 강화할 수 있다.

 

<참고: ThreatTrack 보안솔루션>




ThreatTrack Security Labs, Understanding the Latest Version of Locky Ransomware, 5. 18. 2016.

https://blog.threattrack.com/understanding-latest-version-locky-ransomware/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.01 13:53



 

요즘 랜섬웨어에 대한 관심이 뜨겁다. 수많은 미국 병원들이 랜섬웨어 공격을 받아 데이터를 상실하고 업무에 큰 방해를 받게 되어 언론에 보도되고 있는 상황이다. Hollywood Presbyterian Medical CenterCEO는 인터뷰를 통해 "시스템을 복구하기 위해 가장 빠르고 효율적인 방법은 바로 공격자의 요구대로 돈을 내는 것이었다."고 실토하기도 했다(비트코인으로 17천 달러).

랜섬웨어는 보통 이메일이나 웹사이트를 통해 퍼지는 악성코드로 강력한 암호화키(: 2048비트 RSA)를 통해 대량의 데이터를 암호화해 버린다. 그러고 나면 해당 데이터를 복호화하는 대가로 돈을 요구하게 된다. 여기에서는 랜섬웨어 공격을 방지하기 위한 10가지 요령을 소개한다.

 

1. 주기적으로 백업

데이터의 주기적 백업은 암호화된 파일을 복구할 수 있느 가장 빠른 방법이다. 백업도 감염되는 사태를 막기 위해서는 백업을 안전한 오프라인 공간(또는 클라우드솔루션)에 분리 보관해야 하며 읽기 전용으로만 설정해야 한다. 주기적으로 데이터무결성을 확인하여 백업데이터가 안전한지 확실히 할 필요도 있다.

주의: 백업대책의 복구과정을 실제로 시범한 적이 없다면 그 백업대책은 아무런 의미가 없다. 복구 불가능한 백업은 할 이유는 없기 때문이다.

 

2. 이메일보안솔루션을 통해 이메일첨부물 검사 및 차단

이메일첨부물을 검사하거나 특정 이메일첨부물 유형이 메일수신함에 도달하기 전에 차단하는 이메일보안솔루션은 랜섬웨어 피해를 방지할 수 있는 훌륭한 방법이다. 여기에 더해 '실시간보호''실행시 검사'와 같은 기능을 갖춘 안티바이러스를 통해 백그라운드 의심활동을 모니터링할 수 있으며 사용자가 악성파일을 클릭하는 즉시 대응조치가 이루어질 수 있다.

 

3. 특정 사용자프로필 폴더에서 실행되는 실행파일(exe) 차단

엔드포인트에서 윈도 소프트웨어 제한정책(Software Restriction Policy)이나 침임방지 소프트웨어를 사용할 경우 다음 위치에서 실행파일이 실행되지 않도록 해야 한다. 이들 폴더 및 하위폴더는 랜섬웨어가 악성프로세스를 호스팅하는 위치로 알려져 있다.

%userpro

%appdata%

%localappdata%

%ProgramData%

%Temp%

이 때 규칙은 "전체 차단, 일부 허용(block all, allow some)"으로 설정하여 기본 행동은 특정 어플리케이션을 허용하지 않는 이상 모든 실행파일을 차단하도록 해야 한다.

: ThirdTier의 랜섬웨어방지킷(Ransomware Prevention Kit)은 다양한 그룹정책과 정보 등 리소스를 제공하며 이를 통해 랜섬웨어 위협을 줄이고 위에 소개한 규칙을 적용할 수 있다.

 

4. 주기적으로 꾸준히 패치 설치

랜섬웨어의 가장 흔한 감염경로는 바로 소프트웨어 취약점이다. 운영체제, 브라우저, 사무어플리케이션(: MS오피스), 방화벽, 네트워크기기의 패치를 최신으로 유지하여 랜섬웨어 위험을 줄일 수 있다.

 

5. 의심 외부트래픽 모니터링 및 차단

침입탐지&방지시스템(Intrusion Detection and Prevention System, IDPS)은 의심 외부트래픽을 모니터링하고 사용자에게 경고하거나 일정한 조치(: 연결차단 또는 방화벽 재설정)를 실행할 수 있다. 이 정보를 위협정보 공유그룹과 연계시킨다면 보안인프라를 강화하여 네트워크에서 랜섬웨어의 통신활동을 곤란하게 할 수 있다(랜섬웨어와 공격자측의 통신 차단).

 

6. 권한부여 최소화

어떤 랜섬웨어가 관리자 보안권한을 통해 실행된다면 더욱 큰 피해를 야기하고 보다 광범위하게 퍼질 수 있다(: 네트워크드라이브, 공유폴더, USB기기에 보관된 데이터 암호화 가능). 사용자가 작업에 필요한 정도로만 최소한의 권한을 가지고 로그인하도록 권한부여를 최소화함으로써 랜섬웨어의 공격피해를 감소시키고 전파위험도 줄일 수 있다. 어떤 랜섬웨어는 권한수준을 상승시키려 시도하기도 하지만 대부분의 경우 실행된 당시의 보안권한을 따르게 된다. 권한을 최소화시키면 사용자가 관리자권한으로 명령을 실행하거나 어플리케이션을 설치/삭제하고자 할 경우 계정정보를 직접 입력해야만 그 작업에 필요한 시간 동안만 해당 권한수준을 획득할 수 있게 된다.

 

7. "알려진 파일유형 확장자 숨김" 해제

랜섬웨어가 정체를 숨기는 방법으로 정상적인 파일유형으로 위장하는 수법이 있다. 예를 들어 PDF 문서로 위장하는 파일의 경우 "Invoice.pdf.exe"라는 파일이름을 가질 수 있다. 이 경우 "알려진 파일유형 확장자 숨김"이 적용된다면 이 파일의 이름은 "Invoice.pdf"로 보이게 된다. 이러한 확장자 숨김 옵션을 해제하면 의심파일을 보다 용이하게 포착할 수 있다.

 

8. MS오피스 어플리케이션 보안설정 강화

Locky라는 이름의 최신 랜섬웨어 변종은 악성매크로를 통해 공격수단을 다운로드받아 실행하게 된다. 그룹정책을 통해 매크로 사용을 차단하거나 "전자서명된 매크로 제외한 모든 매크로 차단(Disable all macros except digitally signed macros)" 옵션을 설정할 수 있다. 이와 유사하게 액티브X와 외부컨텐츠(External Content) 설정을 "사용자선택(Prompt)"이나 "차단(Disabled)"으로 설정할 수 있다(사용자 환경의 업무상 필요에 따라).

 

9. 사용자 보안교육

랜섬웨어 방지대책의 최종단계에는 바로 사용자가 있다. 부주의한 사용자가 맬웨어를 다운로드하고 실행하는(이메일첨부물 열기, 악성링크 클릭 등) 과정이 없다면 랜섬웨어는 결코 큰 효과를 보기 어렵다. 사용자에게 모범적 행동요령 그리고 위협을 어떻게 포착할지에 대해 교육한다면 소셜엔지니어링 공격에 당할 가능성을 줄일 수 있다. 특히 강조해야 할 부분은 다음과 같다.

알지 못하는 송신자가 보낸 이메일첨부물을 열지 말 것

알지 못하는 송신자가 보낸 이메일의 링크를 클릭하지 말 것

이메일 본문의 도메인 철자오류 확인(: microsoft.com이 아닌 rncom로 표기)

이메일 제목 및/또는 본문의 철자오류 및 형식오류 확인

의심스러운 파일이나 이메일이 있으면 IT 지원창구나 정보보안팀에게 연락

 

10. 인터넷다운로드 전량검사

웹모니터링 및 스캔 솔루션을 사용하여 인터넷다운로드를 전량 검사해야 한다. 이를 통해 알려진 악성사이트에 대한 사용자 접속을 방지할 수 있으며 특정 파일유형을 검사 또는 차단할 수 있다. 피싱이메일이 실제로 침투하거나 사용자가 악성링크를 클릭하게 돼도 GFI WebMonitor와 같은 웹모니터링 및 스캔 솔루션이 있다면 악성사이트 접속이나 파일다운로드를 차단할 수 있다.

 

위 내용이 너무 많다면...

다소 진부한 말일 수 있으나 랜섬웨어 방지에 대해 다층적인 접근방식을 취할 때 감염을 피할 가능성을 극대화할 수 있다. 이러한 다층접근방식을 구체적으로 풀어 랜섬웨어 방지요령을 요약할 때 이에 따른 권고사항은 다음과 같다.

1. 확실한 백업 및 복구 계획이 마련되어 있어야 한다. 이를 통해 랜섬웨어 감염이 발생한다 해도 암호화되지 않은 최신사본을 통해 사고를 극복할 수 있다.

2. 랜섬웨어의 가장 보편적인 공격경로인 이메일과 인터넷다운로드에 대한 보안을 강화함으로써 랜섬웨어 노출을 최소화(GFI MailEssentials이나 GFI WebMonitor와 같은 솔루션을 통해 이메일 및 인터넷다운로드 보안 강화 가능)

3. 네트워크에 침투한 랜섬웨어에 대한 가시성을 높이는 방향으로 설정과 정책을 적용하여 의심스러운 파일이나 활동을 탐지하고 맬웨어가 성공적으로 실행될 가능성을 줄인다.

4. 무엇보다도 사용자들이 의심되는 상황을 감지하고 그런 상황에서 어떻게 행동할지에 대해 교육하는 것이 가장 중요하다.


<참고: 랜섬웨어 차단 가능한 AVG 안티바이러스>

 

 

 

Andrew Tabona, 10 ways to prevent ransomware from damaging your business, 4. 28. 2016.

http://www.gfi.com/blog/10-ways-to-prevent-ransomware-from-damaging-your-business/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.05.09 14:45

위로가기