Office에 해당하는글 2

근래 수많은 회사들을 공격한 랜섬웨어는 현존하는 중대한 위협이다. 랜섬웨어를 방지할 수 있는 가장 효과적인 방법은 바로 교육이며 이에 따라 본 인포그래픽은 기업에서 랜섬웨어 방지를 위해 따라야 할 실천수칙을 정리했다. 인포그래픽은 예방을 위한 대책 및 조언 외에 랜섬웨어가 실제 침투한 경우에 대비한 방안도 제시하고 있다.



- 인포그래픽 본문 -


랜섬웨어란 강력한 암호화키로 사용자 파일을 암호화시킨 다음 복호화의 대가로 돈을 요구하는 악성코드다. 랜섬웨어는 주로 이메일 첨부물이나 악성웹사이트 링크를 통해 배포되며 피해방지를 위해서는 예방이 최선책이다.


1.  주기적으로 데이터 백업: 주기적으로 백업이 된 상태라면 랜섬웨어에 감염된 파일을 신속히 되찾을 수 있다. 백업도 감염되는 사태를 방지하기 위해서는 해당 백업을 읽기전용으로 설정하고 오프라인 또는 클라우드로 백업을 격리시켜야 한다.


2. 주기적으로 소프트웨어 패치: 운영체제, 브라우저, 어플리케이션, 네트워크기기의 패치를 최신으로 유지한다면 악성코드에 대한 취약점을 줄이고 랜섬웨어의 일반적 감염경로를 차단할 수 있다.


3. 의심 트래픽 모니터링 및 차단: 침임 탐지⋅방지 시스템(IDS⋅IPS)을 통해 의심스러운 트래픽을 모니터링하고 필요한 경우 사용자에게 알리거나 지정된 조치를 즉각 실행하도록 할 수 있다. 의심 트래픽 차단을 통해 감염확산을 막고 데이터피해 확대를 방지할 수 있다.


4. 인터넷 다운로드파일 검사: 웹모니터링 솔루션을 통해 인터넷에서 다운받은 파일을 검사하고 사용자의 악성웹사이트 접근을 방지할 수 있다. 이 경우 피싱이메일이 필터링을 통과하고 사용자가 링크를 클릭하는 경우에도 악성웹사이트 접속이나 감염된 파일 다운로드를 차단할 수 있다.

<참고: GFI WebMonitor 웹모니터링솔루션>


5. 이메일첨부물 검사: 이메일보안 솔루션을 통해 첨부물을 검사하거나 특정한 파일유형에 해당하는 첨부물을 차단하고 여기에 안티바이러스 솔루션을 통한 엔드포인트 실시간 모니터링을 병행한다면 랜섬웨어를 더욱 효과적으로 방지할 수 있다.

<참고: GFI MailEssential 이메일보안솔루션>


6. 의심 실행파일 구동 차단: 윈도 소프트웨어제한정책(Windows Software Restriction Policy)이나 IPS 소프트웨어를 통해 '%userprofile%\AppData', '%ProgramData%', '%Temp%' 등 랜섬웨어가 사용한다고 알려진 폴더에서 실행파일이 구동되지 못하도록 할 수 있다.


7. "알려진 파일유형 확장자 숨김(Hide extensions for known file types)" 해제: 랜섬웨어는 잘 알려진 파일유형으로 위장을 시도한다. 악성파일이 PDF 문서로 위장할 경우 "’Invoice.pdf.exe"와 같은 이름을 사용하게 되는데 이 경우 파일확장자가 숨겨진다면 사용자 측에서 해당 파일을 식별해내기 어려워진다.


8. 마이크로소프트 오피스제품군 보안설정 강화: 최근 발견된 랜섬웨어들은 감염된 마이크로소프트 워드 문서를  통해 정상적인 인보이스로 위장한 다음 악성코드를 다운받아 구동시킨다. 그룹정책을 통해 마이크로소프트 오피스 어플리케이션의 매크로 작동을 차단함으로써 감염가능성을 줄일 수 있다.


9. 사용자권한 제한: 사용자가 필요한 만큼만 권한을 가지고 로그인하도록 하면 맬웨어 감염의 피해를 줄일 수 있고 랜섬웨어가 네트워크 전체로 번지는 사태를 방지할 수 있다.


10. 사용자교육 실시: 상당수 보안위협대책의 마지막 축은 사용자 측에 있다. 랜섬웨어는 부주의한 사용자가 요청한 바 없는 이메일 첨부물을 열거나 악성링크를 클릭하는 등 직접 감염된 파일을 다운받고 실행하는 행동을 하지 않기만 해도 랜섬웨어의 위협을 크게 줄일 수 있다.

  1. 전송자를 알지 못하는 경우 이메일첨부을 열거나 링크를 클릭하지 않도록 한다.

  2. 예정에 없는 이메일의 경우 도메인 철자오류나 제목 및/또는 본문 형식오류 여부를 확인한다.

  3. 의심 파일이나 이메일은 즉시 관계 인력이나 부서에 연락하도록 한다.





GFI Software, 10 ways to prevent ransomware headaches [infographic], 7. 21. 2016.

http://www.gfi.com/blog/wp-content/uploads/2016/07/GFI_Software_Ransomware_Infographic_final_1.jpg


번역: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.25 16:41


파일유형에 따른 위험성

 

컴퓨터를 사용자들은 대체로 실행파일(.exe)가 위험할 수 있다는 사실은 알고 있지만 사실 윈도우 운영체제에는 실행파일 말고도 위험성을 안고 있는 파일확장자가 적지 않으며 심지어 화면보호기 파일도 위험할 수 있다.

 

웹에서 다운받았거나 이메일에 첨부된 파일이 열어도 안전한지 알기 위해서는 우선 어떤 파일확장자가 위험성을 가지고 있는지 알아야 한다. 위험성이 있는 파일을 취급해야 하는 경우라면 해당 파일을 안티바이러스 프로그램으로 검사하거나 VirusTotal과 같은 맬웨어 데이터베이스에 등록하는 등의 조치를 통해 바이러스 등 맬웨어가 아닌지 확실히 해야 한다.

 

파일확장자가 종류에 따라 위험성을 가지는 이유는 코드를 포함하거나 임의명령을 실행할 수 있기 때문이다. 위에서 언급한 .exe 파일은 윈도우 사용자계정제어(User Account Control)의 범위내에서 사실상 무엇이든 할 수 있기 때문이다. 반면 .jpeg 이미지나 .mp3 음원파일 등 미디어파일은 기본적으로 코드를 포함하지 않기 때문에 위험성이 없다(악성으로 조작된 이미지 등 미디어파일이 뷰어 어플리케이션의 취약점을 악용할 수 있었던 사례가 있지만 이런 경우는 극히 드물며 보완도 신속히 이루어진다).

 

프로그램

.EXE 프로그램 실행파일로 윈도우 운영체제에서 실행되는 어플리케이션은 대부분 .exe 파일이다.

.PIF MS-DOS 프로그램에 대한 프로그램 정보파일로 원래는 실행코드를 포함하지 않지만 만약 실행코드가 포함된 경우라면 윈도우에서 .exe와 동일하게 인식되어 실행될 수 있다.

.APPLICATION 마이크로소프트 ClickOnce 기능을 토대로 한 어플리케이션 인스톨러.

.GADGET 윈도우 비스타(Vista)부터 도입된 바탕화면 가젯(gadget) 기능을 작동시키는 가젯 파일.

.MSI 마이크로소프트 인스톨러 파일로 실행시 컴퓨터에 다른 어플리케이션을 설치한다. 참고로 .exe 또한 어플리케이션을 설치할 수 있다.

.MSP 윈도우 인스톨러 패치파일로 .MSI 파일로 설치된 어플리케이션에 대한 패치 용도로 사용된다.

.COM MS-DOS가 사용하는 프로그램 유형.

.SCR 윈도우 화면보호기로 실행코드를 포함할 수 있다.

.HTA HTML 어플리케이션으로 브라우저에서 실행되는 HTML 어플리케이션과 달리 샌드박스 투입 없이 신뢰되는 어플리케이션으로 실행된다.

.CPL 제어판(Control Panel) 파일로 윈도우 제어판에 있는 모든 유틸리티는 .CPL 파일이다.

.MSC 마이크로소프트 관리콘솔(Management Console) 파일로 그룹정책편집기 및 디스크관리툴과 같은 어플리케이션이 .MSC 파일이다.

.JAR 자바 실행코드를 포함하고 있는 파일로 자바 런타임이 설치된 경우 .JAR 파일이 프로그램으로 실행된다.




 

스크립트

.BAT 배치(batch) 파일로 본래 MS-DOS에서 사용되며 열게 되면 컴퓨터에서 실행되는 명령 목록을 포함하고 있다.

.CMD .BAT와 유사한 배치파일이지만 윈도우NT에서부터 도입됐다.

.VB, .VBS VBScript 파일로 실행시 VBScript 코드를 실행하게 된다.

.VBE 암호화된     VBScript 파일로 일반적인 VBScripty 파일과 유사하지만 실행시 어떤 결과가 나올지 예측하기 어렵다.

.JS 자바스크립트 파일로 주로 웹페이지에서 사용되며 웹브라우저에서 실행시 안전하다. 하지만 윈도우에서는 .JS 파일을 브라우저 외부에서 샌드박스 투입 없이 실행시키기 때문에 위험성이 있다.

.JSE 암호화된 자바스크립트 파일.

.WS, .WSF 윈도우 스크립트 파일

.WSC, .WSH 윈도우 스크립트 구성요소(Script Component) 및 윈도우 스크립트 호스트(Script Host) 파일로 윈도 스크립트 파일과 함께 사용된다.

.PS1, .PS1XML, .PS2, .PS2XML, .PSC1, .PSC2 윈도우 파워쉘(PowerShell) 스크립트로 파일 내에 지정된 순서대로 파워쉘 명령을 실행한다.

.MSH, .MSH1, .MSH2, .MSHXML, .MSH1XML, .MSH2XML 파워쉘의 전신인 모나드(Monad) 스크립트 파일.


 


바로가기

.SCF 윈도 탐색기(Explorer) 명령파일로 위험한 명령을 윈도 탐색기에 넘길 수 있다.

.LNK 컴퓨터에 깔린 프로그램에 대한 링크로 사용자에 대한 문의 없이 파일을 삭제하는 등의 위험한 행동을 실행할 수 있는 명령어 속성을 포함할 수 있다.

.INF AutoRun이 사용하는 텍스트파일로 실행시 동반하여 실행되는 어플리케이션이 위험할 수도 있으며 윈도우에 포함된 프로그램에 위험한 옵션을 전달할 수도 있다.

 

기타

.REG 윈도 레지스트리 파일로 실행시 추가하거나 삭제할 레지스트리 입력 목록이 들어 있다. 악성 .REG 파일은 레지스트리에서 중요한 정보를 제거하고 이를 불량 또는 악성 데이터로 대체해 버릴 수 있다.


 

오피스(Office) 매크로

.DOC, .XLS, .PPT 마이크로소프트 워드, 엑셀, 파워포인트 문서로 악성 매크로코드를 포함할 수 있다.

.DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM, .PPSM, .SLDM 오피스 2007부터 도입된 파일확장자로 확장자 끝의 M은 해당 문서가 매크로를 포함한다는 사실을 가리킨다. 예를 들어 .DOCX 파일은 매크로가 없는 반면 .DOCM 파일은 매크로를 포함할 수 있다.

 

 


Chris Hoffman, 50+ File Extensions That Are Potentially Dangerous on Windows, 2. 12. 2013.

http://www.howtogeek.com/137270/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.06.22 14:25

위로가기