Ransomware에 해당하는글 45



게시일: 2016-08-02 l 작성자: Trend Micro

트렌드마이크로에서 제안하는 다층보안설계 중 엔드포인트 솔루션에 대해 설명하고자 합니다.

이 블로그는 네 파트로 이루어진 시리즈의 두 번째 파트로써, 랜섬웨어가 어떤 기술을 활용하여 엔드유저와 기업에 영향을 미치는 지에 대하여 설명합니다. 위협을 최소화하기 위한 다층보안 설계는 게이트웨이 보안 및 엔드포인트, 네트워크, 그리고 서버에 각각 알맞은 보안을 도입해야 한다는 것을 의미합니다.

게이트웨이 보안을 다룬 트렌드마이크로의 블로그를 보시려면, 하단을 클릭하세요:

FBI는 2016년 랜섬웨어 피해가 자그마치 10억 달러 이상 될 것이라 추정했습니다. 랜섬웨어 비즈니스는 급속히 팽창하고 있으며, 사이버 범죄자들은 피해자의 비즈니스 형태 및 규모와 상관없이 끊임없는 공격을 가하고 있습니다.

일반적으로 중소기업에서는 체계적인 보안 솔루션을 유지할 비용적 여유가 없기 때문에 랜섬웨어 보안 등에 큰 투자를 하고 있지 않습니다. 조사에 따르면, 미국 중소기업의 약 65%는 랜섬웨어에 대비한 보안 솔루션을 도입하지 않은 것으로 밝혀졌습니다. 또한, 다층보안설계에 따른 보안 시스템을 구축하고 있다고 하더라도, 파트너사, 벤더, 직원 등의 신뢰할 만한 출처로부터 오는 위협으로 인해 기업 네트워크가 침해 당할 위험이 있습니다. 이러한 상황을 살펴보았을 때, 동작 모니터링과 애플리케이션 컨트롤 기능이 가능한 엔드포인트 솔루션은 기업 랜섬웨어 방어의 최전방이라고 할 수 있습니다.

그림1. 랜섬웨어 공격 종류와 전용 솔루션


동작 모니터링 기능의 이해

트렌드마이크로 오피스스캔 및 Worry-Free 비즈니스 시큐리티와 같은 솔루션에서 제공하는 동작 모니터링 기능은 “이례적”이거나 정상적이지 않은 시스템의 동작 또는 변경을 추적하고 차단합니다. 해당 기능은 암호화, 작업 변경, 파일 드롭, C&C서버 커뮤니케이션 등에 기반하여 랜섬웨어와 크립토랜섬웨어 변종의 알려진 또는 알려지지 않은 공격의 실행을 차단할 수 있습니다. 또한 정보 탈취 랜섬웨어인 RAA 랜섬웨어와 MIRCOP 변종을 차단할 수 있습니다. 동작 모니터링 툴은 시스템 내 저장된 특정 파일을 암호화 하려는 모든 프로그램을 종료시킬 수 있습니다. 실행되는 프로그램이 화이트 리스트에 포함되지 않거나, 랜섬웨어 공격과 관련된 것으로 판정되면, 해당 프로세스의 실행을 즉시 중지합니다.

그림 2. 랜섬웨어가 암호화하는 파일 종류가 나열된 스크린샷


이메일 스캐너를 우회하기 위해 스크립트로 디자인된 Locky, TeslaCrypt 4.0(탐지명 CRYPTESLA), CryptoWall 3.0(탐지명 CRYPTWALL)r과 같은 랜섬웨어 또한 동작 모니터링으로 탐지가 가능합니다. 당사의 동작 모니터링 기술은 VBScript를 사용하는 랜섬웨어(Cerber 및 Locky 변종)와 Jscript 랜섬웨어(RAA)를 탐지 및 차단합니다.

섀도우 복사본을 삭제하는 랜섬웨어 그룹도 존재하는데, 이러한 행동이 특정 OS에서는 일반적인 프로세스로 분류되기 때문에 곧바로 차단되지 않는 경우도 있습니다. 하지만 동작 모니터링 기술로 랜섬웨어 감염의 가능성이 있다고 판단할 수 있습니다.

랜섬웨어 변종 중에는 정식 프로그램, 서비스, 프레임워크 등을 악용하여 시스템이 악성코드를 감치 및 제거하는 것을 우회하기도 한다. 예시로, PowerWare는 윈도우 PowerShell을 악용한다. 동작 모니터링 툴은 정식 프로그램, 서비스, 프레임워크가 악성으로 활용되거나, 정식 프로그램이 암호화에 이용될 경우와 같은 특정 이벤트를 감시하고 방지할 수 있습니다.

그림 3. PowerShell을 악용하는 PowerWare 코드


일반 사용자들의 경우, 랜섬웨어 악성코드가 일반적인 정식 프로그램에 의해 실행될 경우 크게 주의 깊게 살펴보지 않을 수도 있습니다. 하지만, 동작 모니터링 툴이 있다면, 랜섬웨어의 침투 경로와 후킹 등과 같은 행위를 저지하고 차단할 수 있습니다.


애플리케이션 컨트롤 기능의 이해

동작 모니터링 이외에 엔드포인트 솔루션에서 실행할 수 있는 좋은 대응 기능은 바로 애플리케이션 컨트롤 입니다. 화이트 리스팅(White Listing)이라고도 알려진 해당 기능은, 랜섬웨어의 실행을 방지하여 백업 파괴 등의 더 큰 피해를 방지할 수 있는 기능입니다. 애플리케이션 컨트롤은 비악성 경로, 파일, 프로세스만이 시스템에서 실행하도록 합니다.

그림 4. 트렌드마이크로의 애플리케이션 컨트롤이 JIGSAW 실행 방지


IT 관리자들은 애플리케이션 컨트롤을 통해 시스템에서 실행할 수 있는 프로그램, 파일, 프로세스를 결정할 수 있습니다. 엔드포인트에서 카테고리, 벤더, 앱, 또는 기타 역학적 평가 가치들로 목록을 만들 수 있습니다. 앱이 허용될 경우, 해당 앱의 업그레이드 버전 또는 업데이트 버전도 사용할 수 있습니다. IT 관리자는 시스템 파일, 데스트탑 앱, 모바일 앱 등의 안전 앱 디폴트 목록을 사용할 수 있다.

앱을 화이트 리스팅 하는 것 이외에도 애플리케이션 컨트롤은 특정 파일 경로에서 프로그램, 파일, 프로세스가 실행하는 것을 방지합니다. IT 관리자들은 특정 디렉토리에 관한 블로킹 룰(Blocking Rule)을 생성할 수 있습니다. 랜섬웨어 변종 중에는 일반적으로 %Temp% 또는 %User Temp% 디렉토리에 복사본을 다운로드 합니다. 해당 경로는 일반적으로 대다수의 악성코드가 사용하는 것입니다. JIGSAW와 같은 랜섬웨어는 %Application Data% 과 %AppDataLocal%의 파일 경로를 사용합니다. IT 관리자들은 특정 변종이 일반적으로 사용하는 경로를 알아내서, 해당에 대한 블로킹 룰을 생성할 수 있습니다.

그림 5. 트렌드마이크로 애플리케이션 컨트롤이 차단할 수 있는 특정 경로


트렌드마이크로의 대책

랜섬웨어가 시스템에 침투할 수 있는 방법은 무궁무진하기 때문에, 조직에서는 다층의 방어막으로 엔드포인트, 네트워크와 서버를 지켜야 합니다. 동작 모니터링과 애플리케이션 컨트롤은 랜섬웨어가 게이트웨이를 통과했을 때를 대비한 부가적인 방어막입니다. 위협이 엔드포인트까지 도달하여 기업의 중요 데이터를 포함한 기업 파일을 암호화하기 시작하면 복구가 어렵습니다. 랜섬웨어가 섀도우 복사본을 삭제하거나 암호화보다 더 악의적인 행동을 하게 된다면, 기업 입장에서는 돈을 내고 복구하는 방법 밖엔는 없습니다.

트렌드마이크로 Deep Discovery Email Inspector는 랜섬웨어가 포함된 스피어피싱 이메일을 탐지하여 사용자 수신함에 도달하기 전 사전에 예방할 수 있습니다. 맞춤형 샌드박스 기술로 악성 마크로를 사용하는 랜섬웨어 또한 발견이 가능합니다.

네트워크 보호를 위한 트렌드마이크로 Deep Discovery Inspector는 맞춤형 샌드박스를 이용하여 네트웨크 레벨에서 랜섬웨어를 발견합니다. 이 솔루션은 암호화 행위, 백업 자료의 변경 및 다량의 파일 변경 등을 탐지합니다. 또한 스크립트 애뮬레이션 (script emulation), 제로 데이 공격, 랜섬웨어에 흔히 발견되는 비밀번호가 설정된 악성파일 등을 찾아낼 수 있습니다. 트렌드마이크로 Deep Security는 랜섬웨어가 익스플로잇 킷을 악용하여 시스템과 서버의 취약점을 통한 침투를 방지하여 물리/가상/클라우드 형태로 존재하는 기업 서버에 접근하는 것을 방지합니다.

중소기업의 경우, 트렌드마이크로 Worry-Free 비즈니스 시큐리티 프로그램을 활용하여 랜섬웨어의 탐지 및 차단을 위한 동작 모니터링과 웹 평판 기술을 제공합니다.

트렌드마이크로에서 제공하는 무료 툴인, 트렌드마이크로 화면잠금형 랜섬웨어 툴과 크립토 랜섬웨어 툴을 활용하여 랜섬웨어 감염의 피해를 복구할 수 있습니다.

원문: How Endpoint Solutions Can Protect Businesses Against Ransomware




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


엔드포인트 솔루션을 활용하여 랜섬웨어의 위협으로부터 기업 데이터 보호하기

https://www.trendmicro.co.kr/kr/blog/how-endpoint-solutions-can-protect-businesses-against-ransomware/index.html




참고링크 


<유료안티바이러스 제품비교>


COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.09 14:21



랜섬웨어는 컴퓨터를 감염시키는 즉시 파일을 암호화시키고 천연덕스럽게 복호화툴 구매를 제안한다. 만약 최근에 백업을 해 뒀다면 돈을 낼 필요가 없겠지만 백업이 없는 상태고 데이터를 복구해야 한다면 돈을 낼 수밖에 없다. 물론 맬웨어 제작자의 실수로 인해 복호화 전문가들이 무료 복호화방법을 찾아내는 경우도 있긴 하지만 이는 지극히 드문 경우다.



랜섬웨어는 주로 이메일 첨부물의 형태로 배포되는데 최근 사례를 표시한 위 그림을 보면 랜섬웨어 제작자들은 DOCX 워드파일이나 JS 자바스크립트파일의 형태로 만든 악성파일을 zip 압축파일에 넣는 방법을 즐겨 사용함을 알 수 있다. 사실 이렇게 압축할 필요 없이 직접 워드문서 또는 자바스크립트를 첨부할 수도 있으며 이 경우 악성코드 실행에 필요한 클릭 과정이 줄어들기도 한다. 하지만 악성코드를 압축파일에 넣는 방법은 세 가지 목적이 있다. 우선 zip과 같은 압축파일은 자바스크립트 파일과는 달리 이메일 첨부물로 흔히 볼 수 있어서 눈에 띄는 인상을 피할 수 있다. 그리고 압축파일의 경우 악성코드 실행에 필요한 클릭 수가 늘어나기 때문에 대부분의 기업이 zip 첨부물에 대해서는 개별 파일에 비해서는 다소 관대하게 대하는 경향이 있다. 아울러 압축파일을 여는 과정은 사용자가 악성코드에 실제 접근할 때 시각적으로 이메일프로그램가 분리되는 효과도 있다.


압축파일을 열면 윈도우 탐색창이 뜨면서 비정상적인 이메일 첨부물이 아닌 믿을 수 있는 일반적인 파일이 들어 있다는 인상을 심어주게 된다. 랜섬웨어는 exe 파일, 엑셀 스프레드시트, PDF, batch 파일 등 다양한 형태로 배포될  수 있지만 최근에는 주로 워드 문서파일과 자바스크립트파일의 형태로 퍼지고 있다. 대부분의 워드문서는 단순 텍스트나 이미지만 있으므로 안전하지만 매크로나 내장된 프로그램 명령어를 담고 있을 수도 있으며 이 경우 랜섬웨어와 같은 맬웨어를 다운받아 설치할 수 있다. 한편 자바스크립트파일은 아이콘 모양이 종이처럼 생겨서 무해한 텍스트파일로 보이지만 사실은 보통의 exe 파일이 수행 가능한 작업을 모두 할 수 있는 프로그램이다.


최근 이들 두 유형 외에 LNK 파일이 새로운 배포유형으로 떠오르고 있다. LNK는 Shell Link Binary 파일인데 일반적인 사용자에게는 바로가기(shortcut)로 잘 알려져 있으며 다른 파일로 위장이 용이하기 때문에 맬웨어제작자들이 종종 사용해 왔다.




위 그림을 보면 왼쪽은 MyDoc.pdf 파일이고 오른쪽은 모양은 같지만 오른쪽 하단 화살표를 보면 링크나 바로가기임을 알 수 있다. 물론 해당 파일을 명령 프롬프트를 통해 조회하거나 마우스 우클릭으로 속성을 조회하면 상세정보를 볼 수 있다. 위 그림을 보면 탐색창 설정을 통해 파일 확장자를 보이도록 했음을 알 수 있지만 LNK 파일의 경우 바로가기 대상이 되는 파일의 이름만 보이며 자체적인 파일이름 및 확장자는 표시하지 않는다.



LNK 파일은 또한 위 그림과 같이 파일이름을 변경하고 아이콘까지 다르게 지정할 수 있으며 명령을 실행하도록 할 수도 있다. 위 LNK 파일은 INVOICE.pdf.lnk로 cmd.exe를 통해 명령 프롬프트를 실행하여 s.js라는 자바스크립트파일을 생성 및 실행하도록 설정된 상태다. 이 파일은 PDF와 아무 관련이 없는데도 INVOICE.pdf라는 PDF파일로 표시되며 클릭하면 명령 프롬프트를 통해 생성된 s.js 파일을 실행하여 Wscript.Echo() 함수를 통해 메시지를 띄우게 된다.



이렇게 보면 오늘날 워드문서파일 및 자바스크립트파일에 대한 경각심이 높아진 상태에서 사이버범죄자 측이 LNK 파일을 악용하리라는 점을 짐작할 수 있다. 위 내용처럼 LNK 파일은 파일 확장자를 표시하는 설정을 따르지 않으며  실제 행동과 일치하지 않는 아이콘을 부여받을 수 있기 때문에 아주 매력적인 기만수단이 될 수 있다.


위에서 확인한 각 이메일은 위 INVOICE.pdf의 경우과 유사한 수법을 사용하는 LNK 파일을 첨부물로 가지고 있다.


LNK 감염은 랜섬웨어 외에도 다양한 악성코드를 배포할 수 있으며 피해자별로 운영체제 버전, 시간대, 지리적 위치 등에 따라 제각각 다른 악성코드를 퍼뜨릴 수 있다.




랜섬웨어 등 악성코드 방지요령


1.윈도우에서 파일 확장자가 보이도록 설정한다. 물론 이 방법은 LNK 파일에 대해서는

소용이 없지만 적어도 이를 제외한 모든 파일의 확장자를 보여준다는 면에서 보안향상에 도움이 된다.

2. 요청하지 않은 첨부물을 주의한다.

3. 실시간 안티바이러스 및 웹필터링 솔루션을 사용하고 업데이트를 최신으로 유지한다.

4. 이메일에 첨부된 LNK 파일은 열지 않는다.

5. 이메일첨부물로 허용되는 파일 목록을 확인한다. 시스템관리자 대부분은 exe 파일이나 미디어파일 등 잘 알려진 파일유형 첨부물을 이메일 유입단계에서 차단한다. LNK 파일의 경우처럼 사이버범죄자 측에서 행동양상을 바꿀 경우 해당 차단목록을  확인하고 필요한 경우 목록을 갱신할 필요가 있다.




Paul Ducklin, Beware of ransomware hiding in shortcuts, 8. 3. 2016.

https://nakedsecurity.sophos.com/2016/08/03/beware-of-ransomware-hiding-in-shortcuts/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>


COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.08 13:58


러시아어권에서 만들어졌다고 추정되는 Satana 랜섬웨어는 두 가지 기능을 가지고 있다. 우선 윈도우 마스터부트레코드(master boot record, MBR) 파일을 암호화시켜 운영체제 부팅을 차단해 버린다. 이와 비슷하게 MBR에 관여하는 트로이목마로 Petya 랜섬웨어가 잘 알려져 있다. Satana는 MBR에 자체 코드를 주입한다는 점에서는 Petya와 유사하지만 MBR 자체를 암호화한다는 점에서 마스타파일테이블(master file tablem MFT)을 암호화하는 Petya와 다르다. 또한 Petya가 컴퓨터 파일 암호화를 위해 Mischa라는 별도의 트로이목마를 동반하는 데 비해 Satana의 경우 이 작업도 자체적으로 수행할 수 있다.


MBR이란 하드드라이브의 일부분으로 다양한 디스크 파티션에서 사용되는 파일시스템 정보를 보관하며 어떤 파티션에 운영체제가 보관되는지에 대한 정보도 가지고 있다. MBR이 변질되거나 암호화될 경우 컴퓨터는 어떤 파티션에 운영체제가 들어 있는지를 알 수 없다. 운영체제를 찾을 수 없는 컴퓨터는 부팅되지 못한다. Satana와 같은 랜섬웨어의 배후세력은 이를 이용하여 랜섬웨어에 부팅차단 기능을 더했다. MBR을 날려 버리고 이를 금전지급요구로 대체한 다음 원래 MBR은 암호화시키고 다른 위치로 옮겨 버리는 것이다. Satana는 MBR 복호화 및 암호화된 파일에 대한 복호화키 제공의 대가로 0.5비트코인(약 340달러)을 요구한다. Satana 제작자에 따르면 금전이 지급되고 나면 운영체제 접근이 복구되고 이전 상태로 복원이 이루어진다고 한다.


Satana는 모든 드라이브 및 네트워크인스턴스를 검사하여 .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, .asm 파일을 조사한 후 해당 파일을 암호화한다. 또한 이메일주소와 밑줄 3자를 파일이름 앞에 추가한다(예: test.jpg → Sarah_G@ausi.com___test.jpt). 피해자는 이 이메일주소로 메일을 보내 결제방법을 받고 결제 이후 복호화키를 받을 수 있다. 조사 결과 6종의 이메일주사가 확인됐다.


다행히도 Satana에 의한 차단은 부분적으로 피할 수 있으며 일정 조건 하에 MBR 복구가 가능하다. Windows Club 블로그에는 윈도우 운영체제 복구기능을 통해 MBR을 복구할 수 있는 방법이 나와 있다. 하지만 이는 명령프롬프트와 bootrec.exe 유틸리티 사용에 익숙한 사용자를 위한 방법이며 일반사용자가 시도하기에는 다소 어려운 부분이 있다. 다만 윈도우 부팅차단이 해제된다 해도 파일 암호화에 대해서는 아직 별도의 복호화방법이 없는 상태다.


현재 Satana는 배포된 지 얼마 지나지 않았으며 코드 자체에도 몇몇 약점이 있지만 시간이 지날수록 개선되어 아주 심각한 위협이 될 가능성이 높다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Valeria Titova, Satana: Ransomware from hell, 7. 11. 2016.

https://usblog.kaspersky.com/satana-ransomware/7389/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.05 15:15




근래 사이버보안에서 화제가 되고 있는 랜섬웨어는 전염병 수준으로 창궐하고 있으며 금방 사라지기 어려운 위협이다. 랜섬웨어의 역사는 크게 데이터 암호화 전후로 나눌 수 있다. 오늘날에는 데이터를 암호화하는 유형인 cryptor가 주류를 이루고 있지만 이에 앞서 먼저 등장한 건 blocker 랜섬웨어였다. blocker 랜섬웨어는 운영체제나 브라우저 접근을 차단하고 이를 복구하는 대가로 돈을 요구한다. 당시 금전지급은 주로 기부 등에 사용되는 문자메시지 코드나 전자지갑을 통한 송금 등으로 이루어졌다. 보안전문가와 수사기관 측에서는 이러한 지급과정에 착안하여 공격자를 적발해 냈다. 전자결제 관련 규제가 진화함에 따라 위험부담 가중으로 랜섬웨어의 수익성도 떨어졌으며 용의자 적발 또한 늘어났다.


그러나 최근 몇 년 동안 비트코인이 급부상하고 사이버범죄의 주목을 받기 시작하면서 상황은 달라졌다. 비트코인은 전자자산이자 추적이나 규제가 불가능한 결제시스템으로 범죄자에게는 아주 매력적인 수단이다. 또한 랜섬웨어의 방식 자체도 브라우저나 운영체제 접근을 차단하는 대신 데이터를 암호화하는 방향으로 바뀌었다. 운영체제는 사용할 수 없게 돼도 다시 설치하면 그만이지만 개인 파일은 고유한 내용을 가지고 있기 때문에 대체 불가능하다. 공격자는 이를 악용하여 거액의 합의금을 요구할 수 있으며 개인에 대해서는 수백 달러 그리고 기업에 대해서는 수천 달러에 달하는 돈을 뜯어낼 수 있게 됐다. 이러한 랜섬웨서 세대교체는 오래 걸리지 않았으며 2015년 말 랜섬웨어 공격 건수는 눈덩이처럼 불어났다.


카스퍼스키 측 분석에 따르면 랜섬웨어 공격은 2014-2015년 13만 건에서 2015-2016년 72만 건으로 1년 새 무려 5배나 증가했다. 랜섬웨어 공격이 가장 많이 발생하는 국가는 러시아, 카자흐스탄, 이탈리아, 독일, 베트남, 알제리, 브라질, 우크라이나, 미국이다. 하지만 동구권이나 동남아 그리고 남미 등지의 랜섬웨어는 비교적 구형이고 위험성도 떨어지는 blocker 랜섬웨어 비중이 크다. 반면 미국은 cryptor 랜섬웨어 공격이 전체의 40%에 달하며 이탈리아와 독일의 경우 사실상 cryptor가 랜섬웨어와 동의어로 취급될 정도다.



2015-2016년 대세인 랜섬웨어 트로이목마는Teslacrypt, CTB-Locker, Scatter, Cryakl이다. 특히 Teslacrypt의 경우 전체 공격의 절반 가까이를 차지하며 이들 4개 랜섬웨어는 전체 랜섬웨어의 80%에 달한다. TeslaCrypt와 Cryakl의 경우 카스퍼스키 솔루션으로 복호화 가능하다.



랜섬웨어는 초기에는 주로 개인 사용자를 노렸으나 암호화 랜섬웨어가 대세가 된 이후로는 기업에 대한 공격이 늘어났다는 사실도 주목할 만하다. 기업사용자에 대한 공격은 2014-2015년 6.8%에서 2015-2016년 13.13%로 증가했다.





랜섬웨어 피해방지요령


1. 주기적으로 백업


2. 카스퍼스키 솔루션 등 강력한 보안솔루션 사용


<참고: 카스퍼스키 안티바이러스 상세정보>


3. 주기적으로 소프트웨어 업데이트


4. 최신 보안소식 확인


5. 랜섬웨어 감염이 발생해도 섣불리 돈을 먼저 지불하지 않고 아래와 같은 방법을 시도한다.

(1) blocker 랜섬웨어의 경우 카스퍼스키 WindowsUnlocker 툴 사용

(2) cryptor 랜섬웨어의 경우 NoRansom.kaspersky.com 통해 해당 랜섬웨어에 대한 복호화가 가능한지 확인




Alex Drozhzhin, Ransomware’s history and evolution in facts and figures, 6. 22. 2016.

https://usblog.kaspersky.com/ransomware-blocker-to-cryptor/7327/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.03 14:26


최근 영어권과 러시아권에서 발견된 Ded Cryptor라는 랜섬웨어 트로이목마는 2비트코인(1300달러)이라는 거액을 요구하며 아직 복호화 솔루션도 존재하지 않는 상태다. Ded Cryptor에 감염된 컴퓨터의 배경화면은 아래와 같이 산타클로스와 함께 금전요구가 나오는 그림으로 바뀐다.




Ded Cryptor 랜섬웨어의 배경에는 사실 상당히 복잡한 이야기가 얽혀 있다. 터키 보안전문가 Utku Sen은 랜섬웨어를 제작하고 해당 코드를 개발자 협업채널인 GitHub에 공개했다. 이는 사이버공격자가 해당 코드를 토대로 악성코드를 직접 제작하도록 유도하고 미리 심어둔 백도어를 통해 이들의 행동양상을 이해하려는 전략이었다. Sen은 이보다 앞서 교육 및 연구 목적으로 Hidden Tear라는 이름의 랜섬웨어 프로젝트도 진행하고 있었다. 그는 이후 오프라인에서도 작동 가능한 신종 랜섬웨어를 개발했으며 이를 토대로 EDA2라는 강력한 랜섬웨어가 만들어졌다. EDA2는 Hidden Tear에 비해 개선된 비대칭 암호화방식을 채택했으며 C&C 서버와 통신하면서 서버에 전송하는 키를 암호화시킨다. 피해자에게는 아래와 같이 엽기적인 사진을 보여주기도 한다.



EDA2 소스코드 또한 GitHub에 공개됐으며 이는 많은 주목과 비판을 불러들였다. 실제로 이 소스코드는 랜섬웨어 공격에 악용될 수 있었으며 Sen 또한 이를 이해하고 있었다. 그는 자신이 공개한 랜섬웨어에 미리 백도어를 삽입해 뒀으며이를 통해 복호화 키를 수집할 수 있었다. 랜섬웨어가 작동할 경우 해당 C&C 서버의 URL을 알아내고 복호화키를 추출하여 이를 피해자에게 배포하는 과정을 염두에 두고 있었던 것이다. 그런데 이를 위해서는 피해자 측에서 먼저 Sen의 존재를 알아야 하는데 사실 실제 피해자의 대부분은 그의  존재를 전혀 모르는 상태였으며 따라서 복호화키 배포에 시간이 걸린다는 점이 이 방식의 약점이었다.


Hidden Tear 및 EDA2를 응용한 랜섬웨어는 오래지 않아 등장했으며 Hidden Tear의 경우 위에서 소개한 방식대로 복호화키가 피해자들에게 배포될 수 있었다. 하지만 EDA2를 응용한 Magic 랜섬웨어의 경우 공격자 측에서 무료 호스트를 통해 C&C 서버를 운용했으며 호스트 측에서는 악성활동에 대한 신고에 대응하여 별도의 조치 없이 해당 사이버공격자의 계정과 파일을 삭제해 버렸기 때문에 본래 예정됐던 백도어를 통한 복호화키 추출이 불가능해졌다. Magic 랜섬웨어 제작자들은 여기에서 나아가 Sen과 접촉했으며 이들의 대화는 오랜 논란으로 이어졌다. Magic 제작자 측에서는 Sen이 EDA2 소소코드를 공개도메인에서 삭제하고 3비트코인을 지불한다면 자기네 복호화키를 공개하겠다는 제안을 내놨다. 이 과정에서 기존 피해자에 대한 금전요구는 없던 일이 된다는 합의도 도출됐다. 결국 Sen은 EDA2와 Hidden Tear의 소소코드를 GitHub에서 삭제했지만 이미 너무 늦은 상황이었다. 2015년 2월 2일 카스퍼스키 전문가 Jornt van der Wiel은 SecureList에 게재한 글을 통해 Hidden Tear 및 EDA2 기반 암호화툴이 24개에 달한다고 밝혔으며 이 수는 이후 계속 늘어났다.


Ded Cryptor는 바로 이 EDA2 소소코드를 기반으로 제작됐으며 다만 공격자 측 보안과 익명성 강화를 위해 Tor 네트워크를 통해 C&C 서버가 운용되며 tor2web 서비스를 통해 서버와의 통신이 이루어진다. Ded Cryptor 제작과정에서 프록시서버 코드는 다른 GitHub 개발자로부터 전달됐으며 암호화키 요청 코드는 제3자 개발자가 작성하는 등 여러 출처로부터 덕지덕지 만들어진 느낌이 강하다. Ded Cryptor는 서버와 직접 통신하지 않고 감염시킨 컴퓨터에 프록시 서버를 설정하고 이를 통해 서버와 통신한다는 점이 특이하다.


Ded Cryptor 제작자는 Magic 랜섬웨어와 마찬가지로 러시아어 사용자로 추정된다. 우선 금전지급 요구가 영어 및 러시아어로만 돼 있다. 그리고 카스퍼스키 선임맬웨어분석가 Fedor Sinitsyn의 분석 결과 C:\Users\sergey\Desktop

\доделать\eda2-master\eda2\eda2\bin\Release\Output\TrojanSkan.pdb 라는 파일경로가 발견되기도 했다. Ded Cryptor 배포경로에 대해서는 별로 알려진 내용이 없으며 다만 카스퍼스키에 다르면 러시아에서 가장 많이 발견되고 중국 독일, 베트남, 인도 등에서도 발견빈도가 높다고 한다.



Ded Cryptor는 앞서 언급했듯 현재로써는 복호화 수단이 존재하지 않으며 다만 운영체제에서 사전에 생성한 숨은 사본이 있을 경우에만 복구가능성이 있기 때문에 예방이 정말 중요하다. 카스퍼스키 솔루션의 경우 Hidden Tear 및 EDA2 기반 트로이목마를 탐지할 수 있고 Trojan-Ransom.MSIL.Tear를 탐지할 경우 이를 사용자에게 알리며 또한 랜섬웨어 작동을 차단하고 암호화를 방지할 수 있다.


<참고: 카스퍼스키 안티바이러스 상세정보>




John Snow, Ded Cryptor: Greedy ransomware with open-source roots, 7. 8. 2016.

https://usblog.kaspersky.com/ded-cryptor-ransomware/7379/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.02 16:04


랜섬웨어는 데스크탑 컴퓨터 외에 모바일 기기에서도 발견되며 발견빈도 또한 증가추세에 있다. 랜섬웨어의 유형으로는 데이터를 암호화시키고 복구대가로 돈을 요구하는 cryptolocker 랜섬웨어 그리고 운영체제나 브라우저 등 어플리케이션 접근을 차단하고 차단해제에 대해 돈을 요구하는 blocker 랜섬웨어가 있다. 현재 데스크탑 플랫폼에서는 blocker 랜섬웨어는 비교적 소수에 그치는 반면 금전갈취에 더욱 효율적이라고 알려진 cryptolocker 랜섬웨어가 많이 퍼지고 있는 상황이다.


반면 모바일 플랫폼의 경우 안드로이드 운영체제와 앱이 클라우드 백업을 동반하며 따라서 데이터 암호화에 따른 이득이 그만큼 적기 때문에 안드로이드 cryptolocker 랜섬웨어는 거의 전무하다시피 하고 blocker 랜섬웨어가 훨씬 널리 사용된다.  모바일 기기에서 blocker 랜섬웨어는 모든 앱의 인터페이스를 자체적으로 조작하여 피해자가 사용 가능한 어플리케이션이 없게 만들어 버린다. PC의 경우 blocker 랜섬웨어가 있다면 하드드라이브를 분리하여 다른 컴퓨터에 연결한 다음 blocker 파일을 제거해 버리면 그만이다. 하지만 휴대전화의 경우 기본 저장공간이 마더보드에 부착돼 있기 때문에 컴퓨터처럼 쉽게 분리할 수는 없다. blocker 랜섬웨어가 전체의 99%를 차지하는 건 바로 이 때문이다.



주요 모바일 랜섬웨어


2014-2015년 모바일 랜섬웨어 주요 4종은 Svpeng, Pletor, Small, Fusob였다. 오늘날 Pletor 랜섬웨어는 정체된 상태며 해당 제작자들은 새로 선보인 Acecard 트로이목마에 집중하고 있는 상황이다. Svpeng 또한 현재는 주춤한 상태로 해당 제작자들은 금융 트로이목마에 집중하고 있다. 이에 따라 2015-2016년에는 Small 그리고 Fusob 랜섬웨어가 전체의 93%를 차지하고 있다.



Fusob와 Small은 관계당국의 서명과 피해자의 과실 주장을 조작한 화면을 표시하고 피해자가 돈을 지불하지 않으면 형사사건으로 입건된다고 협박하는 등 공통점도 많다. 하지만 차이점이 더욱 극명한데 예를 들어 결제 방식을 보면 Fusob은 iTunes 기프트카드 결제를 요구하며 Small의 경우 Kiwi 결제시스템이나 MoneyPak xpress Packet voucher 결제옵션을 제시한다. 양자 모두 러시아어권 제작자에 의해 만들어졌으나 기획방향은 상당히 다른데 그 구체적인 내용은 다음과 같다.


Fusob은 피해자 기기의 언어를 조사하여 구소련 연방에서 사용됐던 언어에 해당하면 아무런 행동도 하지 않는 반면 다른 언어에 해당할 경우 NSA임을 자처하며 100~200달러 가량의 돈을 요구한다. Fusob 피해자의 주요 거주지는 독일이며(41%) 영국과 미국이 각각 14.5%와 11.4%로 2위와 3위를 차지하고 있다.



Small의 경우 반대로 Fusob가 기피하는 러시아, 카자흐스탄, 우크라이나에서 99% 가까이 발견된다. Small 랜섬웨어는 정부에서 발행한 듯 보이는 안내문에 결제안내, 협박, 700~3500루블(10~50달러) 금전요구 등의 내용을 담고 있다. 영문 버전의 경우 화면 모양이 약간 다르고 FBI를 사칭하면서 300달러 가량을 요구한다. 이 외에 cryptolocker 유형으로 기본 버전과 동일하지만 SD 카드 파일도 암호화하는 변종이 있고 금전탈취, 데이터탈취, 기기잠금 등 여러 기능을 가진 트로이목마 변종도 있다.



모바일 랜섬웨어 향후 전망


모바일 맬웨어는 처음 등장할 때만 해도 큰 관심을 받지 않았지만 오늘날 엄청난 기세로 성장하고 있으며 모바일공격은 2014년에 비해 4배 가까이 증가했다. 모바일 랜섬웨어 피해자 또한 2.04%에서 4.63%로 두 배가 늘었다. 2015년 모바일 랜섬웨어의 최대 표적은 미국이었으며 당시 모바일 피해자 10명 중 1명은 모바일 랜섬웨어에 노출됐다. 오늘날 이 비중은 대폭 늘어서 독일과 캐나다의 경우 10명 중 2명, 영국과 미국 그리고 카자흐스탄은 7명 중 1명, 이탈리아와 네덜란드의 경우 10명 중 1명이 모바일 랜섬웨어를 접했다고 한다. 앞으로도 특히 랜섬웨어를 중심으로 모바일 맬웨어가 더욱 기승을 부릴 전망이다.



모바일 랜섬웨어 방지요령


1. 구글플레이와 같은 공식 채널을 통해서만 어플리케이션 설치. 안드로이드 보안설정을 통해 알지 못하는 출처를 통한 앱 설치를 차단해야 한다.

2. 펌웨어와 어플리케이션을 주기적으로 업데이트한다. 앱의 경우 자동 업데이트가 가능하지만 시스템은 수동으로 업데이트를 직접 해야 한다.

3. 강력한 보안솔루션 사용. 맬웨어는 구글플레이와 같은 공식채널에도 잠입할 수 있으며 미식별 취약점을 파고드는 취약점악용도 가능하기 때문에 별도의 보안솔루션이 필요하다.


<참고: 카스퍼스키 안티바이러스 상세정보>




John Snow, Ransomware on mobile devices: knock-knock-block, 6. 29. 2016.

https://usblog.kaspersky.com/mobile-ransomware-2016/7346/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.02 14:44


Shade는 2015년 초 등장한 랜섬웨어며 주로 악성스팸이나 취약점악용(exploit kit)을 통해 배포된다. 취약점악용의 경우 피해자가 감염된 웹사이트를 방문하기만 하면 되고 별도로 어떤 파일을 여는 과정이 불필요하기 때문에 특히 위험하다.



Shade가 피해자 시스템 침입에 성공하면 중앙(C&C) 서버로부터 암호화키를 받으며 서버 사용이 불가능할 경우에 대비하여 자체 암호화키도 예비로 보유하고 있다. 이는 랜섬웨어가 일단 침투하고 나면 피해자 컴퓨터에서 인터넷 연결을 끊는다 해도 예정대로 작동할 수 있음을 의미한다. Shade가 암호화할 수 있는 파일유형은 MS오피스 문서, 이미지, 압축파일 등 150종이 넘으며 암호화 과정에서 파일 이름 뒤에 .xtbl 또는 .ytbl 확장자를 추가한다. 암호화가 완료되면 아래와 같이 금전지급 요구가 화면에 표시된다. 한편 Shade는 암호화를 끝내고 나서도 다른 맬웨어를 다운받는 등 지속적으로 활동한다


카스퍼스키는 네덜란드경찰, 유로폴, 인텔시큐리티(Intel Security)와 연합하여 랜섬외어 복호화툴을 모으고 배포할 목적으로  NoMoreRansom.org라는 웹사이트를 개설했다. 이번에 사이트 개설과 함께 Shade 랜섬웨어 복호화툴이 추가됐으며 사용방법은 다음과 같다.


1. NoMoreRansom.org 방문


2. 인텔시큐리티 또는 카스퍼스키 측 다운로드 링크 선택 (이하 내용은 카스퍼스키 복호화툴 기준으로 작성)


3. ShadeDecryptor.zip 압축 풀고 ShadeDecryptor.exe 실행


4. 실행창에서 Change parameters 클릭



5. 암호화파일을 스캔할 드라이브 선택



6. Delete crypted files after decryption은 복호화가 끝나고 나서 암호화된 파일을 자동 삭제하는 옵션이지만 파일이 완전히 복구됐는지 확신할 수 없다면 이 옵션은 권장하지 않는다.


7. OK를 선택하여 실행창으로 돌아오고 Start scan 클릭



8. Specify the path to one of encrypted files 창에서 암호화된 파일 하나를 선택하고 Open 클릭


9. 만약 피해자의 ID를 자동 탐지할 수 없다는 메시지가 뜬다면 금전지급요구와 피해자 ID가 기재된 readme.txt로 파일경로를 지정하면 된다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Alex Drozhzhin, No More Ransom, 7. 25. 2016.

https://usblog.kaspersky.com/shade-decryptor/7441/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.02 13:44



랜섬웨어는 이제 빠른 배포에 그치지 않고 암호화 외에 추가기능까지 생겨나고 있다. 2016년 2월 최초 발견된 Cerber 랜섬웨어는 처음 알려질 당시만 해도 피해자에게 돈을 요구하는 메시지를 음성으로 전달하는 등 음산한 면도 있었으나 기본적으로는 파일복구를 대가로 돈을 요구하는 단순한 구조를 가지고 있었다. 그러나 오늘날 Cerber 최신버전은 피해자 컴퓨터의 파일을 암호화시키는 데서 나아가 그 컴퓨터를 봇넷에 연결된 좀비PC로 만들어 버리기까지 한다. Cerber가 이메일첨부물을 통해 배포되고 실행되면 우선 파일을 암호화시키고 해당 파일의 복구 대가로 돈을 요구한다. 그런데 Cerber는 여기에서 그치지 않고 인터넷 연결을 제어하며 이렇게 되면 피해자 컴퓨터는 분산서비스공격(distributed denial of service, DDoS)이나 스팸전송 등에 활용되는 좀비PC가 된다. 이는 근래 맬웨어가 다목적으로 여러 악성코드를 가지고 있는 경향을 반영하는 사례다.


사실 여러 악성코드를 담은 랜섬웨어는 Cerber 이전에도 목격된 바 있다. Petya 랜섬웨어의 경우 피해자 컴퓨터의 하드드라이브 전체를 암호화하는 데 필요한 승인을 얻기 위해 Mischa 악성코드를 동반한다. CryptXXX 랜섬웨어의 경우 기본적인 암호화 외에 피해자의 개인정보와 비트코인을 훔칠 수 있는 기능까지 가지고 있다.


이렇게 여러 기능을 보유한 랜섬웨어는 기존의 단순한 랜섬웨어에 비해 훨씬 큰 피해를 야기할 수 있으며 따라서 예방의 중요성 또한 더욱 커진다. 사실 Cerber와 같은 랜섬웨어는 감염시 영향은 치명적이지만 충분히 예방할 수 있다. 이메일 주의, 주기적 백업, 운영체제 및 어플리케이션 패치 최신으로 유지, 강력한 보안솔루션 사용 등의 수칙을 따름으로써 랜섬웨어 감염을 예방하고 설령 감염이 발생할지라도 그 피해를 최소화할 수 있다. Kaspersky Lab 보안솔루션은 Cerber 랜섬웨어를 Trojan-Ransom.Win32.Zerber라는 이름으로 탐지해 낼 수 있다.



<참고: 카스퍼스키 안티바이러스 상세정보>




Sarah Pike, Multipurpose malware: Sometimes Trojans come in threes, 5. 27. 2016.

https://usblog.kaspersky.com/cerber-multipurpose-malware/7201/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.01 14:16

위로가기