TrendMicro에 해당하는글 16



게시일: 2016-08-02 l 작성자: Trend Micro

트렌드마이크로에서 제안하는 다층보안설계 중 엔드포인트 솔루션에 대해 설명하고자 합니다.

이 블로그는 네 파트로 이루어진 시리즈의 두 번째 파트로써, 랜섬웨어가 어떤 기술을 활용하여 엔드유저와 기업에 영향을 미치는 지에 대하여 설명합니다. 위협을 최소화하기 위한 다층보안 설계는 게이트웨이 보안 및 엔드포인트, 네트워크, 그리고 서버에 각각 알맞은 보안을 도입해야 한다는 것을 의미합니다.

게이트웨이 보안을 다룬 트렌드마이크로의 블로그를 보시려면, 하단을 클릭하세요:

FBI는 2016년 랜섬웨어 피해가 자그마치 10억 달러 이상 될 것이라 추정했습니다. 랜섬웨어 비즈니스는 급속히 팽창하고 있으며, 사이버 범죄자들은 피해자의 비즈니스 형태 및 규모와 상관없이 끊임없는 공격을 가하고 있습니다.

일반적으로 중소기업에서는 체계적인 보안 솔루션을 유지할 비용적 여유가 없기 때문에 랜섬웨어 보안 등에 큰 투자를 하고 있지 않습니다. 조사에 따르면, 미국 중소기업의 약 65%는 랜섬웨어에 대비한 보안 솔루션을 도입하지 않은 것으로 밝혀졌습니다. 또한, 다층보안설계에 따른 보안 시스템을 구축하고 있다고 하더라도, 파트너사, 벤더, 직원 등의 신뢰할 만한 출처로부터 오는 위협으로 인해 기업 네트워크가 침해 당할 위험이 있습니다. 이러한 상황을 살펴보았을 때, 동작 모니터링과 애플리케이션 컨트롤 기능이 가능한 엔드포인트 솔루션은 기업 랜섬웨어 방어의 최전방이라고 할 수 있습니다.

그림1. 랜섬웨어 공격 종류와 전용 솔루션


동작 모니터링 기능의 이해

트렌드마이크로 오피스스캔 및 Worry-Free 비즈니스 시큐리티와 같은 솔루션에서 제공하는 동작 모니터링 기능은 “이례적”이거나 정상적이지 않은 시스템의 동작 또는 변경을 추적하고 차단합니다. 해당 기능은 암호화, 작업 변경, 파일 드롭, C&C서버 커뮤니케이션 등에 기반하여 랜섬웨어와 크립토랜섬웨어 변종의 알려진 또는 알려지지 않은 공격의 실행을 차단할 수 있습니다. 또한 정보 탈취 랜섬웨어인 RAA 랜섬웨어와 MIRCOP 변종을 차단할 수 있습니다. 동작 모니터링 툴은 시스템 내 저장된 특정 파일을 암호화 하려는 모든 프로그램을 종료시킬 수 있습니다. 실행되는 프로그램이 화이트 리스트에 포함되지 않거나, 랜섬웨어 공격과 관련된 것으로 판정되면, 해당 프로세스의 실행을 즉시 중지합니다.

그림 2. 랜섬웨어가 암호화하는 파일 종류가 나열된 스크린샷


이메일 스캐너를 우회하기 위해 스크립트로 디자인된 Locky, TeslaCrypt 4.0(탐지명 CRYPTESLA), CryptoWall 3.0(탐지명 CRYPTWALL)r과 같은 랜섬웨어 또한 동작 모니터링으로 탐지가 가능합니다. 당사의 동작 모니터링 기술은 VBScript를 사용하는 랜섬웨어(Cerber 및 Locky 변종)와 Jscript 랜섬웨어(RAA)를 탐지 및 차단합니다.

섀도우 복사본을 삭제하는 랜섬웨어 그룹도 존재하는데, 이러한 행동이 특정 OS에서는 일반적인 프로세스로 분류되기 때문에 곧바로 차단되지 않는 경우도 있습니다. 하지만 동작 모니터링 기술로 랜섬웨어 감염의 가능성이 있다고 판단할 수 있습니다.

랜섬웨어 변종 중에는 정식 프로그램, 서비스, 프레임워크 등을 악용하여 시스템이 악성코드를 감치 및 제거하는 것을 우회하기도 한다. 예시로, PowerWare는 윈도우 PowerShell을 악용한다. 동작 모니터링 툴은 정식 프로그램, 서비스, 프레임워크가 악성으로 활용되거나, 정식 프로그램이 암호화에 이용될 경우와 같은 특정 이벤트를 감시하고 방지할 수 있습니다.

그림 3. PowerShell을 악용하는 PowerWare 코드


일반 사용자들의 경우, 랜섬웨어 악성코드가 일반적인 정식 프로그램에 의해 실행될 경우 크게 주의 깊게 살펴보지 않을 수도 있습니다. 하지만, 동작 모니터링 툴이 있다면, 랜섬웨어의 침투 경로와 후킹 등과 같은 행위를 저지하고 차단할 수 있습니다.


애플리케이션 컨트롤 기능의 이해

동작 모니터링 이외에 엔드포인트 솔루션에서 실행할 수 있는 좋은 대응 기능은 바로 애플리케이션 컨트롤 입니다. 화이트 리스팅(White Listing)이라고도 알려진 해당 기능은, 랜섬웨어의 실행을 방지하여 백업 파괴 등의 더 큰 피해를 방지할 수 있는 기능입니다. 애플리케이션 컨트롤은 비악성 경로, 파일, 프로세스만이 시스템에서 실행하도록 합니다.

그림 4. 트렌드마이크로의 애플리케이션 컨트롤이 JIGSAW 실행 방지


IT 관리자들은 애플리케이션 컨트롤을 통해 시스템에서 실행할 수 있는 프로그램, 파일, 프로세스를 결정할 수 있습니다. 엔드포인트에서 카테고리, 벤더, 앱, 또는 기타 역학적 평가 가치들로 목록을 만들 수 있습니다. 앱이 허용될 경우, 해당 앱의 업그레이드 버전 또는 업데이트 버전도 사용할 수 있습니다. IT 관리자는 시스템 파일, 데스트탑 앱, 모바일 앱 등의 안전 앱 디폴트 목록을 사용할 수 있다.

앱을 화이트 리스팅 하는 것 이외에도 애플리케이션 컨트롤은 특정 파일 경로에서 프로그램, 파일, 프로세스가 실행하는 것을 방지합니다. IT 관리자들은 특정 디렉토리에 관한 블로킹 룰(Blocking Rule)을 생성할 수 있습니다. 랜섬웨어 변종 중에는 일반적으로 %Temp% 또는 %User Temp% 디렉토리에 복사본을 다운로드 합니다. 해당 경로는 일반적으로 대다수의 악성코드가 사용하는 것입니다. JIGSAW와 같은 랜섬웨어는 %Application Data% 과 %AppDataLocal%의 파일 경로를 사용합니다. IT 관리자들은 특정 변종이 일반적으로 사용하는 경로를 알아내서, 해당에 대한 블로킹 룰을 생성할 수 있습니다.

그림 5. 트렌드마이크로 애플리케이션 컨트롤이 차단할 수 있는 특정 경로


트렌드마이크로의 대책

랜섬웨어가 시스템에 침투할 수 있는 방법은 무궁무진하기 때문에, 조직에서는 다층의 방어막으로 엔드포인트, 네트워크와 서버를 지켜야 합니다. 동작 모니터링과 애플리케이션 컨트롤은 랜섬웨어가 게이트웨이를 통과했을 때를 대비한 부가적인 방어막입니다. 위협이 엔드포인트까지 도달하여 기업의 중요 데이터를 포함한 기업 파일을 암호화하기 시작하면 복구가 어렵습니다. 랜섬웨어가 섀도우 복사본을 삭제하거나 암호화보다 더 악의적인 행동을 하게 된다면, 기업 입장에서는 돈을 내고 복구하는 방법 밖엔는 없습니다.

트렌드마이크로 Deep Discovery Email Inspector는 랜섬웨어가 포함된 스피어피싱 이메일을 탐지하여 사용자 수신함에 도달하기 전 사전에 예방할 수 있습니다. 맞춤형 샌드박스 기술로 악성 마크로를 사용하는 랜섬웨어 또한 발견이 가능합니다.

네트워크 보호를 위한 트렌드마이크로 Deep Discovery Inspector는 맞춤형 샌드박스를 이용하여 네트웨크 레벨에서 랜섬웨어를 발견합니다. 이 솔루션은 암호화 행위, 백업 자료의 변경 및 다량의 파일 변경 등을 탐지합니다. 또한 스크립트 애뮬레이션 (script emulation), 제로 데이 공격, 랜섬웨어에 흔히 발견되는 비밀번호가 설정된 악성파일 등을 찾아낼 수 있습니다. 트렌드마이크로 Deep Security는 랜섬웨어가 익스플로잇 킷을 악용하여 시스템과 서버의 취약점을 통한 침투를 방지하여 물리/가상/클라우드 형태로 존재하는 기업 서버에 접근하는 것을 방지합니다.

중소기업의 경우, 트렌드마이크로 Worry-Free 비즈니스 시큐리티 프로그램을 활용하여 랜섬웨어의 탐지 및 차단을 위한 동작 모니터링과 웹 평판 기술을 제공합니다.

트렌드마이크로에서 제공하는 무료 툴인, 트렌드마이크로 화면잠금형 랜섬웨어 툴과 크립토 랜섬웨어 툴을 활용하여 랜섬웨어 감염의 피해를 복구할 수 있습니다.

원문: How Endpoint Solutions Can Protect Businesses Against Ransomware




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


엔드포인트 솔루션을 활용하여 랜섬웨어의 위협으로부터 기업 데이터 보호하기

https://www.trendmicro.co.kr/kr/blog/how-endpoint-solutions-can-protect-businesses-against-ransomware/index.html




참고링크 


<유료안티바이러스 제품비교>


COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 9. 14:21



게시일: 2016-07-05 l 작성자: Trend Micro

2016년 상반기는 ‘랜섬웨어의 대활약’ 이라고 요약할 수 있습니다. 온라인 뱅킹 해킹도구 등과 같은 기타 사이버 범죄와 달리, 랜섬웨어는 고급 기술을 보유하고 있지 않아도 쉽게 돈을 벌 수 있는 멀웨어입니다. 따라서 2014년과 2015년 확인된 랜섬웨어가 총 49개였던 것과 비교하여 2016년 6월 말 현재, 이미 50개 이상의 새로운 랜섬웨어 그룹이 확인되고 있습니다.

랜섬웨어의 암호화 기술 뒤에 숨겨진 전략을 살펴보는 것 이외에, 침입 전략을 살펴보는 것 또한 중요합니다. 랜섬웨어의 전형적인 침입 전략은 (1) 스팸메일, (2) 변조된 웹사이트 또는 익스플로잇 킷이 포함된 악성 웹사이트 입니다. 위 두 가지 방법은 간단하지만 매우 효과적입니다.

트렌드마이크로에서는 대다수의 랜섬웨어가 네트워크 진입로에서 웹사이트 및 이메일 필터링을 통해 차단될 수 있다는 것을 분석하였습니다. 실제 2016년 1월부터 5월까지 당사에서는 6,600만 이상의 랜섬웨어 관련 스팸메일 및 악성 웹사이트를 차단했습니다. 따라서, 본 게시글에서는 랜섬웨어의 침입 전략과 그 대응법에 대해 확인해보고자 합니다.


침입 전략 1 : 스팸메일

스팸메일을 통한 랜섬웨어 유포 전략과 스팸 필터링 우회 기술에 대해 살펴보고자 합니다. 일반적으로 랜섬웨어 유포에 이용되는 스팸메일은 매크로(macro), 자바스크립트(Javascript) 등의 실행형 첨부파일이 포함되어 있으며, 이러한 첨부파일은 랜섬웨어 본체를 다운로드 하는 역할을 합니다.

예를 들어, 랜섬웨어 CRYLOCK / CRILOCK / CRITOLOCK (CryptoLocker) 는 이메일에 악성 파일을 첨부하며(대부분의 경우 ‘UPATRE’의 변종), 실행 시 ZBOT(ZeuS)를 다운로드하는 역할을 합니다. 이 멀웨어는 사용자의 PC에 CryptoLocker를 다운로드하여 실행합니다.

하지만, 공격은 여기서 멈추지 않습니다. 일부 랜섬웨어는 매크로 공격 방식을 추가하여, 샌드박스 기술을 우회합니다. 사용자가 악성 문서파일에 내포된 매크로 실행을 선택하도록 유도하기 위해, 사용자를 속이기 위한 사회 공학기법이 중요한 역할을 합니다.

Locky 랜섬웨어는 악성 매크로 첨부파일을 이용하는 대표적인 예입니다. 매크로에 존재하는 폼 개체(Form Object)를 이용하여 악성코드를 은폐합니다. 해당 랜섬웨어는 2015년 2월에 미국 캘리포니아 할리우드 장로 병원(Hollywood Presbyterian Medical Center) 를 공격한 바 있습니다. 2016년 5월 말부터 6월 초 모습을 감춘 Locky 랜섬웨어는 최근 활동을 재개하고 있는 것으로 확인되었습니다.

그림1. Locky 랜섬웨어를 유포하는 스팸메일


또한 당사에서는 XORBAT, ZIPPY, CRYPTESLA (TeslaCrypt) 4.0버전, CRYPTWALL (CryptoWall) 3.0버전, LOCKY 변종 등을 자동으로 다운로드 하는 자바스크립트 첨부파일 사례도 확인하였습니다. 사이버 범죄자는 Locky,CERBER와 같은 랜섬웨어를 확산하기 위해 VBScript와 같은 스크립팅 언어도 이용하고 있습니다. 스크립트 언어를 첨부 파일로 사용할 경우, 탐지가 불가능하게 되는 경우가 있기 때문입니다.

그림 2. CryptoWall 3.0 자바스크립트 파일


이메일 제목

랜섬웨어를 유포하는 이메일의 제목은 굉장히 평범합니다. 당사에서 확인한 이메일 제목은 ‘이력서’, ‘청구서’, ‘배송 정보’, ‘계정 동결’ 등이었으며, 해당 메일은 공식 기관의 이메일을 표방하여 제작되었습니다.

그림 3. TorrentLocker 유포 메일

그림 4. TorrentLocker 스팸메일의 예

호주와 유럽에서 유행한 CRYPTLOCK (TorrentLocker)의 스팸메일 활동은 주목할 만 합니다. 전형적인 영어 제목이 아닌, 특정 국가의 언어와 기관 이름을 사용합니다. 예를 들어, 호주를 대상으로 하는 경우 호주연방경찰과 호주우편공사 등 현지 기관의 메일로 위장합니다.

이러한 랜섬웨어의 스팸메일 캠페인에서 주목할 것은, 무작위로 전송하는 것이 아닌 특정 언어의 이메일을 해당 지역 사용자에게만 발송한다는 것입니다. 예를 들어, 이탈리아어로 된 스팸메일은 이탈리아의 사용자에게만 전송되었습니다.


메일 발송 타이밍

사이버 범죄자는 조직이나 기업에 스팸메일을 보낼 때 효과적인 타이밍을 노립니다. 예를 들어, CryptoWall은 사용자의 사서함에 오전 5시~9시(동부표준시) 사이에 도착하며, TorrentLocker는 대상 국가의 업무시간에 맞추어 주중 오후 1시~오후 7시경 발송됩니다. 또한, 한번에 다량의 스팸메일을 보내는 것이 아닌, 시간 별 발송량을 조절하여 최대의 효과를 노립니다. 따라서, 기존 스팸메일 탐지 방법으로 검출되지 않는 것입니다.


침입 전략 #2: 악성 웹사이트

랜섬웨어는 악성 URL 또는 변조된 웹사이트에 숨어 활동하기도 합니다. 웹 서버를 공격하여 사용자를 악성 웹사이트로 유도하는 경우도 있습니다. 웹사이트 변조는 웹 차단 기술을 우회하는 효과적인 방법입니다.

일례로, 2015년 12월 사이버 범죄자는 영국의 주요 신문사인 The Independent 의 블로그를 변조하여 TeslaCrypt 2.0을 확산시켰습니다. 문제의 블로그에 접속한 모든 사용자들은 여러 웹페이지를 거쳐 앵글러 익스플로잇 킷(Angler Exploit Kit)를 호스팅하는 사이트로 연결되었습니다. 만일 사용자의 PC가 특정 어도비 플래시 플레이어 취약점(CVE-2015-7645)을 가지고 있는 경우, 곧바로 랜섬웨어가 감염되었습니다.

웹사이트를 해킹하는 것 이외에도 사이버 범죄자들은 악성 파일을 호스트하기 위해 다양한 정식 서비스를 이용합니다. PETYA 랜섬웨어는 클라우드 스토리지 서비스인 Dropbox를 이용하여 랜섬웨어를 유포하였습니다. 구직 메일로 위장한 스팸메일을 전송하여, 첨부된 문서를 클릭하면 Dropbox에 저장된 악성 프로그램이 다운로드되어 랜섬웨어가 감염되는 것입니다.


웹 차단 우회 방법

TorrentLocker는 랜딩 페이지와 드라이브 바이 다운로드에 의한 악성 파일 다운로드와 같은 탐지 및 차단을 우회하기 위해 CAPTCHA 코드의 인증 시스템을 사용하였습니다. 이 외에도 DNS 레코드에 대한 TTL(Time to Live)를 단기간으로 설정하여, 도메인이 약 1시간 정도의 짧은 시간 동안에 활성화되기 때문에, 관련 URL 차단과 추적이 어렵습니다.


익스플로잇 킷에 의한 확산

악성 광고를 통한 익스플로잇 킷에 의한 랜섬웨어 확산도 발견되고 있습니다. 취약점 업데이트가 미비한 PC가 악성 광고를 통해 악성 웹사이트를 접속한 경우 랜섬웨어 또는 기타 악성 프로그램에 감염될 수 있습니다.

하단의 표는 다양한 익스플로잇 킷에 의해 확산되는 랜섬웨어 그룹의 목록입니다.

익스플로잇 키트확산되는 랜섬웨어 (2015)확산되는 랜섬웨어 (2016)
Angler Exploit KitCryptoWall, TeslaCrypt, CryptoLockerCryptoWall, TeslaCrypt, CryptoLocker, CryptXXX
Neutrino Exploit KitCryptoWall, TeslaCryptCryptoWall, TeslaCrypt, Cerber, CryptXXX
Magnitude Exploit KitCryptoWallCryptoWall, Cerber
Rig Exploit KitCryptoWall, TeslaCryptRansom_GOOPIC
Nuclear Exploit KitCryptoWall, TeslaCrypt, CTB-Locker, TroldeshTeslaCrypt, Locky
Sundown Exploit KitCryptoShocker
Hunter Exploit KitLocky
Fiesta Exploit KitTeslaCrypt

 

앵글러 익스플로잇 킷은 TeslaCrypt를 유포하기 위해 사용되었지만, TeslaCrypt 개발자가 2015년 4월 활동을 중지한 뒤에는 CryptXXX의 확산에 이용되었습니다.

사이버 범죄자들은 또 다른 익스플로잇 킷인 뉴트리노(Neutrino EK), 리그(Rig EK)등을 이용하고 있습니다. CryptXXX를 유포하는 뉴트리노와 Locky를 유포하는 뉴클리어(Nuclear EK)가 각각 확산 중에 있습니다.

운영 체제를 최신 상태로 유지하는 것은 익스플로잇 킷 및 부정 광고를 통한 악성 프로그램 다운로드 방지를 위한 보호 조치입니다. 웹 검증 및 취약점 대책을 이용하여 악성 URL을 차단하는 것은 효과적인 보안 조치입니다.


트렌드마이크로의 대책

랜섬웨어에 의한 피해를 방지하지 위해 네트워크 진입로를 보호하는 것은 매우 중요합니다. 랜섬웨어가 엔드포인트까지 침투할 경우, 파일 또는 시스템 복구가 어렵습니다. 네트워크로 연결된 PC 또는 서버까지 감염이 확산될 경우, 복구는 더욱 어려워집니다. 이러한 랜섬웨어의 특성을 고려하였을 때, 기존 보안 대책으로는 충분하지 않습니다. 기업을 위한 다층 보안 설계를 권장합니다.

트렌드마이크로의 Deep Discovery Email Inspector는 이메일로 들어오는 랜섬웨어가 사용자에게 도달하지 못하도록 방어합니다. 오피스스캔은 동작 모니터링, 애플리케이션 관리, 취약점 보호 등의 기능을 통해 엔드포인트를 보호합니다. Deep Discovery Inspector는 네트워크 상에서 랜섬웨어를 감지하며, Deep Security는 물리적, 가상, 클라우드 서버를 보호하는 역할을 합니다.

중소기업용 Worry-Free 비즈니스 시큐리티는 클라우드 기반 이메일 게이트웨이 보안인 이메일 보안 호스팅을 제공합니다. 또한 동작 모니터링, 실시간 웹 검증을 통해 엔드포인트에 도달하는 랜섬웨어를 탐지하고 차단합니다. 개인용 클라이언트 종합 보안 제품 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

최근 트렌드마이크로에서 발표한 무료 툴인 트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거합니다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구 입니다.

원문: Why Ransomware Works: Arrival Tactics




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


랜섬웨어가 ‘먹히는’ 이유 제2탄: 침투 전략

https://www.trendmicro.co.kr/kr/blog/ransomware-arrival-methods/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 27. 13:46



랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략

게시일: 2016-06-17 l 작성자: Trend Micro

기업은 어떻게 랜섬웨어 공격에 대응할 수 있을까요? 최근 여러 기관에서 랜섬웨어 공격에 대비하여 비트코인을 사들이고 있다는 연구가 있었습니다. 공격 받을 시 빠른 시간 내 중요한 파일을 복구하기 위한 대응책입니다. 하지만 돈을 지불하는 것이 파일 복구를 보장하지 않는 것은 물론이고, 추가적인 랜섬웨어 공격으로 이어질 수 있습니다. 그럼에도 불구하고 랜섬웨어 공격으로 인한 기업 손실과 명예 실추로 인해 추가적인 불이익을 예상한다면, 기업의 이러한 대처를 비난할 수는 없습니다.


지속적인 랜섬웨어의 공격

랜섬웨어 피해자가 되지 않기 위해, 이 멀웨어가 어떻게, 그리고 왜 공격을 하는지 이해하는 것이 중요합니다. 물론, 사회공학적 기법과 상용 등급 암호화는 랜섬웨어 공격의 중요한 요소입니다. 하지만 최근 유행하는 랜섬웨어들은 다른 멀웨어의 수법을 차용하여, 복호화를 어렵게 만들고 있습니다.

예를 들어보겠습니다. A 회사에서 ‘파일과 중요 데이터가 모두 암호화 되었으니, 되찾고 싶다면 돈을 지불하라’는 메시지를 수신했습니다. IT 운영자는 즉시 감염된 시스템의 네트워크를 차단하고 분리했습니다. 그 후, 감염된 컴퓨터를 치료하여 파일 복구를 시도합니다. 하지만 이 때 여러 문제점이 발생합니다.

일례로 랜섬웨어가 일반적으로 사용하는 기법 중 하나는 섀도우 복사본을 삭제하는 것입니다. 하단의 커맨드 중 하나를 사용하여 이를 실행합니다.

vssadmin.exe Delete Shadows/All/Quiet

WMIC.exe shadowcopy delete/nointeractive

섀도우 복사본을 삭제함으로써, 사용자가 파일을 복구할 수 없도록 백업 파일을 삭제하게 되는 것입니다.CRYPWALLLockyCERBERCRYPTESLA와 같은 변종 랜섬웨어에서 이와 같은 기능을 사용하고 있습니다. 부팅 변경, 감염 확산, 백신 우회 등과 같은 기법도 널리 활용되고 있습니다.


부팅 변경

마스터 부트 레코드(MBR)의 재작성 또는 삭제로 인해 시스템 부팅이 불가능해집니다. 이를 우회하기 위해 안전모드 부팅을 시도하는 것도 무용지물입니다. PETYA 는 이러한 공격 수법을 가진 대표적인 랜섬웨어입니다.


감염 확산

랜섬웨어에 의해 감염된 1개의 시스템 복구도 어렵지만, 이동식 드라이브와 네트워크를 통해 감염이 확산된다면 또 다른 중요 데이터가 암호화 될 위험에 놓이게 됩니다. 해당 공격 수법을 사용하는 랜섬웨어는Zcryptor(ZCRYPT crypto-ransomware)는 이동식 드라이브와 네트워크의 공유폴더까지 확산하여 감염시킵니다.


백신 우회

워치독 프로세스(Watchdog process)는 멀웨어의 새로운 인스턴스를 부활시키기 위해 svchost.exe로 명명된 regsvr32.exe 또는 rundll32.exe을 복사합니다. 하나의 프로세스가 암호화를 실행하면, 나머지 하나의 프로세스는 워치독으로 활동합니다. 랜섬웨어가 탐지를 우회하기 위해 고용하는 또 다른 기술은, 해당 환경이 VMWare 환경인지 확인하는 것입니다.

그림 1. CryptXXX 감염 프로세스 트리, 워치독 프로세스 포함

VIRLOCK 은 다형성 암호 기법을 가진 랜섬웨어로서, 감염이 실행될 때마다 코드를 변경해 보안 소프트웨어에서 탐지가 매우 어렵습니다. 하단 그림에서와 같이 감염 파일에 무작위 가비지 코드와 API 콜을 삽입하기도 합니다.

그림 2. VIRLOCK의 탐지 우회 기술 코드 정보


또 다른 공격 수법

랜섬웨어의 지속적인 공격에서 주목할 만한 기술은 네트워크 드라이브의 데이터를 암호화하고, 이와 더불어 SMB(Server Message Block)를 공유하여 발견되는 모든 파일을 암호화 하는 것입니다. 2015년 등장한 CryptoFortress는 위와 같은 수법을 사용합니다. CRYPWALL 3버전과 4버전 또한 마찬가지로, 연결된 모든 드라이브로 확산하여 데이터를 암호화 합니다.

또 다른 변종인 PowerWare와 POSHCODER는 윈도우 PowerShell 기능을 악용합니다. CryptoLocker 공격에서는 C&C 서버 연결을 위한 DGA(Domain Generation Algorithm)도 처음 발견되었습니다. CryptXXX의 경우, 피해자의 정보를 탈취하여 지하시장에서 판매합니다.

랜섬웨어 공격자가 취약점을 이용하여 위협을 확산시킬 경우, 감염 피해 복구는 더욱 어려워집니다. SAMSAM은 Jexboss 익스플로잇을 악용하여 네트워크를 통해 취약한 서버에 침투하여 랜섬웨어 공격을 실행하였습니다.


다층 보안 설계

파일 암호화로부터 초래되는 불편함, 파일 복구 시도의 실패, 잠재적인 추가 피해로 인해 몇몇 기관들에서는 랜섬을 지불하는 것을 택하고 있습니다. 하지만 이것은 매우 위험한 결정이라고 할 수 있습니다. 한 번 랜섬을 지불할 경우, 돈을 지불하는 피해자로 인식되어 더 많은 랜섬웨어 공격의 대상이 될 수 있습니다.

랜섬웨어를 이해하는 것은 기업의 IT환경을 보호하기 위한 중요한 시작입니다. 파일을 백업하는 것은 보안의 가장 기초이지만, 그것만으로 끝나는 것이 아닙니다. 백업을 찾아내어 삭제하는 변종들이 계속 새롭게 등장하고 있기 때문입니다. 기업에서는 다층 보안 설계를 구축해야 합니다.

트렌드마이크로는 대기업, 중소기업 및 개인 사용자가 크립토 랜섬웨어의 피해를 최소화할 수 있는 대응책을 제공합니다.

트렌드마이크로의 Deep Discovery Email Inspector는 이메일로 들어오는 랜섬웨어가 사용자에게 도달하지 못하도록 방어합니다. 오피스스캔은 동작 모니터링, 애플리케이션 관리, 취약점 보호 등의 기능을 통해 엔드포인트를 보호합니다. Deep Discovery Inspector는 네트워크 상에서 랜섬웨어를 감지하며, Deep Security는 물리적, 가상, 클라우드 서버를 보호하는 역할을 합니다.

중소기업용 Worry-Free 비즈니스 시큐리티는 클라우드 기반 이메일 게이트웨이 보안인 이메일 보안 호스팅을 제공합니다. 또한 동작 모니터링, 실시간 웹 검증을 통해 엔드포인트에 도달하는 랜섬웨어를 탐지하고 차단합니다.

개인용 클라이언트 종합 보안 제품 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

최근 트렌드마이크로에서 발표한 무료 툴인 트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거합니다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구 입니다.


원문: Why Ransomware Works: Tactics and Routines Beyond Encryption




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략

https://www.trendmicro.co.kr/kr/blog/why-ransomware-works-tactics-beyond-encryption/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 26. 15:15



게시일: 2016-06-15 l 작성자: Echo Duan (Mobile Threat Response Engineer)

하나의 플랫폼으로 여러 스마트 디바이스를 사용할 수 있는 것은 삶에 편리성을 가져다 줍니다. 하지만 이 경우, 멀웨어가 1대의 디바이스에 침투하면, 동일한 플랫폼을 공유하는 다른 디바이스도 감염되기 쉽습니다. 최근 유행하는 “FLocker” 랜섬웨어가 이와 같은 경우입니다. 해당 랜섬웨어는 안드로이드 운영체제의 모바일 디바이스를 공격하는 화면잠금형 랜섬웨어이지만, 안드로이드 스마트TV도 감염시킬 수 있습니다.



그림 1. TV 랜섬웨어 화면


2015년 5월, FLocker 랜섬웨어(ANDROIDOS_FLOCKER.A로 명명, Frantic Locker의 줄임말)가 처음 발견된 시기부터 트렌드마이크로 클라우드 보안센터에서는 약 7,000여종의 FLocker 변종이 수집되었습니다. 해당 랜섬웨어의 개발자는 탐지를 우회하고 암호화 기능을 향상하기 위해 지속적으로 멀웨어를 재작성하고 있는 것으로 보여집니다. 지난 몇 달 동안 새로운 FLocker 변종의 출현이 급증과 급감을 반복하였으며, 최근 2016년 4월에 약 1,200개의 변종이 확인되었습니다.


가장 최근 버전의 FLocker는 폴리스 트로이목사(Police Trojan)로서 미국 사이버경찰(US Cyber Police) 또는 다른 법률 기관으로 위장하여, 피해자가 범하지 않은 혐의를 제기합니다. 화면잠금이 완료되면 미화 200달러 상당의 아이튠즈 기프트카드를 벌금으로 지불할 것을 요구하는 화면을 띄우게 됩니다. 트렌드마이크로의 분석에 따르면 모바일 기기를 감염시키는 변종과 스마트TV를 감염시키는 변종에는 큰 차이점이 없습니다. 하단은 당사의 FLocker 루틴에 대한 분석입니다.


FLocker는 정적분석을 우회하기 위해 [asset] 폴더 내부의 raw 파일에 코드를 숨깁니다. 해당 코드는 정상적인 파일로 보이는 “form.html” 파일을 생성합니다.

그림 2. FLocker 정적분석 우회 기능


이렇게 함으로써, “classes.dex” 코드에서 악성행위가 발견되지 않기 때문에 정적분석을 우회할 수 있게 됩니다. “form.html”은 멀웨어가 동작할 때 암호 해제되어 악성코드를 실행합니다.

그림 3. Classes.dex코드(위)와 from.html 코드 암호 해제(아래)


FLocker가 처음 실행될 때 감염된 디바이스가 다음의 동부 유럽 국가에 위치해 있는지 확인합니다: 카자흐스탄, 아제르바이잔, 불가리아, 조지아, 헝가리, 우크라이나, 러시아, 아르메니아, 벨라루스. 만약 디바이스가 앞서 언급된 국가 중 하나에 위치해 있는 것으로 확인될 경우, 멀웨어가 자동으로 비활성화 됩니다.

FLocker는 디바이스에 침투한 후 30분 동안 아무 활동을 하지 않으며, 30분이 지난 후에 디바이스 관리자 권한을 즉시 요청하는 백그라운드 서비스를 실행합니다. 당사는 이러한 행위를 동적 샌드박스 탐지를 우회하기 위한 기술로 파악하고 있습니다. 만약 사용자가 관리자 권한 부여를 거부할 경우, 시스템 업데이트처럼 위조하여 화면을 멈춥니다.

그림 4. 일부 국가에서 공격이 실행되지 않는 FLocker


FLocker는 백그라운드에서 C&C서버로 연결되어 명령을 내려받습니다. 이 때 C&C에서 misspelled.apk라는 새로운 페이로드를 전달하고, 자바스크립트 인터페이스의 랜섬 HTML(“form.html”)이 활성화 됩니다. 해당 HTML 페이지는 APK 설치를 시작할 수 있는 기능이 있으며, 자바스크립트 인터페이스를 활용하여 감염된 피해자의 디바이스로 사진을 촬영하여 랜섬 페이지에 표출시킵니다.

랜섬 웹페이지는 감염된 디바이스에 맞추어 해상도를 변경하는 것으로 확인되었습니다.

그림 5. FLocker 랜섬 페이지 캡처 화면


화면은 잠금되었지만, 멀웨어는 C&C 서버와 통신하며 디바이스 정보, 전화번호, 연락처, 현위치 등과 같은 정보를 탈취합니다. 이러한 데이터는 하드코딩 AES 키로 암호화 되어 base 64로 인코딩됩니다.

그림 6. C&C 서버로 전달되는 정보


이러한 랜섬웨어는 스팸 문자메시지 또는 악성 링크를 통해 전달됩니다. 따라서 인터넷을 탐색하거나 알 수 없는 출처로부터 메시지 또는 이메일을 받았을 때 각별한 주의가 필요합니다.


트렌드마이크로의 대응

안드로이드TV가 감염된 경우 될 경우, 제조사에 연락하여 해결 방법을 문의할 것을 권고합니다. 멀웨어를 제거하기 위한 다른 방법은, 사용자가 ADB 디버깅을 활성화 하는 것입니다. PC에 디바이스를 연결하여 ADB 쉘을 활성화한 뒤 “PM clear %pkg%”를 실행할 수 있습니다. 이 경우 랜섬웨어 프로세스를 중단하고 화면잠금이 해제될 수 있습니다. 사용자는 또한 애플리케이션에 부여된 관리자 권한을 비활성화하고 앱을 삭제할 수 있습니다.

트렌드마이크로는 모바일 디바이스를 보호하기 위해, 스마트 디바이스에 보안 소프트웨어를 설치할 것을 권고합니다. 트렌드마이크로 모바일 시큐리티는 악성 앱 및 기타 경로를 통해 디바이스에 침투하는 랜섬웨어와 같은 모바일 위협으로부터 사용자를 보호합니다. 해당 앱은 Google Play에서 다운로드 받으실 수 있습니다.


원문: FLocker Mobile Ransomware Crosses to Smart TV




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


FLocker 랜섬웨어, 스마트TV를 노리다

https://www.trendmicro.co.kr/kr/blog/flocker-ransomware-crosses-smart-tv/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 25. 13:53



게시일: 2016-07-21 l 작성자: Trend Micro

기업에서 클라우드 서비스 이용을 확장시킴 따라, 사이버 범죄자들 역시 이를 악용하여 멀웨어를 호스트하고 전달하는 도구로 사용을 확대해나가고 있습니다. 사이버 범죄자는 많은 기업들이 클라우드 기반 생산성 플랫폼을 사용하여 민감한 기업 데이터를 관리하는 것을 주목하고, 이러한 클라우드 상의 정보에 접근할 수 없을 경우 기업 운영에 심각한 영향을 미칠 것을 예상하고 있습니다.

위와 같은 상황의 구체적인 예시가 바로 CERBER 크립토 랜섬웨어입니다. 최근 트렌드마이크로에서 탐지한 CERBER의 변종RANSOM_CERBER.CAD는 개인 및 기업 Office 365 사용자를 타겟으로 하고 있는 것을 발견했습니다.

20160712cerber1ransom

그림1. CERBER 최신 변종의 4가지 랜섬노트: 랜섬노트 음성 버전의 VBS 파일, 웹 브라우저 기본 설정을 결제사이트로 연결하는 .url 및 위 그림의 .html과 .txt 파일


2016년 3월 확인된 CERBER 랜섬웨어군은 서비스거부공격(denial-of-service, DDos) 등의 기능을 추가하며 지속적으로 발전하고 있습니다. 또한 이중 압축된 윈도우 스크립트 파일(Windows Script File, 확장자 .wsf)을 활용하여 동작 감지에 의한 공격 탐지 및 스팸 메일 필터링 우회 기능이 가능합니다. 컴퓨터 기계 음성으로 랜섬노트를 재생하는 독특성을 가진 크립토 랜섬웨어 중 하나이기도 합니다. CERBER의 소스코드는 러시아 지하시장에서 ‘서비스형 랜섬웨어(Ransomware-as-a service)’로 거래되고 있어, 사이버 범죄활동의 이익이 확대에 일조하고 있습니다. 해당 랜섬웨어는 초기 뉴클리어 익스플로익 킷을 이용한 악성광고에 의해 확산되었습니다.

Sample of Cerber-carrying spam email

그림 2. 청구서로 위장한 악성파일(매크로 워드 서식파일)이 첨부된 스팸메일의 예

Sample of Cerber-carrying spam email

그림 3. 차용증서로 위장한 악성파일(매크로 워드 서식파일)이 첨부된 스팸메일의 예


CERBER의 최신 변종은 Office 365 고객을 타겟하여 매크로가 조작된 악성 파일을 첨부한 스팸메일 형태로 전송합니다. 마이크로소프트는 PC에 설치된 Office 365 및 기타 Office 소프트웨어에 대한 보안 대책을 실시하고 있으며, 이러한 대책의 일환으로 매크로를 이용하는 악성 프로그램 감정을 방지하기 위해 ‘매크로 사용 안 함’이 기본으로 설정되어 있습니다. 그러나 다른 여러 랜섬웨어와 마찬가지로 CERBER 또한 사회공학적 기법 등을 이용하여 사용자가 이러한 보안 대책을 스스로 해제하여 파일에 내장된 매크로를 수동으로 활성화하도록 유도합니다.

문서(W2KM_CERBER.CAD)의 매크로를 활성화 할 경우, VBS 코딩된 트로이목마 다운로더(VBS_CERBER.CAD)가 생성되며, 해당 다운로더는 다음의 URL에서 RANSOM_CERBER.CAD를 다운로드 합니다.

  • hxxp://92[.]222[.]104[.]182/mhtr.jpg
  • hxxp://solidaritedproximite[.]org/mhtr.jpg

해당 CERBER 변종은 AAES-265와RSA를 조합하여 442 파일 형식을 암호화하는 기능을 제공합니다. PC의 ‘IE(Internet Explorer)’의 시간대 설정을 변경하고, 섀도 복사본 제거, 윈도우 시동 복구 기능 비활성화, ‘아웃룩’ 또는 ‘Bat!’, ‘Thunderbird’와 같은 메일 프로그램 프로세스 및 MS워드 프로세스를 종료합니다. 그리고 감염된 PC가 위치한 국가가 독립국가연합 중 하나인 경우에는 악성활동을 종료합니다.

* 독립국가연합: 아제르바이잔, 아르메니아, 우크라이나, 우즈베키스탄, 카자흐스탄, 키르키즈스탄, 타지키스탄, 투르크메니스탄, 벨라루스, 몰도바, 러시아

Sample of Cerber-carrying spam email

그림4. 악성 매크로의 복호화 과정 일부, 트로이목마 VBS_CERBER.CAD생성명령, %Application Data%\{random file name}.vbs. The trojan saves the files it downloads using the name, %Application Data%\{random file name}.tmp.


트렌드마이크로는 2016년 5월부터 CERBER 랜섬웨어를 전송하는 스팸메일을 탐지하고 있습니다. 2016년 6월 눈에 띄는 급증이 발견되었습니다. 5월 스팸메일 탐지수가 800건 정도였던 것에 비해, 6월에는 12,000건 이상이 확인되었습니다. 최다를 기록한 2016년 6월 22일에는 9,000건 이상의 CERBER 확산 스팸메일이 확인되었습니다. 기타 제로데이 취약점을 이용하여 리그(Rig) 익스플로잇 킷과 마그니튜드(Magnitude) 익스플로잇 킷에 의해 확산되는 새로운 CERBER 변종도 확인되고 있습니다.

CERBER와 같은 크립토랜섬웨어의 작성자는 멀웨어 배포를 확장시키기 위한 여러 새로운 방법을 지속적으로 개발할 것입니다. 이번 경우 개인과 기업 사용자를 공격하기 위해 클라우드 기반 플랫폼을 이용했습니다. 해당 프로그램의 보안 대책이 적절하였음에도 불구하고, 사회공학적기법으로 속이기 때문에, 사용자들은 오피스 프로그램의 매크로를 비활성화 하고 수신인이 불명확한 이메일의 첨부파일을 실행할 때는 특히 더 주의해야 합니다. 백업 전략을 가지고 있는 것 또한 랜섬웨어에 대응하는 효과적인 방어입니다.


트렌드마이크로 솔루션

클라우드 기반 비즈니스 애플리케이션의 보안을 향상시키는 트렌드마이크로 클라우드 앱 시큐리티 (Cloud App Security, CAS)는 당사의 핵심 기술인 샌드박스와 평판 기술을 클라우드 기반 비즈니스 애플리케이션에서 활용할 수 있도록 기능을 구현하고, Office 365에 포함된 Exchange Online, SharePoint Online, OneDrive for Business 및 Box, Dropbox등에 높은 수준의 보안을 실현합니다. 네트워크 동작 모니터링 솔루션인 트렌드마이크로 Deep Discovery는 문서 취약점 공격 코드를 탐지하는 엔진 (Advanced Threat Scan Engine, ATSE) 등을 통해 랜섬웨어의 위협을 경고합니다.

기업 사용자는 이러한 위협에 따른 보안 위험을 줄이기 위해 다층적이고 단계적인 조치를 취해야 합니다. 이메일 공격 방지 제품 Deep Discovery Email Inspector는 이메일을 통해 유입되는 랜섬웨어를 감지하고 차단합니다. 오피스스캔과 같은 엔드포인트 제품은 동작 모니터링 기능 (무단 변경 모니터링 기능) 강화 및 애플리케이션 제어 및 취약점 패치 기능을 통해 위협을 최소화 할 수 있습니다. 서버 및 클라우드 보안 제품 Deep Security는 가상화, 클라우드, 물리적 서버 환경에서 랜섬웨어의 침입을 방지합니다. 트렌드마이크로의 개인용 솔루션 맥시멈 시큐리티 10은 악성 웹사이트, 이메일 및 기타 문서를 차단하여 랜섬웨어 및 기타 멀웨어의 공격에 대한 통합적인 보안을 제공합니다.

원문: Cerber: A Case in Point of Ransomware Leveraging Cloud Platforms




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


CERBER 변종, 클라우드 기반 서비스를 노린다

https://www.trendmicro.co.kr/kr/blog/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 22. 11:37



게시일: 2016-06-20 l 작성자: Ryan Flores (Threat Research Manager)

범죄의 목적으로 기업 최고경영자(CEO) 또는 대표이사, 사장 등 고위 간부을 사칭한 이메일 범죄의 증가는 놀라운 일이 아닙니다. 고위 간부의 요청사항을 거절하기 쉽지 않기 때문입니다. 부자연스러운 문법 표현, 복권 당첨, 타국가 왕족의 편지와 같은 비현실적인 이메일을 범죄에 활용하는 시대는 지나갔습니다. 오늘날 범죄에 이용하는 이메일은 업무 이메일 해킹으로 이루어지는 ‘허위 송금 이메일(Business Email Compromise, BEC)’ 입니다. 기업의 간부로 교묘하게 위장하여 타겟 기업의 최고 재무책임자(CFO) 등 재무 관계 책임과 업무를 담당하는 직원을 대상으로 하고 있습니다.

BEC 공격 캠페인은 중소중견 및 대기업 등 기업의 규모와 무관하게 모든 기업이 피해를 입을 수 있는 위험한 사이버 범죄 중 하나로 손 꼽히고 있습니다. 우선, 보안 소프트웨어 등으로 감지되지 않는 사회공학적 수법을 구사하기 때문이며, 또한 재무 부문을 특정 타겟으로 하여 상급 직권에 따를 수 밖에 없는 상황을 악용하기 때문입니다. 이는 바로, 기업의 맹점을 찌르는 공격 수법이라고 할 수 있습니다.

트렌드마이크로는 지난 2년 동안 발생한 BEC 공격 및 피해 사례에 대한 조사를 실시했습니다. 당사의 조사 결과, BEC 공격에는 일정한 패턴을 확인했으며, 추후 기업에서 실시해야 할 보안 대책을 파악할 수 있습니다.

  • BEC 공격의 40%는 CFO를 타겟으로 한다.
  • BEC 공격의 31%가 CEO를 사칭한다.
  • BEC 공격에서 가장 많이 사용되는 이메일 제목은 “Transfer(송금)”, “Request(요청)”, “Urgent(긴급)” 등의 간단하고 직접적인 표현이다.

다양한 수법

기업 간부로 위장하여 송금을 지시하는 “CEO 사기” 수법 이외에도, 다양한 송금 사기 수법이 활용되고 있습니다. 게다가, 저렴한 비용으로 가능합니다. BEC 공격 캔페인에 사용되는 멀웨어는 온라인에서 50 달러에 구매 가능하며, 무료로 사용할 수 있는 멀웨어도 존재합니다. 또 다른 경우, 단순한 이메일 스푸핑을 넘어서는 수법도 있습니다. 사이버 범죄자는 정상적인 이메일 계정을 해킹하여 계정 소유자를 사칭하여 허위 계좌로 송금을 요청합니다. 피싱 또는 키로거(keylogger)를 사용하여 직원 계정 정보를 탈취한 후 이를 이용하여 송금을 요청합니다. 경우에 따라, 계약 성립 전화 등을 꾸며내기도 합니다. 특히, 해외와 거래하는 업체들은 송금내역 수정 등의 수법을 활용한 BEC의 주요 타겟이 되고 있습니다.


직원 대처의 중요성

BEC의 수법은 여러 조사에 의해 대부분 알려져 있습니다. 하지만 미연방수사국(FBI)에 다르면 최근 조사 결과, 2013년 10월부터 2016년 5월까지 피해액이 약 31억 달러에 이릅니다. 이러한 피해 규모를 고려해 보았을 때, BEC 공격 캠페인의 수법을 정확히 파악하여 이에 대처할 수 있도록 직원을 교육하는 것이 중요합니다.

BEC 공격은 교묘하고 은밀하게 이루어지기 때문에 기본적인 주의사항 또는 보안 대책만으로 충분하지 않습니다. BEC 공격 캠페인은, 기업과 조직의 자산을 보호하기 위해 직원의 역할이 얼마나 중요한지 보여줍니다. 직원 개인의 보안 의식 증진은 거액의 송금을 요구하는 BEC 공격 수법에 대응할 수 있는 중요한 방어 요소라고 할 수 있습니다.


트렌드마이크로의 대책

트렌드마이크로는 중소중견 및 대기업이 사회공학적 기법을 이용한 공격인 BEC의 수법에 대응하기 위한 방어책을 보유하고 있습니다. 엔드포인트 보안인 Worry-Free 비즈니스 시큐리티와 오피스스캔은 이상 파일 또는 스팸메일을 감지하고 악성 URL 차단을 통해 위협으로부터 보호합니다. Deep Discovery는 관련 악성 프로그램을 감지하고 시스템의 감염 및 정보 탈취를 방지합니다. 또한, Deep Discovery Email Inspector는 악성 첨부파일과 악성 URL을 차단하여 기업을 보호합니다.

관련 링크


원문: Company CFOs Targeted The Most By BEC Schemes




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


기업 CFO를 노리는 허위 송금 이메일, BEC

https://www.trendmicro.co.kr/kr/blog/company-cfos-targeted-bec-schemes/index.html



참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 21. 13:50



게시일: 2016-07-14 l 작성자: Janus Agcaoili (Threat Response Engineer)

유럽에서 오래 전부터 활동해오던 뱅킹 트로미목마 ‘베블로(BEBLOH)’가 일본까지 확산되며 활발한 활동을 벌이고 있는 것이 확인되었습니다. 사이버 범죄자들은 현지 ISP 제공회사, 유사 홈페이지 주소 등 일본 회사의 브랜드명을 이용하여 사용자들이 멀웨어를 다운받도록 유도합니다. 해당 멀웨어를 다운받을 브라우저, FTP 클라이언트, 메일 클라이언트 감시를 통한 정보 탈취가 가능해집니다. 베블로의 주요 타겟은 바로 지역 은행입니다.

베블로는 2009년도에 처음 등장하여, ‘제우스(Zeus)’와 ‘스파이아이(SpyEye)’ 같은 경쟁자를 이겨내고 현재까지 살아남았습니다. 베블로는 피해자가 알지 못하는 사이에 은행 계좌에 접근하여 돈을 탈취합니다. 베블로는 안티바이러스 프로그램을 우회하기 위한 새로운 방법을 지속적으로 개발해왔습니다. 이번 경우도, 베블로는 메모리에 숨어 시스템 종료 시 임시 실행파일을 만든 후 PC를 재감염 시킨 후 해당 파일을 삭제합니다.


일본 현지 상황

전세계적으로 스팸메일을 통한 랜섬웨어 감염이 다수 발생하는 반면, 일본 현지에서 확인되는 스팸메일을 통한 멀웨어 감염은 온라인 뱅킹 트로이목마가 대다수입니다. 일본 경찰청에서 2016년 3월 발표한 보도자료에 따르면 이러한 온라인 뱅킹 트로이목마의 표적이 되는 은행 및 금융기관은 주요 시중 은행이 아닌 지역 은행과 신용 조합입니다. 이 자료에 따르면, 피해액이 사상 최대 금액인 약 26억 4,600만엔(약 2,580만 달러)에 달했으며, 베블로의 활동이 추가되며 일본의 뱅킹 트로이목마 피해는 더욱 커질 것으로 추정하고 있습니다.

트렌드마이크로는 2015년 12월부터 베블로의 일본 활동을 탐지하고 있습니다. 당시 324건의 탐지 수에 비해, 위 경찰청 2016년 3월 자료에서는 탐지 수가 약 2,562로 증가한 것을 확인할 수 있습니다.


모두가 공격 대상

베블로의 공격 대상은 엔드유저 뿐만 아니라 기업 직원도 포함합니다. 공격자가 보낸 스팸메일은 회사 및 개인 메일 계정에 발송되었습니다. 개인 계정으로 보낼 경우 대출, 쇼핑, 택배 등과 같은 개인 관심사 내용을 포함하며, 회사 계정으로 보낼 경우 이력서 등의 내용으로 꾸며집니다. 그렇기 때문에 확산과 감염이 빠르게 이루어지고 있습니다.

번역: 본 이메일은 보안을 강화하기 위한 전자 서명이 포함되어 있습니다. 
2016년 3월 3일 송금이 완료되었음을 알려드립니다. 
전자서명(전자서명)

번역: “전체 레코드 이미지"

그림 1. 개인 및 회사에 보내진 스팸메일 샘플

새로운 공격방법

베블로는 패커를 신속하게 자주 변경합니다. 베블로의 일부 버전에서는 자신이 생성한 프로세스에서 실행 파일을 암호해제하는 버전과 자신의 메모리에 해독한 후 explorer.exe 또는 iexplorer.exe등의 정규 프로그램에 자신의 코드를 대체하는 버전이 확인되고 있습니다. 그렇기 때문에 패커의 업데이트 속도에 따라가지 못하는 보안 제품에서는 탐지하지 못합니다.

베블로가 설치되면 C&C (Command and Control)서버에 접속하여 웹 인젝션(Web Injection) 설정 다운로드 등의 과정을 실행합니다. 앞서 언급한 바와 같이, 베블로의 정보 탈취 기능으로 피해자의 은행 계좌를 약탈할 수 있습니다.

또한 다운로드 되는 악성 프로그램은 브라우저, FTP 및 메일 클라이언트를 감시하는 스파이웨어 TSPY_URSNIF 로 확인되었습니다. 스파이웨어 이외에도 베블로는 스팸봇 멀웨어인 BKDR_PUSHDO 또한 다운로드 합니다.

C&C 서버와의 통신 중 다운로드에서 사용하는 URL이 C&C 서버의 응답에 따라 변경된다는 것을 발견하였습니다. 당사 보유한 샘플은 독립된 3일 동안 3가지 URL이 사용되고 있는 것을 확인하였습니다. URL 응답은 암호화되어 있습니다. 하지만 암호해제 될 경우 “CV {value}/r/n>DI/r/n>LD {URL}” 형식을 이용하는 것을 확인할 수 있습니다.

그림 2. C&C 서버 통신 암호해제

이번 베블로는 지역 은행, 신용 조합, 온라인 은행 및 주요 시중 은행을 포함한 일본 17개 은행과 금융기관을 감시하고 있습니다. 소규모 은행을 대상으로 함으로써 공격자는 공격 활동이 알려지지 않고 조용히 지나가는 것을 기대합니다. 또한 중소규모의 은행은 보안 대책이 충분하지 않은 경우가 많기 때문에 공격자의 표적이 된 것으로 파악하고 있습니다.

트렌드마이크로의 이메일 보안 솔루션인 Deep Discovery Email Inspector는 차세대 탐지 기술을 이용하여 사용자가 악성 첨부파일을 다운로드하거나 실행하지 않도록 스피어피싱 이메일을 탐지 및 차단합니다. 마크로 멀웨어 문서 파일, PDF, 실행파일, 스크립트 등과 같은 악성 첨부파일을 차단할 수 있으며, 본문 또는 제목에 포함된 악성 URL 및 첨부 문서에 기록된 URL을 탐지하여 차단합니다.


원문: BEBLOH Expands to Japan in Latest Spam Attack




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


일본에서 유행 중인 뱅킹 트로이목마 ‘베블로(BEBLOH)’, 이메일 보안이 답이다!

https://www.trendmicro.co.kr/kr/blog/bebloh-expands-japan-latest-spam-attack/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 20. 12:52



게시일: 2016-06-27 l 작성자: Michael Miley

트렌드마이크로의 인터넷 시큐리티 10는 2016년 1~2월 시행된 AV-TEST 최우수 제품 인증에 이어, 올해 두 번째로 AV-TEST에서 최우수 제품 인증을 획득했다. 2016년 3~4월에 시행된 본 평가에서 트렌드마이크로는 22개 제품과 경쟁하였다. 트렌드마이크로의 인터넷 시큐리티를 사용하는 고객은 PC의 성능저하 없이 최고의 보안을 적용할 수 있다.

리포트에 의하면, 인터넷 시큐리티는 다양한 시나리오의 악성 웹과 이메일 위협에 대한 100% 차단을 구현했으며, PC의 성능과 사용성을 저하시키지 않았다.
보안 구현, 성능, 사용성에 대한 자세한 결과는 하단 표를 통해 확인할 수 있다. 데스트 결과에 대한 세부 사항은 AV-TEST 기관 웹사이트에서 확인할 수 있다.

표1. 보안 구현 – 멀웨어 감염으로부터 보호(바이러스, 웜, 트로이목마 등). 트렌드마이크로 인터넷 시큐리티 10. (출처: AV-TEST Product Review and Certification Report – March-April/2016)

표2. 성능 – 일별 컴퓨터 속도에 미치는 평균 영향치. 트렌드마이크로 인터넷 시큐리티 10. (출처: AV-TEST Product Review and Certification Report – March-April/2016)

표3. 사용성 – 보안 소프트웨어가 컴퓨터 전체 시스템에 미치는 사용성 (수치가 낮을수록 좋은 평가) 트렌드마이크로 인터넷 시큐리티 10. (출처: AV-TEST Product Review and Certification Report – March-April/2016)

리포트: 트렌드마이크로 인터넷 시큐리티는 웹 위협을 100% 차단

트렌드마이크로는 당사의 인터넷 시큐리티 10 (2016)이 4월 시행된 AV-TEST의 “Whole-Product Dynamic Real-World Protection Test”에서 웹 위협을 100% 차단한 것을 자랑스럽게 생각한다. 테스트에서 사용된 368개의 악성 URL은 실제 사용자가 온라인 활동 중 맞닥뜨릴 수 있는 웹 위협이다. 트렌드마이크로는 테스트 URL 을 100% 차단했으며, 하단 그래프에서 결과를 확인할 수 있다. 전체 테스트 결과는 여기에서 확인할 수 있다.

그림1. Real-World Protection Test 결과, 2016년 4월 (출처: AV-Comparatives Factsheet April 2016, Real-World Protection Test)

원문: AV-TEST: Trend Micro™ Internet Security Two-Time Winner




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


트렌드마이크로 인터넷 시큐리티 10, 2016년 연속 2번 AV-TEST 최우수 제품 인증 획득

https://www.trendmicro.co.kr/kr/blog/av-test-trend-micro-internet-security-two-time-winner/index.html



참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 19. 13:07

위로가기