encryption에 해당하는글 9

VPN과 SSH 터널은 암호화된 접속을 통해 네트워크 트래픽을 안전하게 전송하는 방식으로 부분적으로 유사하기도 하지만 작동방식 등이 근본적으로 다르다. 양자가 가진 차이를 이해할 수 있다면 어떤 방식을 선택할지 판단하는 데 도움이 될 수 있다.




VPN


VPN(virtual private network)이란 '가상 사설 네트워크'로 해석되며 그 명칭에서 알 수 있듯 본래 인터넷과 같은 공개 네트워크를 경유하여 사설 네트워크에 접속하는 데 사용된다. 파일공유지점, 네트워크프린터 등이 연결된 일반적인 사무실 네트워크를 가정해 보면 경우에 따라서는 직원이 사무실 외 공간에서 이 네트워크에 접속해야 하는 일이 생길 수 있다. 하지만 사무실 네트워크는 회사의 중요 자원으로 공개된 공간인 인터넷에 노출되지 않는다. 이 경우 그 회사는 VPN 서버를 설정하여 직원으로 하여금 그 VPN을 통해 외부에서도 사무실 네트워크에 접속하도록 할 수 있다. 접속이 완료된 클라이언트는그 사무실 네트워크에 실제 물리적으로 연결된 것과 동일하게 인식돼 파일공유 등 네트워크자원에 접근할 수 있게 된다. VPN 클라이언트가 인터넷을 통해 서버와 통신하는 접속은 암호화돼 있으며 따라서 그 VPN을 설정한 회사의 경쟁업체 등이 서버와 클라이언트 사이에서 웹브라우징 트래픽 등 접속데이터를 가로채는(snoop) 것을 방지할 수 있다.



VPN은 이러한 특성으로 인해 공용 와이파이 네트워크 등에서 접속내역을 노출시키지 않을 수 있는 방법이 된다. 또한 트래픽의 발신지점이 실제 클라이언트가 아닌 해당 VPN 서버라고 인식되는 점을 이용하여 지역적으로 제한이 걸린 서비스에 접근하거나 웹에 대한 검열을 회피할 수 있는 방법이 되기도 한다.



VPN은 어플리케이션 계층보다는 운영체제 계층에 가깝게 작동한다. VPN 연결이 생성되면 개별 설정에 따라 달라질 수 있으나 기본적으로 운영체제에서 모든 어플리케이션의 네트워크 트래픽을 그 VPN으로 경유시킬 수 있다.



SSH 터널


SSH란 secure shell의 약자로 본래는 네트워크 트래픽을 경유시키는 기능에 국한되지 않고 원격단말세션(remote terminal session)을 안전하게 사용하는 등의 목적으로 사용된다. SSH는 VPN과 마찬가지로 강력한 암호화로 보호되며 이를 활용하여 SSH 클라이언트를 SOCKS 프록시처럼 작동하도록 한 다음 웹브라우저 등 어플리케이션이 그 프록시를 경유하도록 설정할 수 있다. 이 경우 해당 트래픽은 SOCKS 프록시로 들어간 다음 SSH 클라이언트 측에서 이를 SSH 접속을 통해 전송하는데 이를 SSH 터널 혹은 SSH 터널링이라 한다. 웹서버 측에서 해당 트래픽의 발신지를 SSH 서버로 인식하고 접속이 암호화된다는 면에서 이는 VPN과 유사하기도 하다.



다만 운영체제 수준에서 모든 트래픽을 경유시키는 VPN과 달리 SSH의 경우 개별 어플리케이션이 프록시를 통과하도록 설정해야 한다. VPN이 운영체제 측에서 사용자가 원격네트워크에 있는 것으로 인식하도록 하여 윈도 네트워크 파일공유 접속을 용이하게 하는 반면 SSH 터널은 파일공유 접근이 훨씬 어렵다는 점도 다르다.




VPN과 SSH 터널의 보안 비교


회사 입장에서는 시스템의 전체 네트워크 트래픽을 경유시키는 VPN이 보다 더 안전한 방식이라고 할 수 있지만 단순히 카페나 공항 같은 공개 와이파이 등을 통해 인터넷을 사용할 때 접속을 암호화하고자 하는 목적이라면 VPN과 SSH 모두 강력한 암호화를 제공하기 때문에 별 차이가 없다.


한편 VPN은 사용 자체는 간편하지만 서버 설정이 다소 복잡하며 반대로 SSH 터널은 사용이 까다로운 반면 서버 설정은 오히려 쉬운 편이다. 만약 사용자가 별도 설정 없이 SSH 서버에 접속할 수 있는 상태라면 이를 그대로 사용하는 것이 VPN 서버를 설정하여 사용하는 방법보다 훨씬 간편하다. 이 때문에 SSH 터널은 돈이 모자랄 때 사용하는 VPN 대용수단으로 인식되기도 한다.




Chris Hoffman, VPN vs. SSH Tunnel: Which Is More Secure?, 7. 5. 2012.

http://www.howtogeek.com/118145/vpn-vs.-ssh-tunnel-which-is-more-secure/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.28 16:53



랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략

게시일: 2016-06-17 l 작성자: Trend Micro

기업은 어떻게 랜섬웨어 공격에 대응할 수 있을까요? 최근 여러 기관에서 랜섬웨어 공격에 대비하여 비트코인을 사들이고 있다는 연구가 있었습니다. 공격 받을 시 빠른 시간 내 중요한 파일을 복구하기 위한 대응책입니다. 하지만 돈을 지불하는 것이 파일 복구를 보장하지 않는 것은 물론이고, 추가적인 랜섬웨어 공격으로 이어질 수 있습니다. 그럼에도 불구하고 랜섬웨어 공격으로 인한 기업 손실과 명예 실추로 인해 추가적인 불이익을 예상한다면, 기업의 이러한 대처를 비난할 수는 없습니다.


지속적인 랜섬웨어의 공격

랜섬웨어 피해자가 되지 않기 위해, 이 멀웨어가 어떻게, 그리고 왜 공격을 하는지 이해하는 것이 중요합니다. 물론, 사회공학적 기법과 상용 등급 암호화는 랜섬웨어 공격의 중요한 요소입니다. 하지만 최근 유행하는 랜섬웨어들은 다른 멀웨어의 수법을 차용하여, 복호화를 어렵게 만들고 있습니다.

예를 들어보겠습니다. A 회사에서 ‘파일과 중요 데이터가 모두 암호화 되었으니, 되찾고 싶다면 돈을 지불하라’는 메시지를 수신했습니다. IT 운영자는 즉시 감염된 시스템의 네트워크를 차단하고 분리했습니다. 그 후, 감염된 컴퓨터를 치료하여 파일 복구를 시도합니다. 하지만 이 때 여러 문제점이 발생합니다.

일례로 랜섬웨어가 일반적으로 사용하는 기법 중 하나는 섀도우 복사본을 삭제하는 것입니다. 하단의 커맨드 중 하나를 사용하여 이를 실행합니다.

vssadmin.exe Delete Shadows/All/Quiet

WMIC.exe shadowcopy delete/nointeractive

섀도우 복사본을 삭제함으로써, 사용자가 파일을 복구할 수 없도록 백업 파일을 삭제하게 되는 것입니다.CRYPWALLLockyCERBERCRYPTESLA와 같은 변종 랜섬웨어에서 이와 같은 기능을 사용하고 있습니다. 부팅 변경, 감염 확산, 백신 우회 등과 같은 기법도 널리 활용되고 있습니다.


부팅 변경

마스터 부트 레코드(MBR)의 재작성 또는 삭제로 인해 시스템 부팅이 불가능해집니다. 이를 우회하기 위해 안전모드 부팅을 시도하는 것도 무용지물입니다. PETYA 는 이러한 공격 수법을 가진 대표적인 랜섬웨어입니다.


감염 확산

랜섬웨어에 의해 감염된 1개의 시스템 복구도 어렵지만, 이동식 드라이브와 네트워크를 통해 감염이 확산된다면 또 다른 중요 데이터가 암호화 될 위험에 놓이게 됩니다. 해당 공격 수법을 사용하는 랜섬웨어는Zcryptor(ZCRYPT crypto-ransomware)는 이동식 드라이브와 네트워크의 공유폴더까지 확산하여 감염시킵니다.


백신 우회

워치독 프로세스(Watchdog process)는 멀웨어의 새로운 인스턴스를 부활시키기 위해 svchost.exe로 명명된 regsvr32.exe 또는 rundll32.exe을 복사합니다. 하나의 프로세스가 암호화를 실행하면, 나머지 하나의 프로세스는 워치독으로 활동합니다. 랜섬웨어가 탐지를 우회하기 위해 고용하는 또 다른 기술은, 해당 환경이 VMWare 환경인지 확인하는 것입니다.

그림 1. CryptXXX 감염 프로세스 트리, 워치독 프로세스 포함

VIRLOCK 은 다형성 암호 기법을 가진 랜섬웨어로서, 감염이 실행될 때마다 코드를 변경해 보안 소프트웨어에서 탐지가 매우 어렵습니다. 하단 그림에서와 같이 감염 파일에 무작위 가비지 코드와 API 콜을 삽입하기도 합니다.

그림 2. VIRLOCK의 탐지 우회 기술 코드 정보


또 다른 공격 수법

랜섬웨어의 지속적인 공격에서 주목할 만한 기술은 네트워크 드라이브의 데이터를 암호화하고, 이와 더불어 SMB(Server Message Block)를 공유하여 발견되는 모든 파일을 암호화 하는 것입니다. 2015년 등장한 CryptoFortress는 위와 같은 수법을 사용합니다. CRYPWALL 3버전과 4버전 또한 마찬가지로, 연결된 모든 드라이브로 확산하여 데이터를 암호화 합니다.

또 다른 변종인 PowerWare와 POSHCODER는 윈도우 PowerShell 기능을 악용합니다. CryptoLocker 공격에서는 C&C 서버 연결을 위한 DGA(Domain Generation Algorithm)도 처음 발견되었습니다. CryptXXX의 경우, 피해자의 정보를 탈취하여 지하시장에서 판매합니다.

랜섬웨어 공격자가 취약점을 이용하여 위협을 확산시킬 경우, 감염 피해 복구는 더욱 어려워집니다. SAMSAM은 Jexboss 익스플로잇을 악용하여 네트워크를 통해 취약한 서버에 침투하여 랜섬웨어 공격을 실행하였습니다.


다층 보안 설계

파일 암호화로부터 초래되는 불편함, 파일 복구 시도의 실패, 잠재적인 추가 피해로 인해 몇몇 기관들에서는 랜섬을 지불하는 것을 택하고 있습니다. 하지만 이것은 매우 위험한 결정이라고 할 수 있습니다. 한 번 랜섬을 지불할 경우, 돈을 지불하는 피해자로 인식되어 더 많은 랜섬웨어 공격의 대상이 될 수 있습니다.

랜섬웨어를 이해하는 것은 기업의 IT환경을 보호하기 위한 중요한 시작입니다. 파일을 백업하는 것은 보안의 가장 기초이지만, 그것만으로 끝나는 것이 아닙니다. 백업을 찾아내어 삭제하는 변종들이 계속 새롭게 등장하고 있기 때문입니다. 기업에서는 다층 보안 설계를 구축해야 합니다.

트렌드마이크로는 대기업, 중소기업 및 개인 사용자가 크립토 랜섬웨어의 피해를 최소화할 수 있는 대응책을 제공합니다.

트렌드마이크로의 Deep Discovery Email Inspector는 이메일로 들어오는 랜섬웨어가 사용자에게 도달하지 못하도록 방어합니다. 오피스스캔은 동작 모니터링, 애플리케이션 관리, 취약점 보호 등의 기능을 통해 엔드포인트를 보호합니다. Deep Discovery Inspector는 네트워크 상에서 랜섬웨어를 감지하며, Deep Security는 물리적, 가상, 클라우드 서버를 보호하는 역할을 합니다.

중소기업용 Worry-Free 비즈니스 시큐리티는 클라우드 기반 이메일 게이트웨이 보안인 이메일 보안 호스팅을 제공합니다. 또한 동작 모니터링, 실시간 웹 검증을 통해 엔드포인트에 도달하는 랜섬웨어를 탐지하고 차단합니다.

개인용 클라이언트 종합 보안 제품 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

최근 트렌드마이크로에서 발표한 무료 툴인 트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거합니다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구 입니다.


원문: Why Ransomware Works: Tactics and Routines Beyond Encryption




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략

https://www.trendmicro.co.kr/kr/blog/why-ransomware-works-tactics-beyond-encryption/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.26 15:15


AVG 바이러스연구소는 최근 Bart 랜섬웨어에 대한 파일복구 툴을 제작했다. 랜섬웨어 중에서도 최신에 속하는 Bart 랜섬웨어는 이미 전 세계에 퍼졌으며 주로 사진과 이미지에 관련된 제목을 가진 이메일을 통해 배포된다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>


Bart 랜섬웨어는 Dridex 및 Locky 랜섬웨어 제작자가 만들었다고 추정된다. Dridex 그리고 Locky가 파일을 암호화시킨 상태로 다시 쓰는 반면 Bart의 경우 개별 파일을 별도의 암호화된 압축파일(zip)에 넣은 다음 원본 파일을 삭제한다. 물론 사용자가 돈을 지불하기 전까지는 해당 파일에 접근할 수 없다는 점은 마찬가지다.


Bart 랜섬웨어에 감염될 경우 파일의 원래 이름에 bart.zip이라는 확장자가 들어가기 때문에 감염을 바로 알아낼 수 있다. 바탕화면은 대체로 다음과 같은 그림으로 변경된다. 이 그림에 들어간 텍스트는 "Recover.bmp" 그리고 "recover.txt" 파일에 보관되며 Bart 랜섬웨어 식별의 단서가 될 수 있다.



여기에서 소개하는 AVG Bart 복호화툴은 복호화 작업에 앞서 암호화된 파일을 해당 파일의 원본과 비교하는 과정을 거쳐야 한다. 그러므로 툴을 다운받아 구동하기 전에 먼저 암호화되지 않은 파일을 비교대상으로 선택하고 다음 단계를 따른다.


1. 비교대상 파일을 선택한다. 만약 모든 파일이 암호화된 경우라면 (1) 클라우드나 외부저장기기 등에 보관된 파일 (2) 바탕화면 등 윈도우 표준 미디어파일 (3) 이메일에 첨부된 미디어파일을 사용한다.


2. 선택한 파일을 데스크탑에 복사한다. Bart 랜섬웨어는 금전을 요구하고 나서는 파일 암호화를 그치기 때문에 문제가 없다. 이 과정을 마치고 나서  Bart 복호화툴을 다운받아 실행한다. 툴이 실행되면 암호화된 파일과 암호화되지 않은 파일을 추가하라고 요청한다.



3. 파일을 선택하고 나면 나머지 과정은 툴에서 자동 진행한다.



Bart 랜섬웨어 AVG 복호화툴 다운로드링크

http://now.avg.com/barts-shenanigans-are-no-match-for-avg/




Jakub Kroustek, Bart’s Shenanigans Are No Match for AVG, 7. 19. 2016.

http://now.avg.com/barts-shenanigans-are-no-match-for-avg/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.21 14:40



안드로이드 키스토어(Android KeyStore)는 안드로이드OS에서 암호화키와 사용자 계정정보를 보관하는 시스템인데 최근 보안분석가 두 명이 작성한 Breaking Into the KeyStore: A Pratical Forgery Attack Against Android Keystore라는 논문을 통해 취약점이 있다는 점이 밝혀졌다.   키스토어는 키별 할당작업을 수행하여 안드로이드 앱이 자체적인 암호화키를 보관 및 생성할 수 있도록 한다. 키스토어는 키를 격리 보관하여 기기에서 삭제되기 어렵도록 처리한다.


France Telecom Orange Labs에서 재직중인 연구원 Mohamed Sabt와 Jacques Traoré가 작성한 내용에 따르면 안드로이드 키스토어는 데이터 무결성을 보장하지 못하며 따라서 공격자가 들키지 않고 보관된 키를 변경할 수 있다고 한다. 연구진은 위조 공격으로 이러한 취약점을 악용하여 키스토어에 침입하는 과정을 시연했다고 한다. "악성앱이 다른 모바일앱으로 하여금 보안프로토콜을 적용에 취약한 키를 사용하도록 하는 공격이 가능하다.. 공격자가 들키지 않은 채 사용자 보안을 침해할 수 있다는 면에서 이는 명백한 위협이다."


연구진은 또한 어플리케이션이 키스토어에 대칭키를 보관하는 경우의 공격 시나리오를 제시하기도 했다. "예컨대 256비트 HMAC 키를 32비트 수준으로 몰래 변경하여 사용자가 실제 보안수준을 오인하도록 유도할 수 있다. 네트워크를 제어하는 외부자는 이를 악용하여 이렇게 취약한 키를 사용하는 프로토콜을 뚫어버릴 수 있다. 이 공격은 탐지되지 않은 채 진행될 수 있다는 점에서 실질적으로 중대한 위협이 될 수 있다."


연구진은 이번 연구가 보안 문제에서 직관을 믿어서는 안 된다는 중요한 사실에 방점을 찍고 있다고 설명한다. "시스템 설계자는 대체로 암호화방식을 선정할 때 입증된 안전성보다는 간결함을 기준으로 삼는 경향이 있다. 위 연구에서도 나타나듯 이는 시스템 전체에 심각한 결과를 초래할 수 있기 때문에 좋은 선택이 아니다."




VIPRE Security News, Android’s Encryption System Has Gaping Holes, Researchers Claim, 7. 18. 2016.

https://blog.vipreantivirus.com/security-news-room/androids-encryption-system-gaping-holes-researchers-claim/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.20 13:09



흔히 익명성 보장수단으로 알려진 토르(Tor) 네트워크는 인터넷에서 익명성과 안전 그리고 프라이버시를 철저히 보장해 준다고 오해될 수 있지만 이는 사실이 아니며 실제로는 여러 부분에서 제한과 위험이 있기 때문에 사용에 주의를 기울일 필요가 있다.

 

출구노드 감시가능성

 

토르는 인터넷 트래픽을 토르 네트워크 내의 여러 컴퓨터를 경유시킨다. 사용자는 원래 목적지에 직접 도달하지 않고 토르 네트워크라는 일종의 구름을 거치게 된다. 이 경우 이론적으로는 목적지 측에서 트래픽이 어떤 컴퓨터에서 출발했는지 알기가 어렵다. 토르 네트워크 내 사용자의 컴퓨터는 접속을 개시했을 수도 있고 트래픽을 다음 노드로 중계시키는 역할일 수도 있다. 하지만 토르 트래픽도 인터넷의 목적지에 도달하려면 결국에는 토르 네트워크에서 나와야 한다. 이 때 토르 네트워크를 나와 인터넷에 접속하게 되는 마지막 노드는 이른바 출구노드(exit node) 또는 출구지점(exit relay)으로서 외부에서 모니터링될 수 있다.

 

HTTPS로 암호화된 웹사이트에 접속한다면 출구노드 측에서 사용자가 해당 웹사이트에 접속한다는 사실을 알 수 있다는 점 외에는 큰 문제가 안 된다. 하지만 암호화되지 않은 웹사이트에 접속하는 경우에는 출구노드 측에서 사용자의 인터넷 활동을 모니터링하면서 방문한 웹페이지, 검색기록, 메시지 전송내역 등을 추적할 수 있다. 토르 네트워크 참여자가 출구노드를 운용할 경우 단순히 트래픽을 중계시키는 중계지점과는 달리 법적 위험부담을 안을 수 있으며 이 때문에 명시적인 동의를 표하도록 요구받는다. 한편 정부기관 등이 출구노드를 운용하여 트래픽을 감시함으로써 범죄수사나 정치활동감시 등에 활용할 가능성도 적지 않다.

 

이는 이론에만 그치지 않는 현실적인 문제로 2007년에는 보안분석가가 토르 출구노드 운용을 통해 수백에 달하는 이메일 계정의 비밀번호와 메시지를 수집한 바 있다. 이 때 해당 이메일 사용자들은 토르의 자체 암호화만을 믿고 이메일시스템에 암호화대책을 적용하지 않는 우를 범했다. 그러므로 토르를 사용할 때 기밀정보 등이 연루되는 경우라면 HTTPS 암호화 웹사이트를 사용하도록 해야 하며 자신의 트래픽이 정부기관이나 또는 개인정보를 노리는 이들의 감시대상이 될 수 있음을 명심해야 한다.

 

자바스크립트, 플러그인 등에 의한 IP주소 유출

 

토르 브라우저는 자바스크립트 해제, 플러그인 차단, 다운로드파일 실행시 경고 등 기본적인 자체 보안설정을 갖추고 있다. 자바스크립트는 그 자체만으로는 보안상 위험으로 직결되지는 않지만 IP 주소가 노출되지 않기를 원한다면 자바스크립트를 쓰지 말아야 하는데 일반적인 브라우저의 자바스크립트 엔진, 어도비플래시 등 플러그인, 어도비리더 등 외부프로그램, 영상재상프로그램 등은 웹사이트에 IP 주소를 유출시킬 위험을 안고 있기 때문이다. 익명성에 주안점을 둔 토르 부라우저는 자바스크립트 차단을 기본설정으로 하여 이러한 가능성을 사전에 차단한다. 문제는 이러한 설정이 변경될 수 있다는 데 있으며 실제로 2011년에는 한 연구진이 토르를 통해 BitTorrent를 구동하는 사용자 1만 명의 IP 주소를 수집하기도 했다. Bitorrent 클라이언트는 보안이 취약하며 사용자 IP 주소를 노출시킬 위험을 안고 있다. 따라서 토르 네트워크를 사용할 경우 토르 브라우저의 기본 보안설정을 그대로 둬야 하고 다른 브라우저를 쓰는 방법은 좋지 못하며 토르 네트워크와 다른 어플리케이션을 같이 사용해서도 안 된다.


 

출구노드 운용의 위험

 

토르 네트워크 참여자는 자신의 컴퓨터를 토르 중계지점으로 제공하여 자신이 보유한 네트워크 대역폭을 공유하고자 할 수 있으며 이러한 자발적 중계역할 참여가 토르 네트워크가 자랑하는 익명성의 기반이 된다. 이는 단순히 암호화된 트래픽을 토르 네트워크 내부에서 경유시키는 데 지나지 않기 때문에 그 자체로는 어떤 법적 문제를 야기하지 않는다. 하지만 출구노드의 경우에는 트래픽이 익명 네트워크를 벗어나 인터넷에 진입하는 지점이기 때문에 문제가 다르다. 만약 범죄자들이 범죄목적으로 토르를 사용하고 이들의 트래픽이 출구노드를 경유할 때 그 트래픽을 가지고 해당 노드의 IP 주소를 추적할 수 있으며 이는 종국적으로 해당 노드의 운용자에 대한 수사 등으로 이어질 수 있다. 실제로오스트리아의 한 남성은 토르 출구노드를 운용한 결과 아동 포르노 유포 혐의로 기소된 바 있다. 토르 출구노드 운용은 개방 와이파이를 운용하는 경우와 같이 범죄활동 등에 대한 추적을 운용자 자신에게로 돌릴 위험이 있으며 그 결과 적어도 저작권 침해 등으로 법적 분쟁에 휘말릴 수 있고 최악의 경우 형사처벌이 문제될 수도 있다. 이러한 위험 때문에 실제 토르 출구노드를 운용하는 사람들은 얼마 되지 않으며 다만 정부기관의 경우 법적 분쟁을 피할 수 있고 위에 언급한 내용과 같이 감시목적 등으로 인해 출구노드를 운용할 가능성이 높다. 굳이 출구노드 운용에 참여하고자 한다면 상업시설에서의 고정된 IP주소를 사용하고 토르에 우호적인 ISP를 거치는 등의 방법이 있지만 이를 가정이나 직장에서 사용하는 건 금물이다.


 



Chris Hoffman, HTG Explains: Is Tor Really Anonymous and Secure?, 4. 2. 2013.

http://www.howtogeek.com/142380/htg-explains-is-tor-really-anonymous-and-secure/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.01 13:56


웹브라우저 주소창에 있는 자물쇠 모양 아이콘은 암호화 접속방식인 HTTPS(Hypertext Transfer Protocol Secure)를 가리키며 이는 온라인에서의 뱅킹과 쇼핑 그리고 피싱 방지 측면 중요한 의미를 가진다. 대부분의 웹사이트는 HTTP 표준 프로토콜을 사용하는데 HTTPS는 여기에 암호화를 통해 보안을 강화한 방식이다.

 

HTTP의 보안상 문제점

HTTP 프로토콜을 채택한 웹사이트에 접속할 때 브라우저는 웹사이트에 대한 IP 주소를 열람하여 이를 통해 접속하기만 하면 접속한 위치를 올바른 웹사이트로 인식한다. 또한 데이터가 평문으로 전송되기 때문에 중간에서 와이파이 네트워크, 인터넷서비스공급자(internet service provider, ISP), 국가정보기관 등이

사용자가 방문하는 웹페이지와 주고받는 데이터를 수집할 수 있다.

 

이러한 HTTP 방식은 우선 접속한 대상이 올바른 웹사이트인지 확인(authenticate)할 방법이 따로 없다는 문제가 있다. 예를 들어 은행 웹사이트로 접속한 줄 알았는데 은행처럼 꾸민 허위 웹사이트에 접속하는 일이 생길 수 있다는 것이다. 또한 HTTP은 접속에 별도의 암호화가 없기 때문에 비밀번호나 카드번호 등 개인정보가 노출되어 외부인에게 탈취될 수 있으며 사용자의 방문 및 검색 기록도 유출될 수 있다.

 

HTTPS의 작동원리와 장점

HTTPS는 위와 같은 HTTP의 약점을 극복하이 위해 설계된 프로토콜이다. HTTPS를 채택한 사이트에 접속하면 웹브라우저가 웹사이트 측의 보안인증서를 확인하고 그 인증서가 정식 인증기관으로부터 발행됐음을 확인하게 된다. 따라서 주소창에 예를 들어 은행 웹사이트 주소가 https://bank.com이라고 적혀 있다면 그 은행 주소가 허위가 아닌 진짜임을 알 수 있다. 인증기관 측에서 불량인증서를 발행함으로 인해 웹사이트 접속이 잘못되는 경우도 없진 않다. 또한 개인계정 로그인을 하거나 카드번호, 결제기록 등 개안정보를 전송할 경우 해당 데이터는 암호화되어 외부인에 의한 정보 탈취를 차단한다. HTTPS가 완벽한 보안대책이라고 보긴 어렵지만 적어도 HTTP의 근본적 문제점을 대폭 수정했다는 면에서 의미가 있다.

 

HTTPS는 웹사이트 정보에 대한 인증수단으로서 접속한 웹사이트가 올바른 웹사이트인지 가짜인지 판별하는 증요한 기준이 된다. 특히 은행 웹사이트에 접속할 때 로그인 페이지에 HTTPS 주소와 아이콘이 표시되지 않았다면 웹페이지 자체의 모양이 실제 은행 웹사이트와 비슷해 보여도 이는 허위로 꾸며졌을 가능성이 대단히 높다. 또한 웹사이트에서 개인정보를 입력하여 로그인하거나 결제관련 정보를 입력할 때 해당 웹사이트에서 이러한 데이터를 암호화하는 HTTPS 방식을 채택했는지가 중요하며 만약 단순 HTTP일 경우에는 별도 보안대책이 없는 한 개인정보 등 기밀정보를 입력해서는 안 된다.

 

구글의 경우 이제 HTTPS가 기본 설정으로 채택되며 따라서 구글에서 검색을 실행할 경우 외부인이 사용자의 검색기내용을 볼 수 없게 된다. 예를 들어 사용자가 위키피디아에 HTTPS로 접속할 경우 외부인은 사용자가 위키피디아에 접속했다는 사실만 알 수 있고 위키피디아에서 구체적으로 어떤 글을 보는지는 알 수 없다.

 

HTTPS 판별 및 주의사항

어떤 웹사이트가 HTTPS를 채택했는지 확인하기 위해서는 주소창에 적힌 주소가 https://로 시작하는지 보면 된다. 이 경우 자물쇠 아이콘도 표시되며 이걸 클릭하면 웹사이트 보안에 대한 상세정보를 확인할 수 있다.



 


그런데 사용자들이 이렇게 HTTPS 주소와 자물쇠 아이콘을 확인한다는 사실을 악용하여 웹사이트를 조작하는 경우도 있다. 실제로 HTTPS 인증서를 허위로 발행받아 악성웹사이트를 HTTPS 프로토콜로 위장하는 수법이 가능하다. 이는 HTTPS 인증방식 구조가 자신이 보유하지 않은 다른 사이트를 사칭하는 경우만을 차단하도록 돼 있기 때문이다. 예를 들어 https://bankofamerica.com.3526347346435.com이라는 주소가 있을 때 이 주소는 HTTPS 방식을 채택하기는 했으나 실제 접속되는 페이지는 Bank of America가 아닌 3526347346435.com의 하위 도메인이 되는 것이다. 한편 자물쇠 아이콘을 모방하여 주소창에 표시함으로써 사용자를 기만하는 수법도 쓰일 수 있다. 이러한 지능적 수법은 대체로 이메일 등에 첨부된 악성링크를 클릭할 때 접속하는 사이트가 스스로를 올바른 웹사이트로 위장할 때 사용될 수 있으므로 가장 확실한 방법은 불확실한 출처의 링크를 클릭하지 않는 것이라고 할 수 있다. https://를 확인하는 데 그치지 않고 주소 전체를 주의하여 확인하는 과정도 필요하다.


 

 


Chris Hoffman, HTG Explains: What is HTTPS and Why Should I Care?, 2. 10. 2014.

http://www.howtogeek.com/181767/htg-explains-what-is-https-and-why-should-i-care/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.29 14:08

테슬라크립트(TeslaCrypt)는 근래 사이버세계를 뒤흔들고 있는 또다른 랜섬웨어다. 테슬라크립트는 주로 스피어피싱 이메일과 Angler 취약점악용을 통해 배포된다. Angler는 어도비 플래시 취약점을 악용하며 해킹에 성공할 때 테슬라크립트 변종을 다운로드한다. 테슬라크립트 3.0은 암호화화된 파일을 일반적인 방법으로는 복구 불가능하게 만드는 여러 면에서 성능이 향상됐다.

 <참고: 랜섬웨어 차단 AVG 유료안티바이러스>


 

감염 징후

 

테슬라크립트 감염기기는 대체로 거의 모든 디렉토리에 다음과 같은 파일을 포함하게 된다.

+REcovER+[Random]+.html

+REcovER+[Random]+.txt

+REcovER+[Random]+.png

이들 파일에서 암호화된 파일에 대한 복구방법을 볼 수 있다.


테슬라크립트 랜섬웨어 메시지

 


상세분석


: 본 분석에 사용된 파일의 MD5 해시값은 1028929105f1e6118e06f8b7df0b3381이다.

테슬라크립트는 우선 자신이 본래 목적한 디렉토리에 침투했는지 확인하며 본 샘플의 경우 자신이 Documents 디렉토리에 들어갔는지 확인한다. 디렉토리가 맞지 않는다면 원래 예정된 디렉토리로 자신을 복제한 다음 그 위치에서 사본을 실행시키게 된다. 사본을 실행시키고 나면 스스로를 삭제시킨다.

 

테슬라크립트는 여러 쓰레드를 생성하여 다음과 같은 작업을 실행한다.

 

프로세스를 모니터링하면서 아래 스트링을 포함한 프로세스 종료

taskmg

regedi

procex

msconfi

cmd

명령제어(C&C) 서버와 연락하여 시스템정보 및 고유 시스템ID 등 정보 전송

파일암호화

 


위장


테슬라크립트는 구형 맬웨어의 코드를 재활용한다. 최초 코드는 압축된 바이너리의 암호화다. 테슬라크립트는 복호화 시점에서 RtlDecompressBuffer API를 요청하고 압축을 푼 데이터를 자체 메모리에 기록한다.

 


RtlDecompressBuffer API 요청

 

테슬라크립트는 또한 API 명칭의 해시값을 활용하고 이를 API 주소를 수신하는 함수에 전달함으로써 API 요청을 은폐하는 수법을 사용한다.

 

테슬라크립트는 API 해시값을 API 절차주소를 산출하는 함수에 전달한다.

 



<>동일한 코드가 역어셈블러(disassembler)로 표시된 모습

 


파일암호화


테슬라크립트는 AES 암호화를 사용하며 암호화키 일부를 C&C 서버로 전송하기 때문에 자체적으로 파일 복구가 불가능한 상태가 된다. 테슬라크립트는 시스템이 이미 자체적인 복구키를 보유하고 있는지 확인한다. 복구키가 없음이 확인되면 필요한 암호화키를 생성하기 시작하며 이들 키는 암호화과정에 사용된다.

 

테슬라크립트는 복구키의 존재여부를 확인하여 없을 경우 복구키를 생성한다.

 

테슬라크립트는 모든 고정/원격/분리 드라이브에 접근하여 다음과 같은 확장자를 가진 파일을 찾는다.

.3FR .7Z .ACCDB .AI .APK .ARCH00 .ARW .ASSET .AVI .BAK .BAR .BAY .BC6 .BC7 .BIG .BIK .BKF .BKP .BLOB .BSA .CAS .CDR .CER .CFR .CR2 .CRT .CRW .CSS .CSV .D3DBSP .DAS .DAZIP .DB0 .DBA .DBF .DCR .DER .DESC .DMP .DNG .DOC .DOCM .DOCX .DWG .DXG .EPK .EPS .ERF .ESM .FF .FLV .FORGE .FOS .FPK .FSH .GDB .GHO .HKDB .HKX .HPLG .HVPL .IBANK .ICXS .INDD .ITDB .ITL .ITM .IWD .IWI .JPE .JPEG .JPG .JS .KDB .KDC .KF .LAYOUT .LBF .LITEMOD .LITESQL .LRF .LTX .LVL .M2 .M3U .M4A .MAP .MCMETA .MDB .MDBACKUP .MDDATA .MDF .MEF .MENU .MLX .MOV .MP4 .MPQGE .MRWREF .NCF .NRW .NTL .ODB .ODC .ODM .ODP .ODS .ODT .ORF .P12 .P7B .P7C .PAK .PDD .PDF .PEF .PEM .PFX .PKPASS .PNG .PPT .PPTM .PPTX .PSD .PSK .PST .PTX .PY .QDF .QIC .R3D .RAF .RAR .RAW .RB .RE4 .RGSS3A .RIM .ROFL .RTF .RW2 .RWL .SAV .SB .SID .SIDD .SIDN .SIE .SIS .SLM .SNX .SQL .SR2 .SRF .SRW .SUM .SVG .SYNCDB .T12 .T13 .TAX .TIFF .TOR .TXT .UPK .VCF .VDF .VFS0 .VPK .VPP_PC .VTF .W3X .WALLET .WB2 .WMA .WMO .WMV .WPD .WPS .X3F .XF .XLK .XLS .XLSB .XLSM .XLSX .XXX .ZIP .ZTMP

 

파일이 recove라는 스트링을 포함하거나 다음과 같은 디렉토리에서 발견된 경우는 예외다.

 

%WINDIR% (C:\Windows)

%PROGRAMFILES% (C:\Program Files)

%COMMONAPPDATA% (C:\Documents and Settings\All Users\Application Data for Windows XP and C:\ProgramData for Windows Vista and above)

%LOCALAPPDATA%\Temporary Internet Files (C:\Documents and Settings\[USERNAME]\Local Settings for Windows XP and C:\Users\[USERNAME]\AppData\Local for Windows 7 and above)

 

고정/원격/분리 드라이브 확인

 

파일에 대한 확장자 확인이 끝나면 암호화가 개시된다. 본 분석의 테슬라크립트 변종은 우선 암호화 헤더를 통해 암호화 여부를 확인하고 나서 암호화를 진행한다. 암호화된 파일의 헤더에는 전체복구키, 전체공개키, 원본파일용량, 암호화된 데이터 자체 등의 데이터를 포함된다.

 

암호화 파일 샘플

 


C&C 서버


테슬라크립트는 아래 도메인에 대한 접속을 시도한다.

hxxp://naturstein-schubert.de

hxxp://csskol.org/wp-content

hxxp://casasembargada.com

hxxp://mahmutersan.com.tr

hxxp://forms.net.in

hxxp://kknk-shop.dev.onnetdigital.com

 

서버 접속에 성공하고 나면 인코딩된 데이터를 가지고 POST 요청을 전송한다. 전송되는 데이터에는 다음 사항이 포함된다.

The shared key for the encryption

Bitcoin address

OS version

TeslaCrypt version

Unique ID for the infected system

 

암호화된 데이터를 동반한 HttpSendRequest

 


기타


테슬라크립트는 하나의 인스턴스만 실행되도록 하기 위해 8_8_8_8 뮤텍스를 생성한다.


CreateMutex 함수

 

또한 매 부팅시마다 실행이 되도록 자동시작 레지스트리 입력을 생성한다.


Autostart 레지스트리

 

그리고 네트워크드라이브에 대한 승인제한을 제거하는 내용의 정책을 레지스트리에 추가하며 이를 통해 모든 사용자가 이들 네트워크 드라이브에 접근할 수 있게 된다.

 

EnableLinkedConnections 레지스트리값

 

흥미롭게도 최근 테슬라크립트의 배후세력이 생각을 바꿔 전체 복호화키를 공개한 것으로 보인다. 아래에 나타난 결제사이트는 비트코인으로 최소 500달러를 요구했으며 현재는 폐쇄된 상태다.


 테슬라크립트 결제페이지

 

본 분석에 쓰인 솔루션과 같은 지능형 위협방지수단을 통해 랜섬웨어 감염을 방지할 수 있다. 지능형 솔루션은 신종위협이 위해를 가하기 전에 이를 잡아낼 수 있다. 이메일과 네트워크라는 양대 축을 통해 방어대책을 마련할 수 있다

<ThreatTrack 보안솔루션 제품소개>


ThreatSecure Email과 같은 지능형 이메일보안솔루션은 전통적인 보안대책을 회피하는 맬웨어를 잡아내도록 설계돼 있다. 지능형 이메일보안은 피싱링크와 랜섬웨어를 배포하는 취약점악용을 탐지함으로써 사이버공격을 막을 수 있는 대책이다. 이러한 솔루션을 통해 테슬라크립트와 같은 랜섬웨어의 데이터 암호화 및 탈취를 방지할 수 있다. 다음으로 네트워크 보안을 강화해야 한다. 알려진 위협과 네트워크 이상활동을 식별 및 연관시키는 지능형 보안솔루션은 데이터보안에 아주 유용한 수단이다. 예를 들어 ThreatTrackThreatSecure Network는 엔드 간 네트워크 가시성과 실시간 탐지를 통해 랜섬웨어 배포 및 C&C와 관련이 있다고 알려진 악성 IP를 거치는 트래픽을 잡아낼 수 있다.




ThreatTrack Security Labs, A Close Look at TeslaCrypt 3.0 Ransomware, 6. 8. 2016.

https://blog.threattrack.com/close-look-teslacrypt-3-0-ransomware/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.13 11:59


 

최근 캘리포니아의 대형병원 Hollywood Presbyterian Medical Center가 랜섬웨어에 감염되어 며칠 동안 모든 데이터가 잠긴 일이 있다. 병원 측은 결국 복호화키를 얻어 데이터를 복구하기 위해 17천 달러에 달하는 합의금을 지불했다. 가래로 막기 전에 호미로 막을 수 있는 일이 있듯 랜섬웨어와 같은 맬웨어의 피해자가 되지 않거나 적어도 돈을 들이지 않고도 피해를 복구할 수 있기 위해 실천할 수 있는 일들이 적지 않다.

 

이러한 대책을 기업 단위로 적용할 경우 비용이 만만치 않으나 데이터 상실에 따른 업무중단, 평판저하, 피해수습에 대한 비용 등을 고려한다면 이러한 사고의 복구는 방지에 비해 훨씬 많은 비용이 소모된다. 다음과 같은 대책을 통해 위에 소개한 사고를 막을 수 있다.

 

방지대책

 

이하의 대책은 완벽히 그리고 예외 없이 적용된다면 랜섬웨어를 비롯한 온갖 종류의 맬웨어를 막을 수 있다.

모든 시스템에서 안티맬웨어 소프트웨어 구동

이메일첨부물 전량검사

외부미디어 전량검사

웹필터링 소프트웨어로 인터넷 다운로드 전량검사

업무용 컴퓨터 사용자의 관리자권한 사용금지

모든 시스템의 패치 최신상태 상시유지

 

<참고: 랜섬웨어 차단 유료안티바이러스 >


복구대책

 

랜섬웨어 방지 노력에도 불구하고 랜섬웨어 피해자가 되는 사태가 발생할 경우 합의금을 지불하지 않고 피해를 복구할 수 있는 방법은 다음과 같다.

모든 중요데이터를 주기적으로 백업

백업을 오프라인으로 유지하고 주요시스템과 격리

 

만약 위와 같이 백업을 유지할 경우 해당 백업에 대해서는 어떤 맬웨어도 접근할 수 없다. 시스템 포맷을 통해 모든 위협을 제거하고 시스템 재설치와 패치를 진행한 다음 백업으로부터 데이터를 복구하여 업무를 재가동할 수 있으며 이 과정은 조용하면서도 신속히 이루어질 수 있다.

 

랜섬웨어 피해자가 될 경우 돈을 지불해야만 하는가. 사실 이는 애초에 고민할 필요가 없어야 될 문제다. 사용자 자신과 시스템에 대한 맬웨어위협 차단 그리고 외부 및 오프라인 백업 등 적절한 복구/업무계속성유지 계획의 보유는 Hollywood Prebysterian Medical Center의 사례처럼 돈을 날릴 수밖에 없는 상황이 생길 위험을 최소화할 수 있는 기술적 보험이라고 할 수 있다.

 

 

 

Melanie Hart, Ransomware reloaded: How to keep your company safe, 3. 15. 2016.

http://www.gfi.com/blog/ransomware-reloaded-how-to-keep-your-company-safe/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

'IT, 보안 소식&팁' 카테고리의 다른 글

랜섬웨어 감염시 선택지는?  (0) 2016.04.26
랜섬웨어 방지요령  (0) 2016.04.26
랜섬웨어 재조명: 방지대책은?  (0) 2016.04.05
간편한 랜섬웨어 방지대책  (0) 2016.04.05
미국정부 vs 애플  (0) 2016.03.16
사물인터넷의 보안문제  (0) 2016.01.07

COMMENT : 0 TRACKBACK : 0

날짜

2016.04.05 17:18

위로가기