endpoint에 해당하는글 2



게시일: 2016-08-02 l 작성자: Trend Micro

트렌드마이크로에서 제안하는 다층보안설계 중 엔드포인트 솔루션에 대해 설명하고자 합니다.

이 블로그는 네 파트로 이루어진 시리즈의 두 번째 파트로써, 랜섬웨어가 어떤 기술을 활용하여 엔드유저와 기업에 영향을 미치는 지에 대하여 설명합니다. 위협을 최소화하기 위한 다층보안 설계는 게이트웨이 보안 및 엔드포인트, 네트워크, 그리고 서버에 각각 알맞은 보안을 도입해야 한다는 것을 의미합니다.

게이트웨이 보안을 다룬 트렌드마이크로의 블로그를 보시려면, 하단을 클릭하세요:

FBI는 2016년 랜섬웨어 피해가 자그마치 10억 달러 이상 될 것이라 추정했습니다. 랜섬웨어 비즈니스는 급속히 팽창하고 있으며, 사이버 범죄자들은 피해자의 비즈니스 형태 및 규모와 상관없이 끊임없는 공격을 가하고 있습니다.

일반적으로 중소기업에서는 체계적인 보안 솔루션을 유지할 비용적 여유가 없기 때문에 랜섬웨어 보안 등에 큰 투자를 하고 있지 않습니다. 조사에 따르면, 미국 중소기업의 약 65%는 랜섬웨어에 대비한 보안 솔루션을 도입하지 않은 것으로 밝혀졌습니다. 또한, 다층보안설계에 따른 보안 시스템을 구축하고 있다고 하더라도, 파트너사, 벤더, 직원 등의 신뢰할 만한 출처로부터 오는 위협으로 인해 기업 네트워크가 침해 당할 위험이 있습니다. 이러한 상황을 살펴보았을 때, 동작 모니터링과 애플리케이션 컨트롤 기능이 가능한 엔드포인트 솔루션은 기업 랜섬웨어 방어의 최전방이라고 할 수 있습니다.

그림1. 랜섬웨어 공격 종류와 전용 솔루션


동작 모니터링 기능의 이해

트렌드마이크로 오피스스캔 및 Worry-Free 비즈니스 시큐리티와 같은 솔루션에서 제공하는 동작 모니터링 기능은 “이례적”이거나 정상적이지 않은 시스템의 동작 또는 변경을 추적하고 차단합니다. 해당 기능은 암호화, 작업 변경, 파일 드롭, C&C서버 커뮤니케이션 등에 기반하여 랜섬웨어와 크립토랜섬웨어 변종의 알려진 또는 알려지지 않은 공격의 실행을 차단할 수 있습니다. 또한 정보 탈취 랜섬웨어인 RAA 랜섬웨어와 MIRCOP 변종을 차단할 수 있습니다. 동작 모니터링 툴은 시스템 내 저장된 특정 파일을 암호화 하려는 모든 프로그램을 종료시킬 수 있습니다. 실행되는 프로그램이 화이트 리스트에 포함되지 않거나, 랜섬웨어 공격과 관련된 것으로 판정되면, 해당 프로세스의 실행을 즉시 중지합니다.

그림 2. 랜섬웨어가 암호화하는 파일 종류가 나열된 스크린샷


이메일 스캐너를 우회하기 위해 스크립트로 디자인된 Locky, TeslaCrypt 4.0(탐지명 CRYPTESLA), CryptoWall 3.0(탐지명 CRYPTWALL)r과 같은 랜섬웨어 또한 동작 모니터링으로 탐지가 가능합니다. 당사의 동작 모니터링 기술은 VBScript를 사용하는 랜섬웨어(Cerber 및 Locky 변종)와 Jscript 랜섬웨어(RAA)를 탐지 및 차단합니다.

섀도우 복사본을 삭제하는 랜섬웨어 그룹도 존재하는데, 이러한 행동이 특정 OS에서는 일반적인 프로세스로 분류되기 때문에 곧바로 차단되지 않는 경우도 있습니다. 하지만 동작 모니터링 기술로 랜섬웨어 감염의 가능성이 있다고 판단할 수 있습니다.

랜섬웨어 변종 중에는 정식 프로그램, 서비스, 프레임워크 등을 악용하여 시스템이 악성코드를 감치 및 제거하는 것을 우회하기도 한다. 예시로, PowerWare는 윈도우 PowerShell을 악용한다. 동작 모니터링 툴은 정식 프로그램, 서비스, 프레임워크가 악성으로 활용되거나, 정식 프로그램이 암호화에 이용될 경우와 같은 특정 이벤트를 감시하고 방지할 수 있습니다.

그림 3. PowerShell을 악용하는 PowerWare 코드


일반 사용자들의 경우, 랜섬웨어 악성코드가 일반적인 정식 프로그램에 의해 실행될 경우 크게 주의 깊게 살펴보지 않을 수도 있습니다. 하지만, 동작 모니터링 툴이 있다면, 랜섬웨어의 침투 경로와 후킹 등과 같은 행위를 저지하고 차단할 수 있습니다.


애플리케이션 컨트롤 기능의 이해

동작 모니터링 이외에 엔드포인트 솔루션에서 실행할 수 있는 좋은 대응 기능은 바로 애플리케이션 컨트롤 입니다. 화이트 리스팅(White Listing)이라고도 알려진 해당 기능은, 랜섬웨어의 실행을 방지하여 백업 파괴 등의 더 큰 피해를 방지할 수 있는 기능입니다. 애플리케이션 컨트롤은 비악성 경로, 파일, 프로세스만이 시스템에서 실행하도록 합니다.

그림 4. 트렌드마이크로의 애플리케이션 컨트롤이 JIGSAW 실행 방지


IT 관리자들은 애플리케이션 컨트롤을 통해 시스템에서 실행할 수 있는 프로그램, 파일, 프로세스를 결정할 수 있습니다. 엔드포인트에서 카테고리, 벤더, 앱, 또는 기타 역학적 평가 가치들로 목록을 만들 수 있습니다. 앱이 허용될 경우, 해당 앱의 업그레이드 버전 또는 업데이트 버전도 사용할 수 있습니다. IT 관리자는 시스템 파일, 데스트탑 앱, 모바일 앱 등의 안전 앱 디폴트 목록을 사용할 수 있다.

앱을 화이트 리스팅 하는 것 이외에도 애플리케이션 컨트롤은 특정 파일 경로에서 프로그램, 파일, 프로세스가 실행하는 것을 방지합니다. IT 관리자들은 특정 디렉토리에 관한 블로킹 룰(Blocking Rule)을 생성할 수 있습니다. 랜섬웨어 변종 중에는 일반적으로 %Temp% 또는 %User Temp% 디렉토리에 복사본을 다운로드 합니다. 해당 경로는 일반적으로 대다수의 악성코드가 사용하는 것입니다. JIGSAW와 같은 랜섬웨어는 %Application Data% 과 %AppDataLocal%의 파일 경로를 사용합니다. IT 관리자들은 특정 변종이 일반적으로 사용하는 경로를 알아내서, 해당에 대한 블로킹 룰을 생성할 수 있습니다.

그림 5. 트렌드마이크로 애플리케이션 컨트롤이 차단할 수 있는 특정 경로


트렌드마이크로의 대책

랜섬웨어가 시스템에 침투할 수 있는 방법은 무궁무진하기 때문에, 조직에서는 다층의 방어막으로 엔드포인트, 네트워크와 서버를 지켜야 합니다. 동작 모니터링과 애플리케이션 컨트롤은 랜섬웨어가 게이트웨이를 통과했을 때를 대비한 부가적인 방어막입니다. 위협이 엔드포인트까지 도달하여 기업의 중요 데이터를 포함한 기업 파일을 암호화하기 시작하면 복구가 어렵습니다. 랜섬웨어가 섀도우 복사본을 삭제하거나 암호화보다 더 악의적인 행동을 하게 된다면, 기업 입장에서는 돈을 내고 복구하는 방법 밖엔는 없습니다.

트렌드마이크로 Deep Discovery Email Inspector는 랜섬웨어가 포함된 스피어피싱 이메일을 탐지하여 사용자 수신함에 도달하기 전 사전에 예방할 수 있습니다. 맞춤형 샌드박스 기술로 악성 마크로를 사용하는 랜섬웨어 또한 발견이 가능합니다.

네트워크 보호를 위한 트렌드마이크로 Deep Discovery Inspector는 맞춤형 샌드박스를 이용하여 네트웨크 레벨에서 랜섬웨어를 발견합니다. 이 솔루션은 암호화 행위, 백업 자료의 변경 및 다량의 파일 변경 등을 탐지합니다. 또한 스크립트 애뮬레이션 (script emulation), 제로 데이 공격, 랜섬웨어에 흔히 발견되는 비밀번호가 설정된 악성파일 등을 찾아낼 수 있습니다. 트렌드마이크로 Deep Security는 랜섬웨어가 익스플로잇 킷을 악용하여 시스템과 서버의 취약점을 통한 침투를 방지하여 물리/가상/클라우드 형태로 존재하는 기업 서버에 접근하는 것을 방지합니다.

중소기업의 경우, 트렌드마이크로 Worry-Free 비즈니스 시큐리티 프로그램을 활용하여 랜섬웨어의 탐지 및 차단을 위한 동작 모니터링과 웹 평판 기술을 제공합니다.

트렌드마이크로에서 제공하는 무료 툴인, 트렌드마이크로 화면잠금형 랜섬웨어 툴과 크립토 랜섬웨어 툴을 활용하여 랜섬웨어 감염의 피해를 복구할 수 있습니다.

원문: How Endpoint Solutions Can Protect Businesses Against Ransomware




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


엔드포인트 솔루션을 활용하여 랜섬웨어의 위협으로부터 기업 데이터 보호하기

https://www.trendmicro.co.kr/kr/blog/how-endpoint-solutions-can-protect-businesses-against-ransomware/index.html




참고링크 


<유료안티바이러스 제품비교>


COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.09 14:21

 

펄잼, 제리스프링거, 울펜슈타인 3D가 있던 90년대를 기억하는 사람이 있는가.

 

파리 오를리 국제공항은 프랑스에서 승객운송량 2위를 자랑하는 공항으로 윈도 3.1로 구동되는 컴퓨터가 악천후로 중단되는 바람에 공항운영을 멈출 수밖에 없었던 사건으로 인해 화제가 된 바 있다. 분명 윈도 3.1이라고 했다. 90년대의 향수를 맛보는 게 나쁜 건 아니고 1인칭 슈팅게임 인기몰이의 시초가 된 울펜슈타인 3D를 다시 보는 것도 재밌는 일이지만 윈도 31로 돌아가는 게 과연 좋은 생각인지는 의문스럽다.

 

위 해프닝에서 어떤 보안관련문제가 발생했다는 징후는 없었으나 구형 운영체제의 사용은 분명 생각할 구석이 있는 문제다. 오늘날의 기술사회에서 20년이 넘은 운영체제를 구동하는 건 다행히도 흔한 일은 아니며 시스템 업그레이드는 언제나 최우선 과제다. 하지만 여러 이유로 인해 구형 운영체제의 사용은 경우에 따라 필요할 때가 있다. 당장 윈도 XP를 돌리는 컴퓨터만 해도 주변에서 적지 않게 찾을 수 있다. 따라서 그렇게 구형 운영체제를 써야 할 경우에 대비할 필요가 있다.

 

만약 구형 운영체제에서 아직 벗어지나 못했거나 레거시 혹은 홈 어플리케이션을 지원하기 위해 자바나 어도비 등 인기 어플리케이션의 구형 버전을 사용할 수밖에 없을 경우 안전을 위해 다음과 같은 팁을 생각할 수 있다.

 


맞춤형 맬웨어분석 툴을 통해 식별된 위협에 대한 노출을 모니터링

 

사용자는 ThreatAnalyzer(SWSandox)와 같은 맬웨어분석 솔루션으로 여러 샌드박스 클라이언트를 모든 종류의 윈도시스템 설정에 유연하게 맞출 수 있다.

 


맬웨어샘플을 실행하고 나서 몇 분 안에 네트워크에서 정확히

어떤 시스템설정이 어떤 위협에 취약한지 확인할 수 있다.

 


ThreatAnalyzer를 통해 전체 어플리케이션 스택(가상 및 자체 환경에서의 상이한 운영체제, 서비스팩, 3자 어플리케이션, 커스텀 어플리케이션 포함)을 구현하고 악성코드를 실행하오 맬웨어가 각 시스템환경에서 정확히 어떻게 행동하는지 볼 수 있다. 맬웨어샘플을 실행하고 나서 몇 분 안에 네트워크에서 정확히 어떤 시스템설정이 어떤 위협에 취약한지 확인할 수 있으며 이를 통해 즉시 시스템격리 및 방어대책적용 조치를 통해 감염을 막을 수 있다.

 


상시 패치관리 유지

 

새로운 맬웨어가 위험할 정도로 계속 생겨나고 있으며 제3자 어플리케이션의 취약점 악용을 통핸 위협침투시도는 날로 늘어가고 있다. 하지만 더욱 놀라운 점은 패치가 배포됨에도 제때 업데이트를 하지 않는 사람들이 아주 많다는 사실이며 그 결과는 아주 좋지 못하다. 버라이존이 발행한 2015년도 데이터탈취 조사보고서(Verizon 2015 Data Breach Investigation Report)에 따르면 악용된 취약점의 99.9%는 정보보호취약점표준(Common Vulnerabilities and Exposures, CVE)이 발행된 이후 1년이 넘은 시점에서 발생했다.

 

이는 취약점이 악용되기 전에 최신 패치에 접근할 수 있었던 시간이 충분했음을 의미한다. 자바과 어도비와 같은 어플리케이션에 대한 꾸준한 업데이트 전략을 개발할 필요가 있다. 업데이트 문제 해결을 윟 패치관리 기능을 갖춘 엔드포인트 보안솔루션의 사용을 고려할 수 있다.

 


새로운 운영체제로의 마이그레이션은 쉬운 일이 아니며 때에 따라서는 기존 운영체제를 계속 사용해야 할 수도 있다(윈도 3.1은 좀 심한 경우긴 하지만). 만약 구형 운영체제에 발이 묶일 수밖에 없다면 고급 맬웨어 방어대책에 투자함으로써 시스템에서 어느 부분이 취약한지 확인하고 취약한 소프트웨어 어플리케이션과 운영체제로 인한 사이버공격을 방지지해야 한다. 이를 게을리하여 시스템중단이나 데이터탈취를 감수할 수는 없는 일이다.



 

Paris Airport’s Windows 3.1 System Failure Got Us Thinking

ThreatTrack Security CSO Blog, 11. 24. 2015.

http://www.threattracksecurity.com/blogs/cso/paris-airports-windows-3-1-system-failure-got-us-thinking-about-malware-analysis/

 

번역: madfox

COMMENT : 0 TRACKBACK : 0

날짜

2015.12.04 19:01

위로가기