kaspersky에 해당하는글 10


카스퍼스키가 최근 어도비플래시를 중심으로 한 취약점악용을 막을 수 있는 기술특허를 확보했다. 어도비플래시는 2015년 가장 많이 악용되는 프로그램으로 선정되는 등 사이버보안 측면에서 위험한 프로그램으로 악명이 높다. 자바, 어도비리더, 마이크로소프트 오피스 및 실버라이트 등 다른 프로그램도 취약점악용이 많지만 플래시의 경우 널리 사용되고 취약점의 영향이 중대할 뿐 아니라 사용자의 의한 업데이트가 소극적이라는 점으로 인해 압도적으로 높은 위험성을 가지고 있다.


컴퓨터를 감염시키는 과정은 크게 두 가지가 있다. 먼저 사용자의 직접적인 행동이 개입되는 과정으로 실행파일 다운로드 및 실행, 악성매크로가 포함된 문서 열기, 악성링크 클릭 등이 있다. 한편  범죄자 측에서 운영체제나 프로그램 등의 취약점을 발견하고 악용하는 방식의 경우에는 별도로 사용자의 행동이 요구되지 않는다. 예를 들어 웹브라우저에 취약점이 있다면 악성웹페이지를 열기만 해도 해킹이 가능해진다. 컴퓨터를 감염시키기 가장 쉬운 경로는 인터넷이며 따라서 웹사이트를 통한 취약점악용이 특히 인기를 끌도 있다. 이 경우 취약점악용은 웹브라우저에 국한되지 않으며 웹사이트 멀티미디어 재생에 필요한 자바 또는 어도비플래시 구성요소도 취약점악용의 대상이 되기도 한다.

플래시 영상을 프로그램으로 열리는 파일이 아닌 프로그램 자체로 이해될 수 있다. 플래시 영상은 웹사이트의 다른 컨텐츠와 합께 다운로드되지만 어도비플래시 구성요소를 통해 독자적으로 실행된다. 이 때 어도비플래시는 안전을 위해 자체적인 가상환경에서 이들 프로그램을 실행하며 이를 통해 인터넷에서 받은 코드가 컴퓨터에서 어떤 행동을 개시하려고 해도 파일이나 문서 또는 중요 운영체제 구성요소에 접근할 수 없다.


그러나 이는 이론적으로만 타당하며 실제로는 플래시 취약점악용을 통해 플래시의 가상화 보안대책도 우회될 수 있다. 아울러 플래시 가상환경은 그 속성상 공격자의 의도를 시스템으로부터 숨길 수 있는 수단이 되기도 한다. 특히 해커가 피해자별로 고유한 파일이름을 지정하여 제각기 다른 악성코드 파일을 생성할 수도 있다. 이는 대규모 파일목록에 의존하여 맬웨어를 탐지하는 기존 안티바이러스에게 문제가 된다. 수백만에 달하는 취약점악용은 그 기본적인 방식은 똑같지만 보안솔루션 입장에서는 모두 다르게 인식되기 때문이다. 또한 어도비플래시 프로그램은 프로그래밍 언어 3종으로 제작될 수 있으며 이로 인해 정상적인 플래시 컨텐츠로부터 악성컨텐츠를 탐지해 내는 과정이 더욱 복잡해질 수 있다.


결국 파일이름 표시의 문제도 있고 가상환경을 통해서도 안전을 담보할 수 없기 때문에 보안커뮤니티에서는 근본적 문제해결에 대한 논의가 한동안 정체된 상태였다. 관건은 악성코드를 실행하기 전에 그 속성을 파악하는 방법이다.  이론적으로는 어도비플래시에 코드를 전달하기 전에 별도로 가상환경을 구동할 수도 있으나 이 방법은 상시로 사용하기에는 자원도 많이 소요되고 너무 복잡하다.


카스퍼스키 연구진 Anton Ivanov와 Alexander Liskin이 고안한 신기술은 의심코드에 대한 에뮬레이션을 토대로 하고 있으며 작은 차이점을 가진 유사 오브젝트 다수를 훨씬 빠르게 분석할 수 있다. 연구진은 가상스택머신(virtual stack machine) 접근방식을 채택하여 코드를 직접 실행하지 않고도 그에 대한 정보를 수집할 수 있는 방식을 구현했다.


악성 플래시 오브젝트는 굳이 실행되지 않더라도 본래 속성을 밝혀낼 수 있다. 카스퍼스키 신기술을 적용한다면 맬웨어 제작자가 개별 코드에 변경을 가했다 해도 원래 기획된 악성코드의  속성을 파헤칠 수 있다. 결국 플래시 취약점악용을 파악할 경우 이와 동일한 수법을 사용하는 모든 맬웨어를 자동 차단할 수 있다. 이 신기술을 카스퍼스키 솔루션에 적용한 결과 이들 위협에 대한 탐지율이 두 배 가까이 상승했다. 이 정도의 탐지율 상승은 다른 안티바이러스에서는 목격하기 힘든 수준이다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Marvin the Robot, Disarming Flash exploits, 8. 4. 2016.

https://usblog.kaspersky.com/flash-exploit-patent/7483/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.08.09 14:50


바이러스 등 악성코드가 컴퓨터 하드웨어에 물리적인 손상을 가할 수 있는가. 이는 정보보안 분야에서 가장 널리 퍼진 동시에 터무니없다고 여겨지는 미신으로 이러한 이중적 속성으로 인해 오래도록 지속되고 있다. 20세기 후반에는 바이러스로 인해 CRT 모니터에 잘못된 신호가 전송되어 컴퓨터의 하드웨어가 구성요소가 타 버렸다든지 또는 맬웨어로 인해 하드디스크 드라이브가 격하게 진동하여 드라이브가 결국 파괴됐다든지 아니면 플로피 드라이브에 오버클럭이 걸려 과열이 발생했다든지 하는 식의 이야기가 퍼졌던 적이 있다. 이런 미신들은 안티바이러스 업체들에 의해 해체됐다. 물론 이들 중 몇몇의 경우 이론적으로는 나름 일리가 없진 않으나 컴퓨터에 내장된 보호기능으로 인해 이러한 사고는 발생할 여지가 없다.


하지만 하드웨어를 물리적으로 손상시키는 경우에 준하는 사례도 없진 않으며 그 사례로 1999년의 이른바 체르노빌 악성코드로 알려진 Win95.CIH 바이러스를 생각할 수 있다. Win95.CIH는 수천 대의 기기를 감염시켰으며 하드드라이브와 마더보드 BIOS 칩의 데이터를 손상시켰으며 이에 따라 일부 감염 기기들은 부팅 프로그램 손상으로 인해 작동 자체가 불가능해졌다. 이는 결국 BIOS 칩을 교체하고 데이터를 다시 입력해야 하는 결과로 이어지기도 했다. 사실 이 사례는 컴퓨터에 대한 물리적 타격은 아니다. 이러한 감염이 발생한 경우 마더보드는 몇 차례 조작을 가하고 나면 다시 사용 가능한 상태로 되돌릴 수 있다. 물론 이 문제는 가정에서 간단히 해결할 수 있는 수준은 아니며 별도의 특수 장비를 필요로 한다. 그렇지만 오늘날에는 문제가 훨씬 복잡한데 그 이유는 다음과 같다.


우선 오늘날 모든 독립 하드웨어는 재작성 가능한 마이크로프로그램과 함께 제작되며 이러한 프로그램은 둘 이상인 경우도 있다. 이들 마이크로프로그램은 수 년에 걸쳐 진화하여 오늘날에는 상당히 복잡한 소프트웨어가 됐으며 이는 결과적으로 공격가능성을 발생시켰다. 이 때 공격이 성공한다면 그 결과는 복구 불가능한 경우도 있다. 카스퍼스키 연구진은 Equation 사이버스파이 캠페인을 분석하는 과정에서 다양한 하드드라이브 모델의 마이크로프로그램 코드에 주입된 스파이웨어 모듈을 조사한 바 있다. 이들 맬웨어는 감염대상 디스크를 완전히 장악하는 데 사용됐으며 포맷으로도 제거 불가능했다.


실제로 펌웨어는 일반적인 툴로는 변경이 어려우며 그 자체로 업데이트하는 속성을 가지고 있다. 펌웨어를 본래 위치에서 변경시키려면 상당한 노력이 필요하다. 물론 특수 장비가 구비된 상태라면 어떤 마이크로프로그램이든 변경할 수 있지만 실제로는 이 정도 수준으로 드라이브라면 비용 측면에서 그냥 폐기하는 게 합리적이다. 이를 과연 물리적 피해로 볼 수 있을지에 대해서는 논란이 있을 수 있지만 하드웨어기반 취약점에 대한 사례가 계속하여 발생하고 있음은 분명하다.


그리고 '컴퓨터'의 정의 자체도 이제는 애매해졌다. 예컨대 현대 자동차는 어떤 면에서는 컴퓨터에 해당하며 본질적으로 바퀴 달린 커넥티드 컴퓨터라고 할 수 있다. 따라서 원격 해킹이나 침투에 노출될 수 있으며 실제로 Cherokee Jeep 차량에 대한 원격 해킹과정을 공개 시연된 바 있다. 물론 이 해킹에 어떤 바이러스가 사용되지는 않았으나 이는 자동차가 도로를 벗어나도록 하는 해킹 공격도 가능함을 의미한다. 이 또한 어떻게 보면 물리적 타격이라고 할 수 있겠다.


결국 바이러스가 컴퓨터 하드웨어를 물리적으로 손상시킬 수 있는지에 대한 대답은 '그렇다'라고 할 수 있겠으나 이는 '손상', '바이러스', '컴퓨터' 등의 용어를 어떻게 정의하느냐에 따라 달라지는 문제라고 할 수 있겠다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Vladislav Biryukov, Fact or Fiction: can a virus actually damage PC hardware?, 9. 15. 2015.

https://usblog.kaspersky.com/fact-or-fiction-virus-damaging-hardware/5976/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>


COMMENT : 0 TRACKBACK : 0

날짜

2016.08.04 16:29




근래 사이버보안에서 화제가 되고 있는 랜섬웨어는 전염병 수준으로 창궐하고 있으며 금방 사라지기 어려운 위협이다. 랜섬웨어의 역사는 크게 데이터 암호화 전후로 나눌 수 있다. 오늘날에는 데이터를 암호화하는 유형인 cryptor가 주류를 이루고 있지만 이에 앞서 먼저 등장한 건 blocker 랜섬웨어였다. blocker 랜섬웨어는 운영체제나 브라우저 접근을 차단하고 이를 복구하는 대가로 돈을 요구한다. 당시 금전지급은 주로 기부 등에 사용되는 문자메시지 코드나 전자지갑을 통한 송금 등으로 이루어졌다. 보안전문가와 수사기관 측에서는 이러한 지급과정에 착안하여 공격자를 적발해 냈다. 전자결제 관련 규제가 진화함에 따라 위험부담 가중으로 랜섬웨어의 수익성도 떨어졌으며 용의자 적발 또한 늘어났다.


그러나 최근 몇 년 동안 비트코인이 급부상하고 사이버범죄의 주목을 받기 시작하면서 상황은 달라졌다. 비트코인은 전자자산이자 추적이나 규제가 불가능한 결제시스템으로 범죄자에게는 아주 매력적인 수단이다. 또한 랜섬웨어의 방식 자체도 브라우저나 운영체제 접근을 차단하는 대신 데이터를 암호화하는 방향으로 바뀌었다. 운영체제는 사용할 수 없게 돼도 다시 설치하면 그만이지만 개인 파일은 고유한 내용을 가지고 있기 때문에 대체 불가능하다. 공격자는 이를 악용하여 거액의 합의금을 요구할 수 있으며 개인에 대해서는 수백 달러 그리고 기업에 대해서는 수천 달러에 달하는 돈을 뜯어낼 수 있게 됐다. 이러한 랜섬웨서 세대교체는 오래 걸리지 않았으며 2015년 말 랜섬웨어 공격 건수는 눈덩이처럼 불어났다.


카스퍼스키 측 분석에 따르면 랜섬웨어 공격은 2014-2015년 13만 건에서 2015-2016년 72만 건으로 1년 새 무려 5배나 증가했다. 랜섬웨어 공격이 가장 많이 발생하는 국가는 러시아, 카자흐스탄, 이탈리아, 독일, 베트남, 알제리, 브라질, 우크라이나, 미국이다. 하지만 동구권이나 동남아 그리고 남미 등지의 랜섬웨어는 비교적 구형이고 위험성도 떨어지는 blocker 랜섬웨어 비중이 크다. 반면 미국은 cryptor 랜섬웨어 공격이 전체의 40%에 달하며 이탈리아와 독일의 경우 사실상 cryptor가 랜섬웨어와 동의어로 취급될 정도다.



2015-2016년 대세인 랜섬웨어 트로이목마는Teslacrypt, CTB-Locker, Scatter, Cryakl이다. 특히 Teslacrypt의 경우 전체 공격의 절반 가까이를 차지하며 이들 4개 랜섬웨어는 전체 랜섬웨어의 80%에 달한다. TeslaCrypt와 Cryakl의 경우 카스퍼스키 솔루션으로 복호화 가능하다.



랜섬웨어는 초기에는 주로 개인 사용자를 노렸으나 암호화 랜섬웨어가 대세가 된 이후로는 기업에 대한 공격이 늘어났다는 사실도 주목할 만하다. 기업사용자에 대한 공격은 2014-2015년 6.8%에서 2015-2016년 13.13%로 증가했다.





랜섬웨어 피해방지요령


1. 주기적으로 백업


2. 카스퍼스키 솔루션 등 강력한 보안솔루션 사용


<참고: 카스퍼스키 안티바이러스 상세정보>


3. 주기적으로 소프트웨어 업데이트


4. 최신 보안소식 확인


5. 랜섬웨어 감염이 발생해도 섣불리 돈을 먼저 지불하지 않고 아래와 같은 방법을 시도한다.

(1) blocker 랜섬웨어의 경우 카스퍼스키 WindowsUnlocker 툴 사용

(2) cryptor 랜섬웨어의 경우 NoRansom.kaspersky.com 통해 해당 랜섬웨어에 대한 복호화가 가능한지 확인




Alex Drozhzhin, Ransomware’s history and evolution in facts and figures, 6. 22. 2016.

https://usblog.kaspersky.com/ransomware-blocker-to-cryptor/7327/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.08.03 14:26



ATM 염탐(skimming)이란 ATM에 각종 장치를 설치하여 카드정보를 탈취하는 범죄수법을 의미한다. 이를 방지하기 위해서는 ATM에 어떤 수상한 물체가 부착되지 않았는지 확인해야 한다. 그런데 이제는 맨눈으로 전혀 알아볼 수 없는 수법을 통한 ATM 정보탈취가 가능해지고 있다.


카스퍼스키 글로벌 연구분석팀과 해킹테스트팀이 최근 ATM Infector라는 사이버범죄그룹의 사례를 통해 밝혀낸 내용에 따르면 ATM에 별도의 기기를 부착하지 않고 ATM 자체를 정보탈취수단으로 탈바꿈시킬 수 있다. Skimer라는 이름의 맬웨어를 ATM에 심으면 ATM 자체 카드판독기와 핀 패드를 통해 은행카드정보를 탈취할 수 있게 된다. 이 경우 카드판독기와 핀 패드를 제어하는 데서 나아가 현금지급장치까지 제어할 수 있으며 따라서 카드정보 탈취에 그치지 않고 실제로 현금을 인출하기까지 할 수 있다. 이는 일종의 이중수법으로 현금 인출의 경우 쉽게 의심을 사고 자칫 대규모 수사로 이어질 수 있기 때문에 평소에는 맬웨어만 조용히 작동시키면서 카드정보를 탈취하고 현금 인출은 향후 선택방안으로 남겨 두는 것이다.


ATM 보안은 물리적 측면에서는 상당히 강력하지만 사이버공간에서는 취약점이 적지 않다. 이번 사례의 경우 ATM 감염은 물리적 접속 또는 은행 내부네트워크를 통해 이루어졌다. Skimer 맬웨어가 ATM에 설치되고 컴퓨터 부분을 감염시키면 공격자가 ATM을 제어할 수 있게 되며 기기 자체를 정보탈취수단으로 사용할 수 있다. Skimer 맬웨어는 공격자가 기기를 제어하기 전까지 정숙 상태를 유지한다. 공격자가 맬웨어를 다시 작동시키려면 마그네틱 부위에 정해진 정보가 기록된 카드를 사용하고 Skmier는 이 정보를 읽어들여 하드코딩된 명령을 실행하거나 카드가 작동시킨 메뉴를 통해 명령에 응답하게 된다. 공격자가 카드를 꺼내고 나서 60초 내에 핀 패드를 통해 정해진 키를 입력하면 화면에 Skimer의 그래픽인터페이스를 표시할 수 있다. 이를 통해 공격자는 21종의 명령을 실행할 수 있으며 그 내용은 다음과 같다.

• 현금인출(카드별 금액 지정)

• 카드정보 수집

• 자체 삭제

• 삽입카드에 내장된 최신코드 통한 자체 업데이트

• 카드 및 핀 데이터를 삽입카드에 파일로 저장

• 수집된 카드정보를 ATM 영수증에 출력



방지요령


카스퍼스키 연구진은 위 맬웨어의 활동을 적발하기 위해 은행들이 내부 시스템에서 어떤 파일을 검색해야 되는지에 대한 정보를 제공했다. https://securelist.com/blog/research/74772/atm-infector/


한편 ATM Infector 활동경과에 대한 상세정보는 수사기관, CERT, 금융기관, 카스퍼스키 고객진에 대해 비공개로 제공됐다.


ATM Infector는 ATM의 컴퓨터를 직접 검사해 보기 전에는 감염 여부를 전혀 알 수 없다는 점에서 일반인이 보기에도 섬뜩한 면이 있다. 은행은 대체로 PUN 입력내역으로 정상적인 카드소유자의 거래실행이 입증된다고 보고 핀 입력이 잘못된 경우에도 이를 고객 잘못으로 판단하는 경향이 있으며 이 경우 은행의 판단결과를 뒤집기는 어려우며 돈을 돌려받을 가능성도 높지 않다. 결국 ATM Infector의 피해를 완전히 막기는 어렵지만 다음 요령을 통해 적어도 피애금액을 크게 줄일 수는 있다.


1. 감염된 ATM을 완벽히 식별해 낼 순 없지만 적어도 ATM 사용 위치를 고려할 수는 있다. 은행지점에 위치한 ATM의 경우 감염이 어렵고 은행 기술팀에 의한 조사빈도도 높기 때문에 상대적으로 안전하다고 할 수 있다.


2. 카드 입출금내역을 주기적으로 확인하는 게 좋으며 SMS 알림이 가장 좋은 방법이다.


3. 실행한 적 없는 거래내역이 확인된다면 이를 은행에 알리고 해당 카드를 즉시 정지시켜야 한다. 대응이 신속할수록 피해액을 최대한 줄일 수 있다.




Alex Drozhzhin, Invisible skimmers at the ATMs, 5. 17. 2016.

https://usblog.kaspersky.com/invisible-skimmer-at-atm/7151/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>


COMMENT : 0 TRACKBACK : 0

날짜

2016.08.03 14:21



현금자동지급기(automated teller machine, ATM)는 줄곧 범죄자들의 공격대상이었으며 이제는 옛날처럼 폭약이나 절삭기를 사용하는 방법이 아닌 해킹의 표적이 되고 있다. 카스퍼스키 해킹테스트 전문가 Olga Kochetova는 2016 SAS 컨퍼런스에서 'Malware and non-malware ways for ATM jackpotting'이라는 발표를 통해 ATM의 해킹 취약성을 설명했으며 그 내용은 다음과 같다.


1. ATM은 기본적으로 컴퓨터에 해당하며 산업용 컨트롤러 등 각종 하위시스템을 포함하기는 하지만 중앙시스템은 일반적으로 볼 수 있는 PC로 구성된다.


2. 이러한 중앙 PC는 윈도XP와 같은 구형 운영체제를 사용할 가능성이 대단히 높다. 윈도XP는 마이크로소프트 지원이 중단된 상태기 때문에 지원종료 이후 발견되는 취약점은 향후 영구히 보완될 수 없는 제로데이 취약점이 되며 이러한 취약점은 상당히 많을 수 있다.



3. ATM 시스템을 구동하는 소프트웨어에도 취약점이 다수 존재할 가능성이 높다. 이러한 취약 소프트웨어는 9000여 종의 버그가 있다고 알려진 구형 플래시 플레이어에소부터 원격지원 툴까지 아주 다양하다.




4. ATM 제조자 측에서는 ATM이 언제나 정상적인 여건에서 작동되며 달리 돌발상황은 없다고 가정하는 경향이 있다. 따라서 소프트웨어 무결성 제어, 안티바이러스 솔루션, 현금지급명령을 내리는 어플리케이션에 대한 인증 등 보안대책도 전무하다.



5. ATM의 현금보관 및 현금지급 부분에 대해서는 안전에 많은 주의가 기울여지는 반면 컴퓨터 부분은 어렵지 않게 접근 가능하다. 컴퓨터 부분 외벽 재질은 플라스틱이나 얇은 금속이 고작이며 잠금장치 또한 안전을 담보하기에는 너무 단순하다. ATM 제조자는 돈이 들어있지 않다면 크게 안전하지 않아도 된다는 식으로 생각하는 경향이 있다.


6. ATM의 각 모듈은 COM 및 USB 포트와 같은 표준 인터페이스로 연결돼 있다. 그런데 이들 인터페이스는 외부에서 접속 가능한 경우도 있으며 그렇지 않다 해도 위에서 언급한 물리적 보안의 허술함을 잊어서는 안 된다.


7, ATM은 작동원리상 반드시 네트워크에 연결돼 있어야 하며 인터넷이라는 가장 값싼 통신수단이 존재하기 때문에 ATM은 인터넷을 통해 프로세스 센터와 연결된다. 실제로 Shodan 검색엔진을 사용하면 인터넷을 통해 ATM에 접속할 수 있다.


이상의 문제를 고려한다면 ATM 범죄기회는 아주 다양하게 창출될 수 있다. 예를 들어 맬웨어를 ATM 시스템에 설치하여 돈을 빼돌릴 수 있으며 실제로 ATM에 특화된 트로이목마 사례가 종종 등장한다. 카스퍼스키는 2014년 Tyupkin이라는된이름의 ATM 악성코드를 포착한 바 있다.

ATM에서 카드 없이 현금을 인출하는 장면 https://www.youtube.com/watch?v=QZvdPM_h2o8


한편 ATM의 USB 포트에 연결 가능한 하드웨어를 사용하는 방법도 있다. 위 발표에서 Olga Kochetova와 Alexey Osipov는 와이파이 어댑터와 배터리가 부착된 싱글보드 컴퓨터 라즈베리파이(Raspberry Pi)를 통해 ATM 해킹과정을 시연했다. 인터넷을 통한 공격은 더욱 치명적일 수 있다. 해커가 가짜 프로세스센터를 구현하거나 원래 프로세스센터를 해킹한다면 물리적 접근 없이 수많은 ATM을 해킹할 수 있다. Carbanak 그룹의 10억 달러 해킹사례를 보면 은행 네트워크의 중요 PC를 장악하여 ATM으로 직접 명령을 전송할 수 있었다.

라즈베리파이 통한 ATM 해킹 https://www.youtube.com/watch?v=ksEmXuV324I


따라서 은행과 ATM 제조자는 금융 기기의 보안에 더욱 주의를 기울여야 한다. 소프트웨어와 하드웨어 양 측면에서 보안조치를 재검토하고 네트워크 인프라의 보안을 강화하는 등의 조치가 필요하다. 또한 위협에 대한 신속한 대응 그리고 수사기관 및 보안업체와 긴밀히 협조도 중요하다.




Alex Drozhzhin, 7 reasons why it’s oh so easy for bad guys to hack an ATM, 2. 17. 2016.

https://usblog.kaspersky.com/7-reasons-why-its-oh-so-easy-for-bad-guys-to-hack-an-atm/6711/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.08.03 14:16


최근 영어권과 러시아권에서 발견된 Ded Cryptor라는 랜섬웨어 트로이목마는 2비트코인(1300달러)이라는 거액을 요구하며 아직 복호화 솔루션도 존재하지 않는 상태다. Ded Cryptor에 감염된 컴퓨터의 배경화면은 아래와 같이 산타클로스와 함께 금전요구가 나오는 그림으로 바뀐다.




Ded Cryptor 랜섬웨어의 배경에는 사실 상당히 복잡한 이야기가 얽혀 있다. 터키 보안전문가 Utku Sen은 랜섬웨어를 제작하고 해당 코드를 개발자 협업채널인 GitHub에 공개했다. 이는 사이버공격자가 해당 코드를 토대로 악성코드를 직접 제작하도록 유도하고 미리 심어둔 백도어를 통해 이들의 행동양상을 이해하려는 전략이었다. Sen은 이보다 앞서 교육 및 연구 목적으로 Hidden Tear라는 이름의 랜섬웨어 프로젝트도 진행하고 있었다. 그는 이후 오프라인에서도 작동 가능한 신종 랜섬웨어를 개발했으며 이를 토대로 EDA2라는 강력한 랜섬웨어가 만들어졌다. EDA2는 Hidden Tear에 비해 개선된 비대칭 암호화방식을 채택했으며 C&C 서버와 통신하면서 서버에 전송하는 키를 암호화시킨다. 피해자에게는 아래와 같이 엽기적인 사진을 보여주기도 한다.



EDA2 소스코드 또한 GitHub에 공개됐으며 이는 많은 주목과 비판을 불러들였다. 실제로 이 소스코드는 랜섬웨어 공격에 악용될 수 있었으며 Sen 또한 이를 이해하고 있었다. 그는 자신이 공개한 랜섬웨어에 미리 백도어를 삽입해 뒀으며이를 통해 복호화 키를 수집할 수 있었다. 랜섬웨어가 작동할 경우 해당 C&C 서버의 URL을 알아내고 복호화키를 추출하여 이를 피해자에게 배포하는 과정을 염두에 두고 있었던 것이다. 그런데 이를 위해서는 피해자 측에서 먼저 Sen의 존재를 알아야 하는데 사실 실제 피해자의 대부분은 그의  존재를 전혀 모르는 상태였으며 따라서 복호화키 배포에 시간이 걸린다는 점이 이 방식의 약점이었다.


Hidden Tear 및 EDA2를 응용한 랜섬웨어는 오래지 않아 등장했으며 Hidden Tear의 경우 위에서 소개한 방식대로 복호화키가 피해자들에게 배포될 수 있었다. 하지만 EDA2를 응용한 Magic 랜섬웨어의 경우 공격자 측에서 무료 호스트를 통해 C&C 서버를 운용했으며 호스트 측에서는 악성활동에 대한 신고에 대응하여 별도의 조치 없이 해당 사이버공격자의 계정과 파일을 삭제해 버렸기 때문에 본래 예정됐던 백도어를 통한 복호화키 추출이 불가능해졌다. Magic 랜섬웨어 제작자들은 여기에서 나아가 Sen과 접촉했으며 이들의 대화는 오랜 논란으로 이어졌다. Magic 제작자 측에서는 Sen이 EDA2 소소코드를 공개도메인에서 삭제하고 3비트코인을 지불한다면 자기네 복호화키를 공개하겠다는 제안을 내놨다. 이 과정에서 기존 피해자에 대한 금전요구는 없던 일이 된다는 합의도 도출됐다. 결국 Sen은 EDA2와 Hidden Tear의 소소코드를 GitHub에서 삭제했지만 이미 너무 늦은 상황이었다. 2015년 2월 2일 카스퍼스키 전문가 Jornt van der Wiel은 SecureList에 게재한 글을 통해 Hidden Tear 및 EDA2 기반 암호화툴이 24개에 달한다고 밝혔으며 이 수는 이후 계속 늘어났다.


Ded Cryptor는 바로 이 EDA2 소소코드를 기반으로 제작됐으며 다만 공격자 측 보안과 익명성 강화를 위해 Tor 네트워크를 통해 C&C 서버가 운용되며 tor2web 서비스를 통해 서버와의 통신이 이루어진다. Ded Cryptor 제작과정에서 프록시서버 코드는 다른 GitHub 개발자로부터 전달됐으며 암호화키 요청 코드는 제3자 개발자가 작성하는 등 여러 출처로부터 덕지덕지 만들어진 느낌이 강하다. Ded Cryptor는 서버와 직접 통신하지 않고 감염시킨 컴퓨터에 프록시 서버를 설정하고 이를 통해 서버와 통신한다는 점이 특이하다.


Ded Cryptor 제작자는 Magic 랜섬웨어와 마찬가지로 러시아어 사용자로 추정된다. 우선 금전지급 요구가 영어 및 러시아어로만 돼 있다. 그리고 카스퍼스키 선임맬웨어분석가 Fedor Sinitsyn의 분석 결과 C:\Users\sergey\Desktop

\доделать\eda2-master\eda2\eda2\bin\Release\Output\TrojanSkan.pdb 라는 파일경로가 발견되기도 했다. Ded Cryptor 배포경로에 대해서는 별로 알려진 내용이 없으며 다만 카스퍼스키에 다르면 러시아에서 가장 많이 발견되고 중국 독일, 베트남, 인도 등에서도 발견빈도가 높다고 한다.



Ded Cryptor는 앞서 언급했듯 현재로써는 복호화 수단이 존재하지 않으며 다만 운영체제에서 사전에 생성한 숨은 사본이 있을 경우에만 복구가능성이 있기 때문에 예방이 정말 중요하다. 카스퍼스키 솔루션의 경우 Hidden Tear 및 EDA2 기반 트로이목마를 탐지할 수 있고 Trojan-Ransom.MSIL.Tear를 탐지할 경우 이를 사용자에게 알리며 또한 랜섬웨어 작동을 차단하고 암호화를 방지할 수 있다.


<참고: 카스퍼스키 안티바이러스 상세정보>




John Snow, Ded Cryptor: Greedy ransomware with open-source roots, 7. 8. 2016.

https://usblog.kaspersky.com/ded-cryptor-ransomware/7379/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.08.02 16:04


랜섬웨어는 데스크탑 컴퓨터 외에 모바일 기기에서도 발견되며 발견빈도 또한 증가추세에 있다. 랜섬웨어의 유형으로는 데이터를 암호화시키고 복구대가로 돈을 요구하는 cryptolocker 랜섬웨어 그리고 운영체제나 브라우저 등 어플리케이션 접근을 차단하고 차단해제에 대해 돈을 요구하는 blocker 랜섬웨어가 있다. 현재 데스크탑 플랫폼에서는 blocker 랜섬웨어는 비교적 소수에 그치는 반면 금전갈취에 더욱 효율적이라고 알려진 cryptolocker 랜섬웨어가 많이 퍼지고 있는 상황이다.


반면 모바일 플랫폼의 경우 안드로이드 운영체제와 앱이 클라우드 백업을 동반하며 따라서 데이터 암호화에 따른 이득이 그만큼 적기 때문에 안드로이드 cryptolocker 랜섬웨어는 거의 전무하다시피 하고 blocker 랜섬웨어가 훨씬 널리 사용된다.  모바일 기기에서 blocker 랜섬웨어는 모든 앱의 인터페이스를 자체적으로 조작하여 피해자가 사용 가능한 어플리케이션이 없게 만들어 버린다. PC의 경우 blocker 랜섬웨어가 있다면 하드드라이브를 분리하여 다른 컴퓨터에 연결한 다음 blocker 파일을 제거해 버리면 그만이다. 하지만 휴대전화의 경우 기본 저장공간이 마더보드에 부착돼 있기 때문에 컴퓨터처럼 쉽게 분리할 수는 없다. blocker 랜섬웨어가 전체의 99%를 차지하는 건 바로 이 때문이다.



주요 모바일 랜섬웨어


2014-2015년 모바일 랜섬웨어 주요 4종은 Svpeng, Pletor, Small, Fusob였다. 오늘날 Pletor 랜섬웨어는 정체된 상태며 해당 제작자들은 새로 선보인 Acecard 트로이목마에 집중하고 있는 상황이다. Svpeng 또한 현재는 주춤한 상태로 해당 제작자들은 금융 트로이목마에 집중하고 있다. 이에 따라 2015-2016년에는 Small 그리고 Fusob 랜섬웨어가 전체의 93%를 차지하고 있다.



Fusob와 Small은 관계당국의 서명과 피해자의 과실 주장을 조작한 화면을 표시하고 피해자가 돈을 지불하지 않으면 형사사건으로 입건된다고 협박하는 등 공통점도 많다. 하지만 차이점이 더욱 극명한데 예를 들어 결제 방식을 보면 Fusob은 iTunes 기프트카드 결제를 요구하며 Small의 경우 Kiwi 결제시스템이나 MoneyPak xpress Packet voucher 결제옵션을 제시한다. 양자 모두 러시아어권 제작자에 의해 만들어졌으나 기획방향은 상당히 다른데 그 구체적인 내용은 다음과 같다.


Fusob은 피해자 기기의 언어를 조사하여 구소련 연방에서 사용됐던 언어에 해당하면 아무런 행동도 하지 않는 반면 다른 언어에 해당할 경우 NSA임을 자처하며 100~200달러 가량의 돈을 요구한다. Fusob 피해자의 주요 거주지는 독일이며(41%) 영국과 미국이 각각 14.5%와 11.4%로 2위와 3위를 차지하고 있다.



Small의 경우 반대로 Fusob가 기피하는 러시아, 카자흐스탄, 우크라이나에서 99% 가까이 발견된다. Small 랜섬웨어는 정부에서 발행한 듯 보이는 안내문에 결제안내, 협박, 700~3500루블(10~50달러) 금전요구 등의 내용을 담고 있다. 영문 버전의 경우 화면 모양이 약간 다르고 FBI를 사칭하면서 300달러 가량을 요구한다. 이 외에 cryptolocker 유형으로 기본 버전과 동일하지만 SD 카드 파일도 암호화하는 변종이 있고 금전탈취, 데이터탈취, 기기잠금 등 여러 기능을 가진 트로이목마 변종도 있다.



모바일 랜섬웨어 향후 전망


모바일 맬웨어는 처음 등장할 때만 해도 큰 관심을 받지 않았지만 오늘날 엄청난 기세로 성장하고 있으며 모바일공격은 2014년에 비해 4배 가까이 증가했다. 모바일 랜섬웨어 피해자 또한 2.04%에서 4.63%로 두 배가 늘었다. 2015년 모바일 랜섬웨어의 최대 표적은 미국이었으며 당시 모바일 피해자 10명 중 1명은 모바일 랜섬웨어에 노출됐다. 오늘날 이 비중은 대폭 늘어서 독일과 캐나다의 경우 10명 중 2명, 영국과 미국 그리고 카자흐스탄은 7명 중 1명, 이탈리아와 네덜란드의 경우 10명 중 1명이 모바일 랜섬웨어를 접했다고 한다. 앞으로도 특히 랜섬웨어를 중심으로 모바일 맬웨어가 더욱 기승을 부릴 전망이다.



모바일 랜섬웨어 방지요령


1. 구글플레이와 같은 공식 채널을 통해서만 어플리케이션 설치. 안드로이드 보안설정을 통해 알지 못하는 출처를 통한 앱 설치를 차단해야 한다.

2. 펌웨어와 어플리케이션을 주기적으로 업데이트한다. 앱의 경우 자동 업데이트가 가능하지만 시스템은 수동으로 업데이트를 직접 해야 한다.

3. 강력한 보안솔루션 사용. 맬웨어는 구글플레이와 같은 공식채널에도 잠입할 수 있으며 미식별 취약점을 파고드는 취약점악용도 가능하기 때문에 별도의 보안솔루션이 필요하다.


<참고: 카스퍼스키 안티바이러스 상세정보>




John Snow, Ransomware on mobile devices: knock-knock-block, 6. 29. 2016.

https://usblog.kaspersky.com/mobile-ransomware-2016/7346/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.08.02 14:44


Shade는 2015년 초 등장한 랜섬웨어며 주로 악성스팸이나 취약점악용(exploit kit)을 통해 배포된다. 취약점악용의 경우 피해자가 감염된 웹사이트를 방문하기만 하면 되고 별도로 어떤 파일을 여는 과정이 불필요하기 때문에 특히 위험하다.



Shade가 피해자 시스템 침입에 성공하면 중앙(C&C) 서버로부터 암호화키를 받으며 서버 사용이 불가능할 경우에 대비하여 자체 암호화키도 예비로 보유하고 있다. 이는 랜섬웨어가 일단 침투하고 나면 피해자 컴퓨터에서 인터넷 연결을 끊는다 해도 예정대로 작동할 수 있음을 의미한다. Shade가 암호화할 수 있는 파일유형은 MS오피스 문서, 이미지, 압축파일 등 150종이 넘으며 암호화 과정에서 파일 이름 뒤에 .xtbl 또는 .ytbl 확장자를 추가한다. 암호화가 완료되면 아래와 같이 금전지급 요구가 화면에 표시된다. 한편 Shade는 암호화를 끝내고 나서도 다른 맬웨어를 다운받는 등 지속적으로 활동한다


카스퍼스키는 네덜란드경찰, 유로폴, 인텔시큐리티(Intel Security)와 연합하여 랜섬외어 복호화툴을 모으고 배포할 목적으로  NoMoreRansom.org라는 웹사이트를 개설했다. 이번에 사이트 개설과 함께 Shade 랜섬웨어 복호화툴이 추가됐으며 사용방법은 다음과 같다.


1. NoMoreRansom.org 방문


2. 인텔시큐리티 또는 카스퍼스키 측 다운로드 링크 선택 (이하 내용은 카스퍼스키 복호화툴 기준으로 작성)


3. ShadeDecryptor.zip 압축 풀고 ShadeDecryptor.exe 실행


4. 실행창에서 Change parameters 클릭



5. 암호화파일을 스캔할 드라이브 선택



6. Delete crypted files after decryption은 복호화가 끝나고 나서 암호화된 파일을 자동 삭제하는 옵션이지만 파일이 완전히 복구됐는지 확신할 수 없다면 이 옵션은 권장하지 않는다.


7. OK를 선택하여 실행창으로 돌아오고 Start scan 클릭



8. Specify the path to one of encrypted files 창에서 암호화된 파일 하나를 선택하고 Open 클릭


9. 만약 피해자의 ID를 자동 탐지할 수 없다는 메시지가 뜬다면 금전지급요구와 피해자 ID가 기재된 readme.txt로 파일경로를 지정하면 된다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Alex Drozhzhin, No More Ransom, 7. 25. 2016.

https://usblog.kaspersky.com/shade-decryptor/7441/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.08.02 13:44

위로가기