malware에 해당하는글 39



게시일: 2016-05-11 l 작성자: Trend Micro

2016년 4월 초 어도비 플래시 플레이어에서 발견된 제로데이 익스플로잇은(CVE-2016-1019) 곧바로 Magnitude 익스플로잇 킷에서 활용되었습니다. 이에 따라 어도비는 신속하게 패치를 배포하였습니다. 해당 취약점은 드라이브 바이 다운로드 형태의 공격으로 로키 랜섬웨어를 감염하였습니다.

하지만, 사용자들은 아직 위협에서 해방되지 않았습니다. 최근 트렌드마이크로는 이러한 공격 형태에서 특이한 변형을 확인하였습니다. 플래시 익스플로잇 이외에 윈도우의 Old Escalation of Privileges 익스플로잇(CVE-2015-1701)이 사용되어 샌드박스 기술을 우회하는 것입니다.


은밀한 악성 행위

트렌드마이크로 연구진은 해당 위협을 분석하기 위해, 네트워크 트래픽과 다운로더 파일(TROJ_LOCKY.DLDRA로 감지)을 모두 검사했습니다. 네트워크 트래픽의 경우. CVE-2016-1019 익스플로잇과 동일하였습니다. 하지만, 다운로더의 경우 독특한 커널 익스플로잇을 사용하였습니다. 해당 익스플로잇은 202[.]102[.]110[.]204:80에 위치한 C&C서버와 통신하여 로키 랜섬웨어를 설치하였습니다. 이를 실행하기 위해서 작업 항목, 시스템 스레드, APC(Asynchronous Procedure Calls)와 같은 여러 커널 단위 시스템 메커니즘을 사용하기 때문에 신규 파일이 형성되지 않고, 이에 따라 악성코드가 탐지되지 않고 시스템에 설치 되는 것입니다.

다운로더는 또한 런타임에서의 악성행위를 감추고, 윈도우가 다양한 서비스를 호스트하기 위해 사용하는 시스템 프로세스인 svchost.exe를 손상시킵니다. 또한 익스플로잇을 실행하기 전, 사용 중인 윈도우 버전과 취약한 파일(win32k.sys)이 수정된 시기를 확인하여 탐지 가능성을 최소화합니다.

해당 익스플로잇은 탐지를 피하기 위해서 사용되는 것으로 파악되며, 특히 샌드박스 기술을 이용하는 탐지 기술을 우회하기 위한 목적으로 활용되고 있습니다. 추가적으로, 해당 커널 익스플로잇에 기반한 클로킹 행위는 악성코드분석과 샌드박스 검출이 어렵도록 합니다. 분석 중 발견된 코드 브랜치(code branch)는 차후 윈도우 버전에 다른 종류의 커널 익스플로잇이 사용될 수 있다는 것을 의미합니다.

로키 다운로더 개요

TROJ_LOCKY.DLDRA는 악성행위를 숨기기 위해 커널 익스플로잇을 활용하는 것 외에는 다른 다운로더와 동일하게 작동합니다. 하단 그림은 로키 다운로더의 처리 순서에 대한 개요입니다:


그림1. 다운로더 처리순서 개요

트렌드마이크로의 분석에 따르면, 샘플 악성코드는 다양한 안티 디버그 트릭(Anti-Debug Trick)과 뉴 패킹 방법(New Packing Method)을 가지고 있습니다. 이것은 런타임에서 복호화된 API 스트링과 API 어드레스 구축을 포함합니다.

부모/초기 프로세스는 임의 생산된 커맨드 라인 파라미터(command-line parameter)를 포함한 포크/자식 프로세스를 생성하는 것만을 담당합니다. 자식 프로세스는 사용 중인 OS 버전을 확인한 뒤, 시스템이 취약할 경우,CVE-2015-1701 취약점을 활용하여 공격합니다. 이런 경우, svchost.exe는 악성 APC의 영향을 받아 C&C 서버로 연결되어, 로키 랜섬웨어를 다운로드하게 됩니다. 트렌드마이크로는 최종 페이로드를 RANSOM_LOCKY.PUY로 탐지하였습니다.

취약점 유발

자식 프로세스가 실행되면, 사용 중인 OS 버전을 확인하여 상위 말한 취약점이 패치되어 있지 않은지 확인합니다. 만약 그럴 경우, 공격이 가능합니다. 패치가 된 상황이더라도 다운로더는 클로킹 기술 없이 직접적으로 C&C서버와 연결합니다.

버그를 유발하기 위해 다운로더는 먼저 user32.dll!afnDispatch 디스패치 테이블의 ClientCopyImage를 DetourClientCopyImage와 연결합니다. 마이크로소프트에서 제공하는 역 호출(Reverse Call Back)로 해당 API는 USER32!CreateWindowEx가 호출 될 때, 함께 호출될 수 있습니다.


그림 2. DetourClientCopyImage의 슈도코드(Pseudocode)

SetWindowLongA 가 실행되면, Fake_WinProc_exploit_403A90 (악성 페이로드 코드 포함)가 커널 권한으로 실행됩니다. 물론, 이는 정상적이지 않은 행동입니다.


그림 3. 취약점이 유발되는 BeginExploit_403C42의 슈도코드

상위 슈도코드는 CVE-2015-1701이 CreateWindowExA 호출로 어떻게 유발되는지 보여줍니다.


그림 4. 사용자 모드 페이로드가 커널로 실행될 때의 콜 스택(Call Stack)

상위 콜 스택(Call Stack)은 사용자모드에서 준비된 페이로드 바이너리가 커널 호출의 win32k!xxxSendMessage 기능으로 Fake_WinProc_exploit_403A90 에서 어떻게 실행되는지 보여줍니다.

(익스플로잇) 트레이드 트릭

커널 취약점이 유발된 경우, 다운로더는 다양한 기술을 활용하여 악성 행위를 숨깁니다. 그림 1에서와 같이 자식 프로세스에서 커널 익스플로잇은 먼저 nt!ExQueueWorkItem 의 악성 작업 항목을 실행합니다. 이러한 작업 항목은 성능이 향상되도록 관리되고 예정되어 있습니다.

악성 작업 항목 루틴이 스레드 스케줄러(Thread Scheduler)로 호출되면, 커멘드 라인에 “–k netsvcs” 파라미터가 포함된 svchost.exe 프로세스를 찾기 위해 모든 시스템 프로세스를 실행합니다. 그 후, svchost.exe에 붙어 메모리를 할당하여 악성 코드를 복사합니다. 최종적으로 이 과정에서 사용자 모드 APC를 전달합니다.

설계된 바와 같이, 사용자 모드 APC는 표시된 프로세스/스레드 상황 또는 svchost 프로세스에서만 실행됩니다. svchost 프로세스가 악성 APC에 노출되면, 새로운 스레드를 추가합니다. 이 신규 스레드는 특수 API 호출을 사용하여 다른 페이로드를 다운로드 합니다.


그림 5. svchost에서 원격 삽입된 스레드가 C&C서버로 연결할 때의 콜 스택 스냅샷

대책

다운로더는 복잡하고 은밀한 기술을 이용하여 C&C 로 연결합니다. 악성 루틴을 숨기기 위해 정상적인 시스템 행위 뒤에 숨어 화이트 리스트 되거나 방어를 우회하는 것으로 파악됩니다.

커널 익스플로잇과 이로 인해 발생하는 행위에 주의를 기울이는 사람은 적기 때문에 다운로더가 이러한 기술을 사용하는 것으로 추측할 수 있습니다. 추가적으로, 작업 항목, APC, 시스템 스레드와 같이 시스템에서 제공한 매커니즘을 활용하기 때문에 악성 행위로 분석하지 않는 경우가 나타납니다.

반면, svchost 프로세스는 마이크로소프트 프로세스의 다양한 서비스를 제공해야 하기 때문에 외부 네트워크로 연결하는 것을 정상으로 판단합니다. 네트워크 트래픽을 숨기는 것은 이상적으로 여겨진다. 따라서, 네트워크 트래픽을 숨기는 것은 이상적으로 여겨집니다.

트렌드마이크로는 사용자들이 PC의 어도비 플래시를 최신 버전으로 업데이트 할 것을 권장합니다. 소프트웨어를 항상 최신 버전으로 유지하는 것은 익스플로잇 공격에서 시스템을 보호할 수 있는 좋은 방법입니다. 또한 데이터를 주기적으로 백업해야 하며, 랜섬웨어의 공격을 받더라도 돈을 지불하지 않아야 합니다. 돈을 지불하는 것이 파일 복구를 보장하는 것이 아니기 때문입니다.

트렌드마이크로 Deep Security는 다음의 DPI룰을 이용하여 취약점을 이용한 공격에 대응하고 있습니다.

  • 1007572 – Adobe Flash Player Remote Code Execution Vulnerability (CVE-2016-1019)

TippingPoint 고객들은 CVE-2016-1019를 이용한 익스플로잇에서 다음 Mainline DV 필터를 이용하여 보호받고 있습니다:

  • 24253: HTTP: Adobe Flash FileReference Type Confusion Vulnerability/li>

트렌드마이크로 Deep Discovery는 업데이트가 없이도 제로데이 공격을 자주 탐지합니다.


원문: Locky Ransomware Spreads via Flash and Windows Kernel Exploits




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


로키 랜섬웨어 : 플래시와 윈도우 커널 익스플로잇을 통해 확산

https://www.trendmicro.co.kr/kr/blog/locky-ransomware-spreads-flash-windows-kernel-exploits/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.12 15:06



게시일: 2016-04-20 l 작성자: Trend Micro


크립토 랜섬웨어는 등장 이후 지속적으로 진화해 왔지만, 최근 발견한 JIGSAW 랜섬웨어는 그 중 가장 악질적이라 할 수 있는 행동을 보이고 있습니다. 공포영화 쏘우(Saw)를 연상시키는 해당 랜섬웨어는 파일을 암호화 한 뒤 단계적으로 삭제해나가며 피해자가 몸값을 지불할 수 밖에 없도록 공포감과 압박을 심어주고 있습니다. 해당 랜섬웨어는 쏘우의 ‘빌리 더 퍼펫’ 이미지를 그대로 사용하며, 빨간 카운트 시계를 표시합니다.

크립토 랜섬웨어는 인해 IT 시대를 살고 있는 우리에게는 일반적인 위협이 되었습니다. 쉽고 빠르게 이득을 창출할 수 있다는 이유로 사이버 범죄자들의 가장 많이 이용하는 공격 수법이기 때문입니다. 많은 범죄자들이 이 대열에 합류한 것은 놀랍지 않습니다. 최근 랜섬웨어 시장의 주된 관심사는 기존 악성코드에 “창조적인” 또는 “독특한” 기능을 추가하여 피해자가 공포감에 돈을 지불하도록 하는 방법에 대한 것입니다. 하지만, 기술적인 과정을 살펴보면 각각 랜섬웨어 악성코드는 큰 차이를 보이지 않습니다. 이번에 발견된 JIGSAW의 경우 최근 몇 달 사이 등장한 PETYA와 CERBER와 같은 그룹에 속하게 됩니다.


감염과 확산

트렌드마이크로의 분석에 따르면, JIGSAW는 1fichier[.]com 이라는 무료 클라우드 저장 서비스로부터 다운로드 됩니다. 해당 클라우드 저장 서비스는 정보를 탈취하는 FAREIT, 비트코인을 수집하는 COINSTEALER와 같은 악성코드를 호스트 한 이력이 있습니다. 당사는 1fichier에 이번 발견에 대해 안내하였으며, 악성 URL은 삭제되었습니다. 또한 hxxp://waldorftrust[.]com에서 다운로드 되는 JIGSAW의 경우, 크립토마이너(Cryptominer) 프로그램과 함께 다운로드 됩니다. 될 수 있습니다.


두뇌싸움

크립토 랜섬웨어가 실행되면, 빌리 이미지와 몸값 요구 화면이 생성됩니다.

그림 1. JIGSAW 감염 PC 표출 화면
그림 1. JIGSAW 감염 PC 표출 화면

영어와 포르투갈어로 제공되는 메시지는 기하급수적 증가 컨셉을 이용하여, 피해자의 파일과 금액을 협상하는 데 적용합니다. 시간이 지날수록 몸값을 올리는 크립토 랜섬웨어는 최근에도 발견되었지만, JIGSAW의 몸값은 극적으로 상승하게 됩니다.

JIGSAW는 매 시간 많은 양의 파일을 지워버리는 동시에, 지불 금액을 크게 증가시킵니다. 시간이 지날수록 영구 삭제되는 파일의 개수가 증가하기 때문에 피해자는 돈을 지불하여 최소한의 금액으로 남은 파일을 보전하여야 하는 압박에 시달리게 됩니다. 피해자가 지불하는 최소 금액은 $20~$150달러로 확인되고 있습니다.

그림 2. 타이머를 표시하여 피해자가 돈을 지불하도록 압박
그림 2. 타이머를 표시하여 피해자가 돈을 지불하도록 압박

JIGSAW는 피해자의 모든 파일을 복사하여 .복사된 파일을 암호화 한 뒤(.fun 확장자), 원본을 삭제하는 크립토 랜섬웨어 입니다. .KKK, .BTC, .GWS와 같은 확장자로 암호화하는 변종도 발견되었습니다. 해당 랜섬웨어는 아래의 파일 형식들을 암호화 합니다.

그림 3. JIGSAW가 암호화 하는 파일 확장자 종류
그림 3. JIGSAW가 암호화 하는 파일 확장자 종류

그림 4. JIGSAW가 .BTC 로 파일 확장자 변경
그림 4. JIGSAW가 .BTC 로 파일 확장자 변경

그림 5. 빨간색으로 표시된 원본파일과 초록색으로 표시된 복사 후 암호된 파일
그림 5. 빨간색으로 표시된 원본파일과 초록색으로 표시된 복사 후 암호된 파일

만약 강제로 컴퓨터를 리부팅하게 되면, 1,000개의 파일이 복사본 없이 삭제된다는 경고 문구도 포함되어 있습니다. 컴퓨터를 리부팅 할 경우, 피해자는 72시간의 제한 시간 안에 돈을 지불하지 않으면, 암호화 된 모든 파일이 삭제될 것이라는 위협 문구가 생성됩니다.

그림 6. 리부팅 메시지
그림 6. 리부팅 메시지

JIGSAW는 굉장히 두려워 보이는 랜섬웨어지만, 그 구조는 매우 간단합니다. 다른 크립토 랜섬웨어와 비교하여 새로운 기능이나 루틴이 추가되어 있지는 않습니다. 하지만 정교함이 부족한 만큼, 사용자 인터페이스와 전술로 피해자를 심리적으로 압박하는 수준이 높기 때문에, 돈을 지불할 수 밖에 없도록 만드는 악질적인 랜섬웨어라고 할 수 있습니다.

수치심 압박

당사는 분석을 통해 JIGSAW 랜섬웨어의 또 다른 감염 경로로 파악되는 포르노 사이트들을 발견하였습니다. 이 경우, 빌리의 이미지가 표출되는 것이 아닌, 성인 이미지가 표출되며, 다음과 같은 메시지가 생성됩니다. “당신은 포르노 중독자입니다. 포르노를 그만 봐야 합니다. 이제 돈을 지불하세요.” 감염 이후로의 악성코드 행위는 일반 JIGSAW 랜섬웨어와 동일합니다. 분홍색 꽃의 이미지를 보여주는 변형도 확인되었습니다.

그림 7. JIGSAW의 다양한 이미지 표출
그림 7. JIGSAW의 다양한 이미지 표출


크립토 랜섬웨어 큰 그림

두려움을 자극하는 크립토 랜섬웨어는 JIGSAW만이 아닙니다. 최근 발견된 크립토 랜섬웨어인 MAKTUBLOCKER는 이메일 악성 첨부파일을 통해 감염됩니다. 사용자의 이름과 메일주소를 그대로 표시하기 때문에, 악성 메일이라는 것을 구분하기가 쉽지 않습니다. 크립토 랜섬웨어의 변형들은, 더 포악한 방법으로 더 많은 사용자들을 공격하고 있으며, 돈을 지불하게 만들기 위한 새로운 방법들을 고안해내고 있습니다.


솔루션

크립토 랜섬웨어는 갈수록 피하기 어려워지고 있습니다. 따라서 사용자들은 데이터를 정기적으로 백업하고,3-2-1 규칙을 사용하여 데이터의 안전을 기해야 합니다. 이로써 랜섬웨어가 감염될 경우 피해를 최소화 할 수 있습니다. 돈을 지불하는 것이 감염으로 암호화된 파일의 복호화를 보장하지 않는다는 것도 기억하십시오.

트렌드마이크로 오피스스캔(OfficeScan) 11.0트렌드마이크로 비즈니스 시큐리티 서비스는 FRS 기술이 적용된 엔드포인드 보안 제품입니다. 동시에, 이러한 엔드포인트 제품에서 동작 모니터링 기술(무단 변경 모니터링)을 강화하여 기존 발견되지 않은 랜섬웨어의 경우에도 동작 기반으로 탐지하고 차단할 수 있습니다. 악성 코드가 포함된 URL로의 연결도 방지할 수 있습니다.

개인용 클라이언트 종합 보안 제품 트렌드마이크로 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.


추가 연구 및 분석 (Mark Manahan, Jamz Yaneza)

관련 파일 SHA1:

  • 0C269C5A641FD479269C2F353841A5BF9910888B – Ransom_JIGSAW.A
  • DC307A673AA5EECB5C1400F1D342E03697564F98 – Ransom_JIGSAW.A
  • CE42E2C694CA4737AE68D3C9E333554C55AFEE27 – Ransom_JIGSAW.A
  • 1AD9F8695C10ADB69BDEBD6BDC39B119707D500E – Ransom_JIGSAW.B
  • CA40233610D40258539DA0212A06AF29B07C13F6 – Ransom_JIGSAW.C
  • F8431CF0A73E4EDE5B4B38185D73D8472CFE2AE7 – Ransom_JIGSAW.C
  • DCE911B1C05DA965C8733935723B88BC29D12756 – Ransom_JIGSAW.D
  • 3F6E3E5126C837F46A18EE988DBF5756C2B856AA – Ransom_JIGSAW.E
  • 92620194A581A91874A5284A775014E0D71A9DB1 – Ransom_JIGSAW.E


원문: New Crypto-Ransomware JIGSAW Plays Nasty Games




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


새롭게 등장한 악질적인 크립토 랜섬웨어, JIGSAW

https://www.trendmicro.co.kr/kr/blog/jigsaw-ransomware-plays-games-victims/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.11 15:13



게시일: 2016-04-26 l 작성자: Trend Micro


사이버 범죄자들이 시스템과 네트워크의 취약점을 공격의 진입로로 이용하고 보안 취약점을 활용하여 공격을 확산하는 도구로 사용하면서, 패치 관리의 중요성이 부각되고 있습니다. 악명높은 SAMSAM 크립토 랜섬웨어의 공격이 이와 같습니다. 해당 랜섬웨어는 악성 URL 또는 스팸메일을 통해 침투하는 것이 아닌, 패치가 되지 않은 서버의 보안 취약점을 악용하는 악성 코드입니다.

지난 3월 켄터키 병원은 SAMSAM의 공격을 받아 모든 파일이 암호화 되었습니다. 네트워크로 연결된 파일도 암호화 대상에 포함되어 있었습니다. 의료 분야 공격을 시작으로, SAMSAM은 교육 분야로 확대해갔습니다. 최근에는 JBOSS 서버의 취약점을 이용한 SAMSAM 및 기타 악성 코드 공격으로 수많은 서버와 시스템이 감염되었습니다. JBOSS는 JAVA를 기반으로 하는 오픈소스 애플리케이션입니다. ‘Destiny’ 소프트웨어를 사용하는 시스템과 서버 또한 공격을 받았습니다. CISCO의 보고에 따르면, 해당 소프트웨어는 전세계 초ㆍ중ㆍ고등학교에서 광범위하게 사용되고 있습니다. Follet은 Destiny 소프트웨어 사용자를 위한 패치를 이미 발표하여 배포하고 있습니다.

보고에 따르면, JexBoss 익스플로잇 툴은 시스템 원격관리를 위한 스크립트인 ‘웹쉘’을 설치하기 위해 사용됩니다. 감염된 서버는 백도어, 웹쉘, 그리고 SAMSAM에 감염됩니다. 이후 랜섬웨어는 패치 되지 않은 서버에 확산되어 encryptedRSA 파일 확장자를 추가하여 파일을 암호화합니다.


패칭의 도전과제

SAMSAM이 취약점을 악용하여 네트워크를 침투하는 위협 방식의 첫 번째가 아니지만, 이러한 위협의 급증은 기업과 기관들에 새로운 보안 위험을 더해주고 있습니다. 기밀 데이터와 중요도가 높은 데이터가 암호화되거나 잃어진다면 기업들은 큰 금액을 지불하여 복구할 수 밖에 없습니다. 물론, 범죄자들에게 돈을 지불하는 것이 데이터의 완벽한 복구를 의미하지 않기 때문에 이를 추천하지 않습니다.

바이러스의 감염 벡터와 네트워크 매핑 능력이 정교할지라도, 시스템과 서버를 최신으로 업데이트하고 패칭을 적용하는 것은 공격을 막는데 큰 역할을 합니다. 하지만, IT 관리자들은 일별 시스템 운용, 중요 서비스 업데이트 유지, 네트워크 보안 등과 같은 다양한 문제에 직면하고 있습니다. 기업 환경을 보호하며 사업 운용을 유지하는 균형을 맞추는 역할을 하고 있습니다. 소프트웨어 제조사가 제로데이 익스플로잇 또는 취약점을 보완하기 위해 패치를 배포하게 되면 IT 관리자들은 이를 기업의 시스템에 직접 적용하기 전에 먼저 테스트를 진행합니다. 백버너에 패칭을 할 경우, 미션 크리티컬 시스템과 서버의 재시작이 필요하기 때문에 기업의 업무와 생산성에 방해가 될 수 있기 때문입니다.

연구에 따라면, 일반 기업에서 패치를 완벽하게 적용하기까지는 평균 30일이 걸립니다. 이 기간동안 기업은 공격의 가능성에 노출됩니다. 취약점을 이용한 공격이나 위협이 발생한다면, 기업의 보안이나 데이터가 위험 상황에 놓이게 됩니다.


가상패칭의 필요성

앞서 말한 패치 관리 문제는 가상패칭으로 해결될 수 있습니다. 해당 솔루션은, 추가 운용비용이나 다운타임 없이 취약한 서버와 엔드포인트를 보호합니다. 제조사 패치가 배포되기 전까지 가상패치를 이용하여 취약점을 보호하는 것입니다. 또한 제로데이 취약점 및 무작위 공격으로부터 긴급 패치 일정을 효율적으로 관리할 수 있습니다. 추가로, 레거시 시스템과 애플리케이션을 익스플로잇이 가진 위험으로부터 보호합니다.

가상패칭을 이용하면, SAMSAM과 같이 취약점을 악용하여 돈을 탈취하려는 시도로부터 기관의 중요 데이터를 보호할 수 있습니다. 관련된 패치를 당장 적용하지 않더라도, 해당과 같은 크립토 랜섬웨어로부터 서버를 보호합니다. 크립토 랜섬웨어가 현재 널리 확산되고 있는 악명높은 사이버 위협이라는 점에서 이는 매우 중요한 시사점입니다.

트렌드마이크로의 Deep Security는 가상패칭 기능과 더불어 침입탐지 및 방지 기능을 탑재하고 있습니다. 익스플로잇과 멀웨어 페이로드로부터 기업과 기관을 보호하는 통합 보안 솔루션입니다. 취약점을 이용한 위협과 공격이 오늘날 IT 환경에 널리 퍼져있는 만큼, 가상 패칭은 백신 프로그램과 방화벽과 같은 기본 보안 솔루션이라고 할 수 있습니다.

트렌드마이크로 Deep Security와 취약점 보호는 다음 DPI룰의 JBOSS 취약점을 이용한 공격으로부터 보호합니다.

  • 1007532-JBoss Application Server Unauthenticated Remote Command Execution Vulnerability
  • 1004189 – RedHat JBoss Enterprise Application Platform JMX Console Authentication Bypass

또한, 트렌드마이크로의 엔드포인트 솔루션인 맥시멈 시큐리티와 같은 제품은 악성 파일을 감지하여 SAMSAM과 같은 크립토 랜섬웨어로부터 보호합니다.

티핑포인트 또한 고객에게 다음과 같은 필터를 제공하고 있습니다.

MainlineDV

  • 9825: HTTP: JBoss jmx-console Authentication Bypass
  • 10502: HTTP: JBoss jmx-console Deployer Command Execution
  • 11822: HTTP: JBoss jmx-console Deployer Remote Code Execution Vulnerability
  • 13438: HTTP: HP Application Lifecycle Management JBoss Invoker Servlets Marshalled Object (ZDI-13-229)
  • 13515: HTTP: Attempt to invoke JMXInvokerServlet or EJBInvokerServlet (ZDI-13-229)

ThreatDV

  • 23872: HTTP: Ransom:MSIL/Samas.A Download Attempt
  • 23873: SMB: Ransom:MSIL/Samas.A File Transfer Attempt
  • 24140: TCP: Ransom:MSIL/Samas.B Download Attempt

JBOSS 서버를 최신 버전으로 업그레이드 할 것을 권장립니다. 공격에 사용되는 취약점 중 이미 오래 전 패치가 배포된 취약점 (예를 들어, CVE-2010-0738 CVE-2007-1036)도 있습니다. 또한 내부 서버의 방화벽을 이용하여 접근을 제한하는 방안도 추천드립니다.


원문: A Lesson on Patching: The Rise of SAMSAM Crypto-Ransomware




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


SAMSAM 랜섬웨어의 등장으로 살펴보는 패칭의 중요성

https://www.trendmicro.co.kr/kr/blog/lesson-patching-rise-samsam-crypto-ransomware/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.08 12:52


PC백신이 컴퓨터에서 바이러스 등 맬웨어를 포착하면 이를 완전히 삭제하지 않고 격리시킨다. 이 글에서는 그 이유를 소개한다.

 

질문: 안티바이러스 소프트웨어가 바이러스와 맬웨어를 완전히 제거하지 않고 격리하는 이유는 무엇인가. 컴퓨터에서 위험한 파일의 완전한 제거가

안전을 확실히 할 수 있는 방법이 아닌가. 격리된 악성코드를 수동으로 삭제하려면 어떻게 해야 하는가.

 

답변 1: 안티바이러스 어플리케이션이 격리 옵션을 제공하는 이유는 다음과 같다.

(1) 위협이 된다고 판단된 항목이 오인판정(false positive)된 경우에 대비하여 해당 항목의 백업을 유지. 정상적인 어플리케이션 파일과 드라이버가 악성으로 오인판정된 사례가 다양하게 존재한다.

(2) 위협 항목을 격리시켜 보관한다면 보다 제대로 된 조사가 가능해진다. 어떤 바이러스나 맬웨어가 기존에 알려진 시그내쳐(signature)에 부합한다 해서 그 시그내쳐와 완전히 동일하다고 단정할 수는 없으며 별도의 고유한 특성을 가지고 있을 수 있다.

 

답변 2: 바이러스나 맬웨어가 워드문서 등 사용자에게 필요한 파일에 내장될(embed) 경우 사용자 입장에서 이를 완전삭제하는 방법은 최악의 선택이다. 반면 격리시킬 경우 적어도 위험을 안고서라도 해당 파일의 내용을 복구할 수 있는 가능성이 남게 된다.

 


 

Akemi Iwaya, Why Does Antivirus Software Quarantine Viruses Instead of Deleting Them?, 7. 5. 2016.

http://www.howtogeek.com/261562/why-does-antivirus-software-quarantine-viruses-instead-of-deleting-them/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>


COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.07 15:31


AVG 바이러스연구소는 최근 랜섬웨어

복호화툴 6종의 무료 배포를 발표했다.

 

근래 랜섬웨어는 아주 짭짤한 돈벌이로 부상하여 사이버공격 비즈니스모델에서 중요한 비중을 차지하고 있다. 이와 관련하여 AVG는 랜섬웨어 감염을 방지하는 요령 그리고 파일이 감염된 경우의 대처방안을 소개한 바 있는데 여기에서 설명된 내용은 다음과 같다. "상당수의 랜섬웨어 개체군은 암호화 알고리즘에 취약점을 안고 있으며 이를 활용하여 돈을 내지 않고도 파일을 복호화할 수도 있다. 그러한 취약점을 밝혀내고 활용하는 데에는 시간이 걸릴 수 있지만 복구의 여지가 분명 있기 때문에 당장 파일을 삭제하지 않는 게 좋다." 이제 AVG가 새로이 선보이는 복호화툴을 통해 사용자들이 돈을 내지 않고 파일을 복구할 수 있는 길이 열렸다. 하지만 이러한 암호화툴은 파일이 이미 랜섬웨어에 감염된 경우에 사용할 수 있는 최후의 수단이며 AVG 안티바이러스와 같은 솔루션을 통해 사전에 랜섬웨어를 탐지하고 제거할 수 있는 다중보안대책을 갖춰야 할 필요가 있다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>

 


랜섬웨어 복호화툴 사용요령

AVG 무료 복호화툴은 Apocalypse, BadBlock, Crypt888, Legion, SZFLocker, TeslaCrypt 이상 6종 랜섬웨어에 대한 복호화 기능을 제공한다. 복호화툴 사용방법은 다음과 같다.

1. 감염 PC에 대한 정밀검사 실행

2. (선택) 암호화된 파일을 다른 PC에서 복호화할 수 있도록 별도 플래시드라이브에 이전

3. 파일을 감염시킨 랜섬웨어 종류 식별. 각 랜섬웨어에 대한 설명은 이하 내용 참고. 만약 자신의 랜섬웨어 감염양상이 이하의 설명과 일치한다면 해당 랜섬웨어에 대한 툴을 다운받아 실행.

4. 툴이 실행하는 마법사를 통해 복호화 프로세스를 단계별로 진행.



 

Apocalypse


The Apocalypse 랜섬웨어는 암호화시킨 파일에 ".encrypted", ".locked", ".SecureCrypted“라는 확장자를 첨부한다. 그리고 ".How_To_Decrypt.txt", ".README.Txt", ".Contact_Here_To_Recover_Your_Files.txt"라는 확장자를 붙인 파일에 랜섬웨어 메시지를 생성하기도 한다. 이 메시지 내용을 보면 decryptionservice@mail.ru, dr.compress@bk.ru, decryptdata@inbox.ru, recoveryhelp@bk.ru 등의 연락처를 볼 수 있다. 아래 그림을 보면 이들 연락처로 연락하지 않으면 암호화된 파일을 영영 복구할 수 없다는 식의 메시지를 볼 수 있다.



Apocalypse 구형버전 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_Apocalypse.exe

Apocalypse 최신버전 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_ApocalypseVM.exe


 

BadBlock


BadBlock은 암호화시킨 파일의 이름을 변경하지는 않으며 "Help Decrypt.html"이라는 이름의 랜섬웨어 메시지와 아래 그림과 같이 랜섬웨어 메시지를 띄우는 빨간 창을 통해 BadBlock 랜섬웨어를 식별할 수 있다.



BadBlock 복호화툴

http://files-download.avg.com/util/avgrem/avg_decryptor_BadBlock32.exe

http://files-download.avg.com/util/avgrem/avg_decryptor_BadBlock64.exe


 

Crypt888


Crypt888Mircop라고도 알려져 있으며 파일 접두어 "Lock."을 붙여 파일을 암호화시킨다. 또한 피해자의 배경화면을 아래와 같은 이미지로 변경시킨다.



Crypt888은 그 구조의 특성상 제작자 측이 제공하는 복호화툴이 작동하지 않을 수도 있기 때문에 제작자 요구대로 돈을 지불한다 g도 일부 파일이나 폴더를 복구하지 못할 위험이 있다.


AVG 제공 Crypt888 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_Crypt888.exe


 

Legion


Legion은 암호화시킨 파일에 "._23-06-2016-20-27-23_$f_tactics@aol.com$.legion"과 같은 식의 확장자를 붙인다. 또한 아래 그림과 같이 피해자의 배경화면을 변경하고 암호화된 파일에 대한 알림을 띄운다.



Legion 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_Legion.exe

 

주의: 위와 유사한 ".centurion_legion@aol.com.xtbl"이라는 확장자를 붙여 파일 이름을 변경시키는 랜섬웨어는 Legion 랜섬웨어와는 전혀 다른 종으로 위 복호화툴로는 복구가 불가능하다.


 

SZFLocker


SZFLocker는 암호화시킨 파일에 e.g. example.docx.szf와 같이 확장자를 붙인다. SZFLocker는 원래 파일을 다시 작성하면서 다음과 같이 폴란드어로 된 메시지를 띄운다.



SZFLocker 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_SzfLocker.exe


 

TeslaCrypt


AVG 제공 Teslacrypt 복호화툴은 TeslaCrypt v3 v4 버전으로 암호화된 파일에 대한 복호화를 제공한다암호화된 파일은 .vvv, .micro, .mp3 또는 별도의 고유명칭 등 다양한 확장자를 가지게 된다. 또한 아래와 같은 메시지가 E뜬다.



TeslaCrypt 복호화툴 http://files-download.avg.com/util/avgrem/avg_decryptor_TeslaCrypt3.exe

 



Jakub Kroustek, Don’t pay the Ransom! AVG releases six free decryption tools to retrieve your files, 6. 24. 2016.

http://now.avg.com/dont-pay-the-ransom-avg-releases-six-free-decryption-tools-to-retrieve-your-files/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.07 15:25



게시일: 2016-03-25 l 작성자: Rhena Inocencio (Threat Response Engineert)


Attention! Attention! Attention!" (주의!주의!주의!)

"Your documents, photos, databases and other important files have been encrypted!"(당신의 문서, 사진, 데이터베이스와 기타 중요한 파일이 암호화 되었습니다!)

랜섬웨어에 의해 PC에서 중요한 파일 모두가 암호화 된 경우를 상상해보십시오. 잠시 후 '몸값'을 요구하는 메시지를 수신하고 거기에 몸값을 지불하기 전까지 암호화 된 파일은 해독되지 않는다고 써 있습니다.

"RANSOM_CERBER.A"가 나타나기 전에는 소리로 피해자에게 몸값지불을 재촉하는 랜섬웨어는 존재하지 않았습니다. 이 "RANSOM_CERBER.A"는 컴퓨터 합성 음성으로 메시지를 재생합니다.

암호화된 랜섬웨어는 일반적으로 몸값 지불 방법과 파일의 복구 방법에 대한 지침을 이미지로 표시합니다. 이 방법은 REVETON 변종이 떠오르게 합니다. 경찰을 가장한 랜섬웨어 REVETON도 사용자의 위치에 따른 언어로 "이야기"할 수 있는 악성 프로그램으로 알려져 있습니다.

트렌드마이크로의 조사에서는 CERBER는 영어만 사용합니다. 그러나 사용자가 익명 통신 시스템 "Tor"의 브라우저를 통해 링크를 클릭하면 언어 선택 페이지로 유도됩니다. 그 페이지에는 다양한 언어를 선택할 수 있도록 되어 있지만, 2016 년 3월 6일 시점에서는 영어만 볼 수 있습니다. CERBER를 조종하는 사이버 범죄자는 사용자에게 우선 1.24 비트 코인의 지불을 요구한 후 7 일 후에는 2.48 비트 코인까지 요구액을 인상합니다.

지불 요청 메시지의 샘플

그림 1 : 지불 요청 메시지의 샘플

언어 선택을 요청하는 페이지

그림 2 : 언어 선택을 요청하는 페이지

트렌드마이크로는 또한 CERBER의 구성 파일이 확장자 .json을 이용하고 있는 것을 확인했습니다. (이 파일 형식은 일반적으로 속성 값에 정의 된 데이터의 전송 및 저장시 사용되는 형식입니다. ) 구성 파일의 내용을 분석한 결과, 이 랜섬웨어는 매우 쉽게 사용자 정의가 가능하다는 것을 발견하였고 공격자가 블랙리스트 국가는 물론 협박문 등을 쉽게 변경할 수 있음을 확인하였습니다. 이는 CERBER가 금전 목적의 사이버 범죄자의 목적에 따라 설계된 것임을 나타냅니다.

CERBER의 Config 파일 코드

그림 3 : CERBER의 Config 파일 코드

CERBER의 Config 파일 코드

그림 4 : CERBER의 Config 파일 코드

트렌드마이크로의 클라우드형 보안 기반 "Trend Micro Smart Protection Network"에 따르면, Nuclear Exploit Kit 가 "Malvertisement (부정 광고)"을 이용하여 이 악성 프로그램을 유포하고 있는 것으로 확인됩니다. "Nuclear Exploit Kit"는 악명 높은 Angler Exploit Kit에 이어 오늘 가장 널리 이용되는 것 중 하나입니다.

현재 이러한 불법 광고를 호스팅하는 서버는 모든 액세스 할 수 없습니다. 보도에 따르면, CERBER는 러시아 지하시장에서 "Ransomware as a service (RaaS)", 즉 서비스로서의 랜섬웨어로 판매되고 있는 것 같습니다. 이는 위에서 기술한 Config 파일 코드에 대한 추측을 뒷받침뿐만 아니라 가까운 미래에 더 많은 CERBER의 출현을 예상할 수 있습니다.


■ 백업의 습관화

랜섬웨어 위협이 어떤 구조로 움직이는가를 아는 것은 사용자의 개인 정보나 기업의 기밀 정보를 보호하는 데 도움이 됩니다. 적어도 평소 정기적으로 중요한 파일을 백업해 두는 것이 좋습니다. 또한 중요한 점은 사이버 범죄자에 굴복하여 몸값을 지불해 버리면, 당신을 지불 능력이 있는 것으로 간주하여 다시 표적이 될 수도 있음을 명심해야 합니다. 그리고 랜섬웨어로부터 자신을 보호하기 위해 사용하는 PC를 항상 최신 상태로 유지하는 것도 중요합니다.


■ 트렌드마이크로의 대책

트렌드마이크로의 엔드 포인트 보안 제품 'Trend Micro Maximum Security' 는 이번 사례와 관련된 랜섬웨어의 변종을 탐지 및 삭제하며 악성 Web 사이트에 대한 액세스를 차단합니다.






본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


러시아의 지하시장에서 거래되는 말하는 랜섬웨어 'CERBER'

http://www.trendmicro.co.kr/kr/support/blog/four-steps-to-an-effective-targeted-attack-response/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.07 15:00


 

본래 안티바이러스 소프트웨어는 하나의 제품만 사용해도 충분해야 하지만 실제로는 그 성능이 완벽하지 못해 놓치는 맬웨어가 생길 수 있기 때문에 여러 종의 안티바이러스 제품을 사용하게 될 수 있다.

 

만약 특정 파일이 문제된다면 40여 종의 안티바이러스 프로그램에 의한 검사가 가능한 VirusTotal과 같은 온라인 맬웨어 데이터베이스를 활용할 수 있다. 이는 어떤 파일이 오인탐지(false positive)됐는지 불분명할 때 이를 확인하고 싶을 경우에 특히 유용하다.

VirusTotal https://www.virustotal.com/


 

하지만 컴퓨터에 있는 모든 파일을 검사할 때 하나의 안티바이러스만 사용하면 맬웨어를 놓치는 경우가 생길 수 없으며 놓친 파일이 무엇인지도 알기 어렵기 때문에 VirusTotal과 같은 데이터베이스는 큰 도움이 되지 못할 수 있으며 직접 여러 종의 안티바이러스 프로그램을 구동할 필요가 있다. 이 때 유의점은 하나의 기본 안티바이러스를 선택하여 백그라운드에서 구동되는 실시간 검사 기능을 켜 두고 다른 안티바이러스 제품은 평소에는 꺼둔 채 주기적으로 수동 검사만 실행해야 한다는 것이다.

 

안티바이러스 소프트웨어는 기본적으로 단독 작동을 염두에 두고 설계됐기 때문에 다른 안티바이러스와의 호환을 장담할 수 없으며 오히려 문제를 일으킬 가능성이 높다. 여러 소프트웨어가 중복된 기능을 수행함으로 인해 시스템 성능에 부담이 될 뿐 아니라 상호 충돌하여 시스템 오류로까지 이어질 수 있다. 안티바이러스 업체 카스퍼스키(Kaspersky)2013년 블로그를 통해 복수 안티바이러스 사용의 위험성에 대해 다음과 같이 설명한 바 있다.

 

서로를 바이러스로 인식한다. 안티바이러스 프로그램은 시스템 정보를 모니터링하고 수집하는 프로그램을 추적하도록 설계돼 있는데 이는 곧 안티바이러스 프로그램 자체의 특성이기도 하며 따라서 하나의 안티바이러스 입장에서는 다른 안티바이러스의 행동이 바이러스와 유사해 보일 수 있다. 이는 안티바이러스 상호 간 충돌로 이어진다.

 

동일한 바이러스를 두고 처리가 충돌된다. 안티바이러스 프로그램을 통해 바이러스가 포착되어 제거 및 격리될 경우 만약 다른 안티바이러스가 해당 바이러스를 발견하고 이를 자체적으로 별도 격리하고자 한다면 이미 격리되어 위협이 사라진 바이러스에 대해 계속하여 경고가 발생하는 기이한 결과가 생길 수 있다.

 

전력소모 및 성능부담이 심화된다. 안티바이러스 프로그램은 시스템 검사 등 작업수행을 위해 시스템 메모리를 많이 소모한다. 만약 여러 안티바이러스가 동시에 구동된다면 시스템 성능에 엄청난 부담이 될 수 있으며 서로의 역할이 중복되기 때문에 그러한 성능부담을 통해 얻는 이점은 사실상 없는 것이나 다름없다.

 

따라서 안티바이러스 제품을 여러 종 사용하되 이를 동시에 구동시키지 않도록 주의해야 한다. 이를 방지하는 좋은 방법은 기본 안티바이러스 외에 추가 안티바이러스를 선택할 때 백그라운드에서의 실시간 구동 기능이 없거나 이를 사용자 선택에 따라 해제할 수 있는 제품을 고르는 것이다. real-time protection, on-access scanning, background protection, resident shield 등의 기능 명칭이 바로 이러한 실시간 구동 기능을 가리킨다. 또한 기본 안티바이러스를 보완하는 역할이기 때문에 Bitdefender QuickScan처럼 너무 가벼운 제품은 실질적으로 맬웨어를 제대로 잡아내기 어렵다는 점에서 그리 좋은 선택이 되지 못한다.

 

Malwarebytes: 무료로 사용 가능한 맬웨어 제거 툴로서 백그라운드에서의 실시간감시 기능이 없고 기본 안티바이러스를 보완하는 솔루션으로 사용하기에 적합하다.

https://www.malwarebytes.com/antimalware/

 

ESET Online Scanner: NOD32 제작진이 만든 빠른 검사서비스로 웹에서 1회 스캔이 가능하며 무료버전을 다운로드할 수도 있다. 다른 온라인 검사서비스와 달리 발견한 맬웨어를 제거할 수 있는 기능까지 갖추고 있다.

http://www.eset.com/us/online-scanner/

 

 

Serge Malenkovich, Why Using Multiple Antivirus Programs is a Bad Idea, 9. 9. 2013.

https://blog.kaspersky.com/multiple-antivirus-programs-bad-idea/2670/

 

Chris Hoffman, How to Scan Your Computer With Multiple Antivirus Programs, 1. 16. 2013.

http://www.howtogeek.com/133704/how-to-scan-your-computer-with-multiple-antivirus-programs/

 

번역요약: madfox




참고링크 


<유료컴퓨터백신 제품소개: 다양한 솔루션 비교가능>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.06.24 14:32



최근 랜섬웨어가 연일 화제로 피해자도 계속 생겨나고 있다. 랜섬웨어는 맬웨어 중에서도 가장 악독한 유형으로 개인 금융정보, 대체 불가능한 사진, 중요 업무문서 등 모든 중요 데이터를 순식간에 접근 불능을 만들어 버린다. 랜섬웨어에 감염된 데이터는 아예 사라지지도 않고 그냥 암호화된 채로 남아 있으며 사용자는 이를 복호화할 수 있는 키가 없기 때문에 손을 쓸 도리가 없다. 최근에는 자바스크립트를 통해 실행되는 랜섬웨어까지 등장했다.

 

사실 랜섬웨어는 1980년대 후반 AIDS 트로이목마를 시작으로 20년 넘게 존재해 왔지만 최근 몇 년에 걸쳐 큰 위협으로 급격히 부상하는 한편 훨씬 정교해졌다. 랜섬웨어에는 두 가지 기본유형이 있는데 컴퓨터잠금 랜섬웨어는 시스템 전체를 접근 불능으로 만들어 사용자의 로그온을 막으며 현재 대세인 암호화 랜섬웨어는 시스템을 건드리지는 않지만 데이터파일을 암호화해 버린다.

 

상당수 바이러스 등 맬웨어가 단순한 흥미 목적으로 배포되는 데 비해 랜섬웨어 공격은 금전적 수익을 목적으로 한다. 랜섬웨어는 피해자의 파일을 인질삼아 주로 비트코인의 형태로 금전지급을 요구한다. 이에 응해 돈을 지불할 경우 데이터가 복구되기도 하지만 돈을 받은 자들이 약속을 어기고 잠적해 버리기도 한다. 랜섬웨어는 개인과 회사 모두를 대상으로 하며 병원의 경우 환자진료에 중요한 개인정보를 담은 파일이 많으며 따라서 랜섬웨어 감염시 막대한 액수의 소송에 휘말리기보다는 비용이 덜 드는 금원지급을 선택할 가능성이 높다는 점 때문에 최근 공격자들이 즐겨 찾는 표적이 되고 있다.

 

 

랜섬웨어 공격경로

 

랜섬웨어가 컴퓨터에 침투할 수 있는 방식은 여러 가지다. 이메일 첨부물이 가장 흔한 방식이며 최근까지는 MS워드 문서의 매크로가 감염에 많이 쓰이는 방법이었으나 이로 인해 수많은 컴퓨터 사용자들이 매크로를 해제하고 이제 워드에서도 매크로 기능이 기본적으로 해제된 만큼 랜섬웨어 제작자들은 새로운 공격수법을 찾아야 하는 상황이 됐다. 그 결과 최신이자 최악의 악성소프트웨어라 할 수 있는 자바스크립트 랜섬웨어가 등장하게 된다.

 

앞서 언급한 이메일은 여전히 랜섬웨어의 주된 배포수단이며 이 때 자바스크립트 첨부물이 무해한 텍스트파일로 위장된다. 윈도 운영체제에서는 기본적으로 파일확장자가 생략돼 있기 때문에 예를 들어 myfile.txt라는 이름의 파일은 사용자에게 그냥 myfile.txt로 보이게 된다. 사용자가 메모장으로 열리는 단순한 문서를 예상하고 해당 파일을 클릭하면 스크립트가 실행되어 맬웨어 감염과정이 개시된다. 경우에 따라서는 맬웨어가 텍스트편집기에서 미끼 파일을 열어 사용자가 초기에 문제를 알아채지 못하도록 할 수도 있다.

 

자바스크립트 랜섬웨어의 최신버전은 RAA 또는 JS/Ransom-DLL이라고 하며 이전 버전보다 훨씬 지능화됐다. 로키(Locky) 랜섬웨어처럼 스크립트 실행을 통해 서버에 접속하여 랜섬웨어 실행프로그램을 다운받는 방식이 아니라 자바스크립트 자체가 랜섬웨어로써 웹브라우저 외부의 윈도 스크립팅호스트(Windows Scripting Host, WSH)에서 실행되며 따라서 브라우저에서 실행되는 스크립트처럼 샌드박스 방식의 차폐가 불가능하다.

 

RAA는 서버에 접속하여 피해자 파일을 암호화할 키를 받아야 한다. 이 암호화키는 피해자별로 고유한 값을 가지는 임의의 AES 키며 따라서 몇몇 초창기 랜섬웨어와 달리 피해자 하나가 돈을 지불하고 복호화키를 얻는다 해도 이를 다른 피해자의 파일을 복구하는 데 사용할 수 없다. 맬웨어는 파일이 모두 암호화되고 나서야 정체를 드러내며 README 파일을 통해 피해자에게 감염 경과를 설명하고 복호화를 위해 돈을 보낼 방법을 알린다. 현재 파일 복구비용은 파일 건당 250달러 정도라고 한다.

 

이 때 금전을 지급할지 여부는 피해 파일의 기밀취급정도, 백업 유무, 금액의 규모, 지급가능성, 업무마비나 소송과 같이 지급을 거절했을 경우의 후속문제 등을 토대로 개인 또는 업무에 따라 달라질 수 있다. 하지만 돈을 지불하고 파일을 복호화한다 해도 추가 맬웨어가 남아있지 않은지 확실히 해야 한다. RAA의 경우 피해자 암호를 탈취하도록 설계된 또 다른 트로이목마를 설치한다는 보고가 있다. 이런 식으로 공격이 끊이지 않을 염려가 있기 때문에 랜섬웨어 감염이 있고 나면 시스템을 완전히 포맷한 다음 운영체제를 재설치하는 방법을 권장한다.

 

 

자바스크립트 랜섬웨어 방지방법

 

<참고: 랜섬웨어 차단 AVG 안티바이러스 비즈니스에디션>


다행히도 랜섬웨어 감염이 발생하기 전이라면 이를 예방할 수 있는 방법이 있다. 우선 윈도 운영체제에서 파일확장자가 보이도록 설정해야 한다. 윈도 파일탐색기(File Explorer) 상단의 보기(View) 항목에서 파일확장자(File name extensions) 체크박스를 선택하면 된다. 또한 대부분의 이메일 클라이언트가 메시지 내부에서의 자바스크립트 실행을 차단하기 때문에 자바스크립트 첨부물을 열지 않는 이상 안전을 유지할 수 있다. 사용자들은 첨부물에 대해 확실히 알지 않는 이상 이를 열지 않도록 교육을 받고 습관이 돼야 한다.

 

또한 실시간 백업을 생성하고 주기적으로 백업을 오프라인 위치에 보관하도록 해야 한다. 맬웨어는 자기가 도달하지 못하는 곳에는 영향을 끼칠 수 없기 때문이다. 이렇게 백업대책이 있다면 랜섬웨어 감염이 발생할 경우 돈을 지불하고 나서도 맬웨어를 염려하여 시스템을 포맷해야 할 필요 없이 단순히 시스템을 포맷하고 나서 백업을 통해 데이터를 복구하면 된다.

 

그리고 스크립트를 차단하는 방법도 있다. 윈도의 파일실행(file association) 기능을 통해 자바스크립트 파일을 WSH에서 실행시키지 않고 메모장을 통해 안전한 텍스트파일로 실행하도록 설정할 수 있다. 이 설정은 운영체제 버전에 따라 달라지는데 웹에서 자신이 사용하는 윈도 버전에 따라 파일실행 방식을 변경하는 방법을 검색하면 된다. 아울러 매크로 자동실행도 차단해야 하며 워드 최신버전의 경우 매크로 자동실행이 기본적으로 차단됐기 때문에 이를 그대로 두면 된다.

 

또한 운영체제와 어플리케이션의 보안패치 등 업데이트를 항상 최신으로 유지하며 맬웨어방지 소프트웨어를 사용하고 그 솔루션의 지표(definition) 정보도 최신으로 유지해야 한다.

 

 


Debra Littlejohn Shinder, Ransomware takes it to the next level: Javascript, 6. 23. 2016.

http://www.gfi.com/blog/ransomware-takes-it-to-the-next-level-javascript/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.06.24 14:21

위로가기