phishing에 해당하는글 7


오늘날 맬웨어의 진화과정에는 일정한 패턴이 있다고 여겨진다. 우선 기본적인 기능만 있고 악성활동은 거의 없이 조용히 작동하는 맬웨어가 주로 트로이목마의 형태로 등장한다. 이 초기 악성코드는 배포되고 얼마 지나지 않아 여러 안티바이러스 업체에게 포착되긴 하지만 아직까지는 별다른 주목을 받지 못하는 잠재적 악성코드에 불과할 뿐이다.


시간이 지나고 나면 해당 트로이목마는 추가 기능을 갖추고 본격적인 위해를 가할 수 있게 되며 마지막 단계에서는 대규모 공격이 개시됨에 따라 수천 대의 기기가 감염되고 트로이목마가 본래 기획된 행동을 개시한다. 얼마나 큰 피해가 야기되는지는 트로이목마의 구체적인 유형에 따라 달라지는데 이는 수백 달러에 달하는 돈을 뜯어내는 랜섬웨어가 될 수도 있고 신용카드라든지 스파이툴을 통해 개인정보를 탈취하는 뱅킹트로이목마(banking trojan)가 될 수도 있다.



Asacub는 위와 같은 단계별 진화과정을 단적으로 보여주는 사례로 처음에는 단순한 피싱프로그램이었지만 이후 강력한 기능을 갖춘 뱅킹트로이목마로 진화했다. 이러한 Asacub보다 더욱 흉악하다고 할 수 있는 악성코드가 바로 Acecard다. Acecard 안드로이드 뱅킹트로이목마 계열 악성코드로 다른 뱅킹트로이목마와 마찬가지로 모바일 금융어플리케이션의 인터페이스에 자체 피싱 입력창을 덮어씌움으로써 사용자로 하여금 카드정보를 입력하도록 유도한다. 사용자가 입력완료 등의 기능을 실행하면 입력된 데이터가 탈취되며 악성코드 제작자 측에서는 카드에서 자기네 계좌로 돈을 빼돌리거나 해당 개인정보를 제3자에게 매각할 수 있다.


Acecard가 특히 돋보이는 이유는 우선 일반적인 뱅킹트로이목마가 고작 몇몇 뱅킹 어플리케이션만 복제 가능한 데 비해 30종에 달하는 은행 및 결제서비스를 복제할 수 있다는 점에 있다. 특히 중앙 서버로부터 별도의 명령을 부여받으면 사실상 모든 종류의 어플리케이션을 복제할 수 있기 때문에 실제로 공격대상이 되는 앱은 훨씬 많아질 수 있다. 아울러 Acecard의 복제대상이 뱅킹어플리케이션에 국한되지 않는다는 점도 위험하다. Acecard는 페이스북, 트위터, 인스타그램 등 모바일 소셜네트워크앱 그리고 왓스앱, 스카이프 등 메신저를 복제할 수 있고 페이팔과 구글 지메일 계정까지 흉내낼 수 있으며 특히 구글플레이스토어와 구글플레이뮤직에 대해서까지 피싱창을 구현할 수 있다.




Acecard는 일반적인 이메일 스팸으로도 배포되지만 플래시 등 유용한 유틸리티로 위장할 수도 있다. 참고로 안드로이드용 플래시는 2012년 이미 지원이 중단됐기 때문에 현재 정식으로 서비스가 제공되는 안드로이드 플래시 플레이어는 존재하지 않는다. 또한 구글플레이스토어를 통해 Acecard를 다운받는 트로이목마도 발견됐다. Acecard는 2014년 2월 처음 발견될 당시만 해도 특별한 악성행동을 보이진 않았지만 1년 반이 지나면서 신기능이 추가됨에 따라 실질적인 위협으로 거듭났다. 카스퍼스키 연구진은 Acecard 변종을 10종 넘게 발견했으며 각 버전은 더욱 강력한 기능을 갖춰 나가고 있다. 특히 카스퍼스키 선임맬웨어분석가 Roman Unuchek은 최근 변종을 두고 "현존 최악의 위협"으로까지 평가했다. Acecard의 본격적인 공격은 2015년 5월 시작됐으며 9월에 이르기까지 6천 명이 넘는 사용자가 공격에 노출됐다. Acecard는 호주에서 뱅킹 사이버공격이 급증한 원인이며 러시아, 독일, 오스트리아, 프랑스에서도 피해사례가 속출했다. Acecard 배후세력은 러시아어 구사자로 추정된다.




모바일 랜섬웨어 방지요령


1. 구글플레이와 같은 공식 채널을 통해서만 어플리케이션 설치. 안드로이드 보안설정을 통해 알지 못하는 출처를 통한 앱 설치를 차단해야 한다.


2. 펌웨어와 어플리케이션을 주기적으로 업데이트한다. 앱의 경우 자동 업데이트가 가능하지만 시스템은 수동으로 업데이트를 직접 해야 한다.


3. 강력한 보안솔루션 사용. 맬웨어는 구글플레이와 같은 공식채널에도 잠입할 수 있으며 미식별 취약점을 파고드는 취약점악용도 가능하기 때문에 별도의 보안솔루션이 필요하다.


<참고: 카스퍼스키 안티바이러스 상세정보>




John Snow, Android trump card: Acecard, 2. 22. 2016.

https://usblog.kaspersky.com/acecard-android-trojan/6745/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.05 15:31



게시일: 2016-06-20 l 작성자: Ryan Flores (Threat Research Manager)

범죄의 목적으로 기업 최고경영자(CEO) 또는 대표이사, 사장 등 고위 간부을 사칭한 이메일 범죄의 증가는 놀라운 일이 아닙니다. 고위 간부의 요청사항을 거절하기 쉽지 않기 때문입니다. 부자연스러운 문법 표현, 복권 당첨, 타국가 왕족의 편지와 같은 비현실적인 이메일을 범죄에 활용하는 시대는 지나갔습니다. 오늘날 범죄에 이용하는 이메일은 업무 이메일 해킹으로 이루어지는 ‘허위 송금 이메일(Business Email Compromise, BEC)’ 입니다. 기업의 간부로 교묘하게 위장하여 타겟 기업의 최고 재무책임자(CFO) 등 재무 관계 책임과 업무를 담당하는 직원을 대상으로 하고 있습니다.

BEC 공격 캠페인은 중소중견 및 대기업 등 기업의 규모와 무관하게 모든 기업이 피해를 입을 수 있는 위험한 사이버 범죄 중 하나로 손 꼽히고 있습니다. 우선, 보안 소프트웨어 등으로 감지되지 않는 사회공학적 수법을 구사하기 때문이며, 또한 재무 부문을 특정 타겟으로 하여 상급 직권에 따를 수 밖에 없는 상황을 악용하기 때문입니다. 이는 바로, 기업의 맹점을 찌르는 공격 수법이라고 할 수 있습니다.

트렌드마이크로는 지난 2년 동안 발생한 BEC 공격 및 피해 사례에 대한 조사를 실시했습니다. 당사의 조사 결과, BEC 공격에는 일정한 패턴을 확인했으며, 추후 기업에서 실시해야 할 보안 대책을 파악할 수 있습니다.

  • BEC 공격의 40%는 CFO를 타겟으로 한다.
  • BEC 공격의 31%가 CEO를 사칭한다.
  • BEC 공격에서 가장 많이 사용되는 이메일 제목은 “Transfer(송금)”, “Request(요청)”, “Urgent(긴급)” 등의 간단하고 직접적인 표현이다.

다양한 수법

기업 간부로 위장하여 송금을 지시하는 “CEO 사기” 수법 이외에도, 다양한 송금 사기 수법이 활용되고 있습니다. 게다가, 저렴한 비용으로 가능합니다. BEC 공격 캔페인에 사용되는 멀웨어는 온라인에서 50 달러에 구매 가능하며, 무료로 사용할 수 있는 멀웨어도 존재합니다. 또 다른 경우, 단순한 이메일 스푸핑을 넘어서는 수법도 있습니다. 사이버 범죄자는 정상적인 이메일 계정을 해킹하여 계정 소유자를 사칭하여 허위 계좌로 송금을 요청합니다. 피싱 또는 키로거(keylogger)를 사용하여 직원 계정 정보를 탈취한 후 이를 이용하여 송금을 요청합니다. 경우에 따라, 계약 성립 전화 등을 꾸며내기도 합니다. 특히, 해외와 거래하는 업체들은 송금내역 수정 등의 수법을 활용한 BEC의 주요 타겟이 되고 있습니다.


직원 대처의 중요성

BEC의 수법은 여러 조사에 의해 대부분 알려져 있습니다. 하지만 미연방수사국(FBI)에 다르면 최근 조사 결과, 2013년 10월부터 2016년 5월까지 피해액이 약 31억 달러에 이릅니다. 이러한 피해 규모를 고려해 보았을 때, BEC 공격 캠페인의 수법을 정확히 파악하여 이에 대처할 수 있도록 직원을 교육하는 것이 중요합니다.

BEC 공격은 교묘하고 은밀하게 이루어지기 때문에 기본적인 주의사항 또는 보안 대책만으로 충분하지 않습니다. BEC 공격 캠페인은, 기업과 조직의 자산을 보호하기 위해 직원의 역할이 얼마나 중요한지 보여줍니다. 직원 개인의 보안 의식 증진은 거액의 송금을 요구하는 BEC 공격 수법에 대응할 수 있는 중요한 방어 요소라고 할 수 있습니다.


트렌드마이크로의 대책

트렌드마이크로는 중소중견 및 대기업이 사회공학적 기법을 이용한 공격인 BEC의 수법에 대응하기 위한 방어책을 보유하고 있습니다. 엔드포인트 보안인 Worry-Free 비즈니스 시큐리티와 오피스스캔은 이상 파일 또는 스팸메일을 감지하고 악성 URL 차단을 통해 위협으로부터 보호합니다. Deep Discovery는 관련 악성 프로그램을 감지하고 시스템의 감염 및 정보 탈취를 방지합니다. 또한, Deep Discovery Email Inspector는 악성 첨부파일과 악성 URL을 차단하여 기업을 보호합니다.

관련 링크


원문: Company CFOs Targeted The Most By BEC Schemes




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


기업 CFO를 노리는 허위 송금 이메일, BEC

https://www.trendmicro.co.kr/kr/blog/company-cfos-targeted-bec-schemes/index.html



참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.21 13:50


사례: 사용자는 자신이 구입하려고 한 물품에 대한 .pdf 형식 주문서가 첨부된 이메일을 확인한다. 해당 이메일은 스팸 필터링에 걸리지 않았으며 첨부물에 대한 검사결과도 이상이 없었다. pdf 본문에는 httx://www.mesaimeerclub.com/templates/invest/just라는 링크가 있었다. 이 링크를 클릭한 결과 Gmail 로그인 페이지처럼 보이는 웹페이지로 이동했으며 이에 따라 사용자가 Gmail 아이디와 비밀번호를 입력했다. 입력 이후 몇 분이 지나고 나서 다시 구글 로그인을 시도한 결과 비밀번호가 변경된 상태였고 비밀번호 복구 옵션도 작동하지 않았다.






하루에 수신하는 소셜네트워크 업데이트, 주문확인, 업무상 연락 등 보통 사람이 하루에 수신하는 이메일의 양은 엄청나게 많다. 경우에 따라 이들 이메일은 그 사용자가 실제로 하는 일과 관련이 있기도 하다. 그렇기 때문에 사용자들이 별도의 교육 없이 피싱공격을 일일이 구별해 내기란 번거롭고 어려운 일이다. 특히 몇몇 피싱이메일의 내용은 그 진위를 밝혀내기가 어렵기도 하다. 사용자가 이메일을 열고 악성코드를 실행하도록 유도하는 일은 어렵지 않다. 특히 위 사례의 경우 문법적 오류도 거의 없었으며 악성웹사이트의 외관도 정상적으로 보였다.


이렇게 사용자들로 하여금 링크 클릭, 스크립트 열기, 악성웹사이트 방문 등을 하도록 유도하려는 시도는 아주 다양한데 이는 사용자의 데이터가 그만큼 가치가 크기 때문이다. 특히 사용자 정보를 암호화시키거나 위 사례처럼 계정을 잠가 버리고 복구의 대가로 사용자에게 돈을 요구하는 랜섬웨어도 생각할 수 있다.


랜섬웨어 제작자들은 나날이 지능적이고 교묘하게 진화하고 있으며 사용자의 돈을 뜯기 위해 언제나 새로운 수법을 모색하고 있다. 2014년에 배포된 랜섬웨어는 데이터 복호화의 대가로 0.5비트코인(미화 325달러) 정도를 요구했지만 오늘날의 랜섬웨어 변종은 24시간 내에 8비트코인을 지불하도록 요구하며 기한이 지나면 그 두배의 액수를 요구한다. 랜섬웨어는 일반사용자 외에 기업과 IT관리자까지 노리는데 이들의 인프라 내 권한이 승격된 상태임을 이용하고자 하기 때문이다.


여기에서는 기업 내 모든 사용자들에게 공통적으로 적용될 수 있는 몇 가지 유의사항을 소개하려 한다. IT관리자의 경우라면 랜섬웨어와 같은 사이버공격에 대한 대비는 이미 상당히 갖춰진 상태지겠지만 일반사용자는 아무런 대책이 없을 수 있다.


• 음성메일, 구매주문, 배송알림 등을 받았지만 그러한 수신이 본래 업무상 예정된 경우가 아니라면 발신자의 신원이 분명한지 그리고 그 발신자가 해당 내용을 실제로 보냈는지 확인한다. 발신자 신원이 불명확하거나 혹은 수상해 보인다면 해당 이메일은 삭제가 바람직하다. 만약 동기 혹은 상사로부터 문서를 받았고 본문에 첨부물을 반드시 열도록 쓰여 있는 경우에도 일단은 그 동기나 상사에게 직접 연락하여 해당 첨부물을 실제로 보냈는지 확인한다.


• 이메일 첨부물이 있을 때 일단은 그 첨부물을 열지 말고 해당 이메일의 발신자가 자신이 아는 사람이라도 그 발신자가 보통 그러한 첨부물을 보내지는 않는 경우라면 발신자에게 직접 연락하여 해당 첨부물을 그 발신자가 보냈는지 확인한다.


• 어떤 첨부물이든 스크립트 해제 혹은 편집 해제로 인해 링크 클릭을 요구한다면 해당 기능을 절대로 켜서는 안 된다. 특히 데이터가 뒤섞여 보이는 경우라면 이는 사용자의 데이터 전체를 암호화하기 위한 미끼임이 거의 확실하다.


• 회사 기기에서 개인 이메일을 열지 않아야 하며 반대로 개인 기기에서 업무 이메일을 열어서도 안 된다. 랜섬웨어가 주로 기업을 목표로 하며 사용자가 해당 랜섬웨어가 들어간  이메일을 열어서 감염된다면 단순히 파일이 잠기는 데 그치지 않고 업무에 지장을 초래할 수 있어서 훨씬 더 좋지 못한 결과로 이어질 수 있다.

• 마이크로소프트, 에너지업체,우편업체 등은 절대로 사용자에게 설정복원, 주문접수, 음성메일 등을 구실삼아 어떤 웹사이트를 열도록 요청하지 않는다. 이는 순전히 공격자가 사용자 기기에 접근하기 위해 사용하는 기만수법일 뿐이다.


다만 이상의 모든 경우의 수를 다 막아낼 수 있는 만능수단은 존재하지 않는다. 다층보안(layered security)을 통해 최대한 위험을 완화시키는 것이 최선의 방향이다. 악성이메일을 아무리 잘 막아낸다 해도 일부는 필터링을 뚫고 들어올 수도 있으며 악성광고 또한 보안대책에도 불구하고 여전히 나타날 수 있다. 보안대책의 마지막 단계에 해당하는 사용자 측에서는 악성코드가 실행될 경우 어떤 결과가 발생할 수 있는지 알고 이에 대비해야 한다. 아울러 백업솔루션 또는 재난복구대책을 준비하여 보안사고로부터 복구하기 위해 필요한 대책을 마련해 두는 것도 아주 중요하다.




Bjorn Leenen, Hacked by a purchase order. How it can happen, 7. 14. 2016.

http://www.gfi.com/blog/hacked-by-a-purchase-order/


번역요약madfox



참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.19 16:07


 



소셜엔지니어링(social engineering)이란 사람을 속이거나 어떤 행동을 유도하여 그 사람의 금전이나 정보를 훔치는 수법을 의미한다. 이 수법에는 전화, 메일, 우편, 직접적인 만남 등 다양한 수단과 방법이 사용된다. 소셜엔지니어링 공격은 기존 사이버공격과 같은 결과를 야기한다. 사이버범죄자는 피해자의 기밀정보를 알아내는 데 사용될 수 있는 개인정보를 자신에게 제공하도록 유도한다. 이들은 목적은 피해자의 금전, 물품, 중요정보, 사진 등 개인데이터를 탈취하는 데 있으며 피해자의 컴퓨터나 전화를 사용하려는 경우도 있다. 이들은 개인정보 탈취에 아무런 거리낌이 없다는 점에서 더욱 위험하다. 이러한 공격을 방지하려면 단지 안티바이러스 등 솔루션에 의존하기만 해서는 부족하고 우선 그 수법을 이해해야 한다. 온라인 소셜엔지니어링의 주된 방식에는 피싱(phishing)과 스피어피싱(spear-phishing)이 있다.

 

 

피싱이메일

피싱이메일은 데이터침탈과 사이버공격의 1순위 원인이 되는 위협이며 이 수법이 이토록 잘 통하는 이유는 범죄자들이 스팸메일이 정상적인 메일처럼 보이도록 하는 방법을 터득했기 때문이다. 미국 국토안보부 산하 컴퓨터긴급대응팀(United States Computer Emergency Readiness Team, US-CERT)은 피싱이메일이 사용자로 하여금 정상적이라고 위장된 가짜 웹사이트로 이동하는 링크를 클릭하도록 유도한다고 설명한다.

US-CERT 원문: https://www.us-cert.gov/ncas/tips/ST04-014

 

공격자는 종종 공격 당시의 사건이나 혹은 연중 특정시기를 활용하기도 하며 그 예시는 다음과 같다.

자연재해

전염병 등 보건이슈

경제이슈

주요정치일정

휴무일

 

 

스피어피싱

피싱 중에서도 대세를 이루는 공격방식으로 특정 표적을 지정하며 고도로 지능적인 기만수법이다. 스피어피싱은 수천의 이메일을 무작위로 뿌려 몇몇 피해자의 발생을 기대하기보다는 직장동료, 멤버십, 대학동기 등 어떤 공통점을 보유한 특정 인원을 목표로 삼는다.

 

스피어피싱은 대체로 공격대상에 대한 내부정보를 먼저 확보함으로써 그들에게 정상적으로 보일만한 이메일을 제작하는 과정을 거친다. 가장 직접적인 방법으로는 공격대상의 컴퓨터나 혹은 그 회사의 컴퓨터 네트워크에 대한 해킹이 있으며 물론 이 과정은 상당히 어렵다. 이 경우 보안대책이 강력할수록 이러한 해킹을 막을 가능성이 높아지며 따라서 지능형 이메일필터링과 우수한 안티바이러스가 스피어피싱 방지에 큰 도움이 된다. 이들은 해킹에 돌입하기에 앞서 다양한 웹사이트, 블로그, 소셜네트워크 등을 검색하여 필요한 정보를 확보한다.

 

오늘날 사회는 관계 중심으로 발전함에 따라 인해 사람, 뉴스, 장소 사이의 연결이 그 어느 때보다 심화되고 있다. 사용자는 손가락만 까닥하여 온 세상과 접촉할 수 있다. 이는 곧 전례 없이 많은 정보의 공유를 의미하며 이에 따라 의도치 않게 정보를 유출하고 해커들이 이를 조합하여 사기수법과 공격에 활용하게 되는 결과를 불러일으킬 수 있다. 피싱 및 스피어피싱 메일은 대체로 비밀번호, 계좌번호, 사용자 ID, 접속코드, PIN 번호 등 개인정보를 제공해야 하는 이유를 아주 그럴듯하게 설명한다. 이들은 가짜 웹사이트에 대한 클릭을 유도하는 방법을 즐겨 사용한다.

 

이러한 수법을 물론 잘 이해하는 것도 중요하지만 피싱 이메일이 도달하기 전에 막는 솔루션을 사용할 수도 있다. 우선 가장 중요한 툴은 안티바이러스로 여기에는 대체로 불필요한 이메일과 악성 URL을 방지할 수 있는 스팸필터링 기능, 보안상 위험한 웹사이트에 대한 접속을 막을 수 있는 악성웹사이트 차단기능 등이 포함도 있다. 그 외에 사이버공격을 막을 수 있는 안타비아러스 기능으로는 아래 링크 참고.

 

소셜엔지니어링 방지요령

 

US-CERT는 소셜엔지니어링 사기수법을 방지하기 위한 몇몇 요령을 제시하며 그 내용은 다음과 같다.

요청하지 않은 개인에 의한 전화, 방문, 이메일을 통해 직원 등 내부정보를 문의하는 경우를 조심한다. 신원불상 개인이 정상적인 기관에 소속됐다고 주장하는 경우 해당 기관에 직접 문의하여 그 개인의 신원 확인 시도한다.

개인정보 그리고 네트워크구조 등 회사정보는 상대방이 해당 정보를 보유할 권한이 있음이 명백한 경우가 아닌 이상 제공하지 않는다.

이메일에 개인정보나 금융정보를 밝히지 않고 이러한 정보를 요청하는 이메일에 응하지 않는다. 이는 이메일에 담긴 링크에 대해서도 동일하다.

웹사이트 보안이 확인되기 전에는 인터넷으로 기밀정보를 제공하지 않는다.

웹사이트 URL에 주의한다. 악성웹사이트는 정상적인 웹사이트와 똑같아 보일 수 있으나 URL에 다른 철자나 도메인이 들어갔을 수 있다(ex: .com - .net).

이메일에 의한 정보요청이 정상적인지 불확실한 경우에는 해당 회사에 직접 문의하여 이를 확인하도록 한다. 해당 요청에 제시된 웹사이트가 제공하는 연락처는 사용하지 않으며 그 연락처에 대해서는 예전에 밝혀진 내용을 확인한다. 피싱차단그룹(Anti-Phishing Working Group) 등 온라인 그룹을 통해 알려진 피싱공격에 대한 정보를 확인할 수도 있다.

이메일클라이언트와 웹브라우저의 피싱차단기능을 활용한다.

안티바이러스 소프트웨어, 방화벽, 이메일필터링을 사용하여 악성트래픽 유입을 감소시킨다.

 

사이버범죄자들은 다른 사람의 컴퓨터에 침입하기 위해 온갖 수법을 동원하므로 항상 주의하는 자세를 가지고 특히 이메일을 조심해야 한다.

 



VIPRE Security News, Social Engineering 101: Everything You Should Know, 6. 30. 2016.

https://blog.vipreantivirus.com/tech-talk/social-engineering-anyway/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.05 17:10

 

랜섬웨어는 미국을 비롯한 세계 각지의 기업들에게 중대한 온라인보안위협으로 떠올랐다. 이제는 공공기관조차 랜섬웨어 위협에서 자유롭지 못하다. 2015년 미국 매사추세츠 주 경찰은 파일 복호화를 위하 사이버범죄자들에게 500달러를 지불한 적이 있으며 이는 수많은 피해사례 중 하나에 불과하다.

 

랜섬웨어 소개

랜섬웨어는 스팸이나 피싱이메일을 통해 전달되어 사용자가 악성링크를 클릭하도록 유도하며 컴퓨터시스템, 기기, 파일에 대한 접근을 차단하고 이를 인질삼아 접근을 재개시키는 대가를 비트코인이라는 인터넷통화의 형태로 요구한다. ThreatTrack 제품담당수석 Usman Choudhary는 다음과 같이 설명한다. "사이버범죄자들의 이러한 수법이 먹히는 이유는 소비자와 기업이 기업 지적재산에서부터 가족사진에 이르기까지 온갖 데이터를 탈취당하여 돈을 주지 않는 이상 이를 복구할 길이 없는 상황에 대한 대비가 전혀 안 된 상태기 때문이다. 기업 보안전문가들조차 3명에 1명꼴로 탈취되거나 암호화된 데이터를 안전하게 복구하기 위해 돈을 지불할 용의가 있다고 응답했으며 이미 표적이 된 기업에서는 이 비중이 55%까지 올라갔다." 이하에서는 바이퍼(VIPRE) 안티바이러스팀이 개인과 기업이 모두 따를 수 있는 랜섬웨어 대비요령을 소개한다.

 

1. 데이터백업

언제나 데이터사본을 백업해 둬야 한다. 외장 하드드라이브의 경우 공급량이 늘어나고 가격이 떨어지고 있기 때문에 간편하고 저렴한 백업수단이 된다. 또한 각종 클라우드솔루션을 통해 자동으로 외부서버에 백업하는 방법도 있다. Carbonite, CrashPlan, Mozy 등 백업서비스는 클라우드에 데이터를 보관하게 하여 랜섬웨어공격 상황을 복구할 수 있고 또한 화재, 홍수, 토네이도, 지진과 같은 자연재해의 경우에도 보호받을 수 있도록 한다. 이는 랜섬웨어의 협박을 피할 수 있는 가장 좋은 방법이다.

 

2. 데이터백업 주기적으로 실행

데이터백업도 중요하지만 최종백업 시점이 언제인지 기억할 수 정도로 시간이 지난다면 백업의 효과를 거둘 수 없다. 되도록 매일 그리고 적어도 일주일에 한 번 데이터를 백업하도록 해야 한다.

 

3. 종합 맬웨어방지솔루션 사용

랜섬웨어를 차단하고 잡아내기 위해서는 다양한 방어대책을 활용해야 한다. 개인사용자의 경우 바이퍼 솔루션을 최신버전인 9.3 버전으로 무료 업데이트가 가능하며 가장 강력한 제품인 인터넷시큐리티프로(Internet Security Pro)를 사용할 수도 있다. 기업사용자라면 바이퍼 엔드포인트시큐리티(Endpoint Security)에 투자할 필요가 있다. 엔드포인트시큐리티는 종합보안전략에 필요한 각종 신기능을 제공한다. 이메일에 대해서는 파일을 컴퓨터로 유입시킬 수 있는 악성 URL을 검사할 수 있으며 웹브라우저 또한 글로벌 실시간 클라우드서비스를 통해 악성URL을 차단하여 즉시방어가 가능하다. 기기보호기능은 USB와 같은 무허가기기가 컴퓨터환경의 파일에 접근하는 것을 막는다. 그리고 엔드포인트시큐리티의 고유기능인 행동분석은 클라우드보호서비스를 통해 업데이트되며 이를 통해 제로데이 취약점 분석능력을 계속 향상시킬 수 있다.

<참고: 랜섬웨어 차단 AVG 유료안티바이러스>

 

4. 피싱이메일 주의

사용자의 가족 또는 최신 소셜엔지니어링 수법을 익힌 다른 사용자로 인해 악성링크와 첨부물을 클릭하는 결과가 유도된다는 점을 인지해야 한다. 온라인 강의나 보안의식제고 서비스와 같이 도움을 받을 수 있는 방법이 아주 다양하다. 기업사용자는 스팸, 맬웨어, 스피어피싱, 웨일링 등 다양한 해킹수법과 용어에 대해 주기적으로 알림으로써 친구, 직장동료, 온라인매장 등으로 출처를 위장하는 피싱시도를 직원들이 보다 잘 식별해 내도록 해야 한다. 그리고 개인사용자는 바이퍼에 포함된 스팸필터링을 통해 피싱이메일을 피할 수 있으나 그렇다 해도 이메일을 확인할 때마다 주의하는 태도를 가져야 한다.

 

5. 안전한 컴퓨터 사용과 소프트웨어 업데이트

랜섬웨어 제작자들은 주요 소프트웨어 어플리케이션의 취약점을 악용하는 수법도 즐겨 사용한다. 어플리케이션의 업데이트를 항상 최신으로 유지하고 있다면 공격가능성을 대폭 줄일 수 있다. 더욱 좋은 방법은 바로 모든 어플리케이션에 대해 자동업데이트 기능이 있다면 이를 작동시키는 것이다. 어도비리더, 어도비플래시, 자바, 구글크롬, 아이튠즈, 스카이프, 파이어폭스 등이 주요 공격대상이다.

바이퍼 비즈니스프리미엄(Business Premium) 그리고 바이퍼 엔디포인트시큐리티 기업용버전은 패치관리기능이 있으며 VIPRE 인터넷시큐리티 및 인터넷시큐리트 프로 또한 자동패치기능을 제공한다. 자동패치기능이 대시보드에서 켜져 있다면 소프트웨어 업데이트가 새로 나올 때마다 즉시 설치된다. 자동패치에 대한 상세정보는 아래 링크 참고.

https://support.vipreantivirus.com/support/solutions/articles/1000092556-what-is-vipre-auto-patch 


6. 업무데이터와 개인데이터 분리

최근 조사에 따르면 IT보안인력이 임원급의 컴퓨터/기기에 대해 맬웨어 제거요청을 받았을 때 원인이 해당 임원의 가족이 그 기기를 사용했기 때문인 비율이 3분의 1이나 됐다고 한다. 이제 수많은 사람들이 가정에서도 업무를 보며 특히 소기업의 경우 가정에서만 업무가 처리되는 경우도 있기 때문에 업무와 개인생활을 분리하는 게 어려울 수도 있으나 양자를 최대한 분리해야 데이터를 안전하게 지키고 사이버공격의 피해를 최소화할 수 있다.

마지막으로 만약 랜섬웨어에 감염된다면 그 즉시 모든 연결을 차단해야 하며 이는 컴퓨터를 즉시 끄고 네트워크에서 분리해야 함을 의미한다. 이렇게 하면 비록 피해가 발생한다 해도 맬웨어가 다른 시스템과 기기에까지 퍼지는 사태를 막을 수 있다.

 

 

 

VIPRE Security News, Six Tips to Avoid Ransomware, 6. 1. 2016.

https://blog.vipreantivirus.com/featured-article/six-tips-avoid-ransomware/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.06.07 17:27



 

요즘 랜섬웨어에 대한 관심이 뜨겁다. 수많은 미국 병원들이 랜섬웨어 공격을 받아 데이터를 상실하고 업무에 큰 방해를 받게 되어 언론에 보도되고 있는 상황이다. Hollywood Presbyterian Medical CenterCEO는 인터뷰를 통해 "시스템을 복구하기 위해 가장 빠르고 효율적인 방법은 바로 공격자의 요구대로 돈을 내는 것이었다."고 실토하기도 했다(비트코인으로 17천 달러).

랜섬웨어는 보통 이메일이나 웹사이트를 통해 퍼지는 악성코드로 강력한 암호화키(: 2048비트 RSA)를 통해 대량의 데이터를 암호화해 버린다. 그러고 나면 해당 데이터를 복호화하는 대가로 돈을 요구하게 된다. 여기에서는 랜섬웨어 공격을 방지하기 위한 10가지 요령을 소개한다.

 

1. 주기적으로 백업

데이터의 주기적 백업은 암호화된 파일을 복구할 수 있느 가장 빠른 방법이다. 백업도 감염되는 사태를 막기 위해서는 백업을 안전한 오프라인 공간(또는 클라우드솔루션)에 분리 보관해야 하며 읽기 전용으로만 설정해야 한다. 주기적으로 데이터무결성을 확인하여 백업데이터가 안전한지 확실히 할 필요도 있다.

주의: 백업대책의 복구과정을 실제로 시범한 적이 없다면 그 백업대책은 아무런 의미가 없다. 복구 불가능한 백업은 할 이유는 없기 때문이다.

 

2. 이메일보안솔루션을 통해 이메일첨부물 검사 및 차단

이메일첨부물을 검사하거나 특정 이메일첨부물 유형이 메일수신함에 도달하기 전에 차단하는 이메일보안솔루션은 랜섬웨어 피해를 방지할 수 있는 훌륭한 방법이다. 여기에 더해 '실시간보호''실행시 검사'와 같은 기능을 갖춘 안티바이러스를 통해 백그라운드 의심활동을 모니터링할 수 있으며 사용자가 악성파일을 클릭하는 즉시 대응조치가 이루어질 수 있다.

 

3. 특정 사용자프로필 폴더에서 실행되는 실행파일(exe) 차단

엔드포인트에서 윈도 소프트웨어 제한정책(Software Restriction Policy)이나 침임방지 소프트웨어를 사용할 경우 다음 위치에서 실행파일이 실행되지 않도록 해야 한다. 이들 폴더 및 하위폴더는 랜섬웨어가 악성프로세스를 호스팅하는 위치로 알려져 있다.

%userpro

%appdata%

%localappdata%

%ProgramData%

%Temp%

이 때 규칙은 "전체 차단, 일부 허용(block all, allow some)"으로 설정하여 기본 행동은 특정 어플리케이션을 허용하지 않는 이상 모든 실행파일을 차단하도록 해야 한다.

: ThirdTier의 랜섬웨어방지킷(Ransomware Prevention Kit)은 다양한 그룹정책과 정보 등 리소스를 제공하며 이를 통해 랜섬웨어 위협을 줄이고 위에 소개한 규칙을 적용할 수 있다.

 

4. 주기적으로 꾸준히 패치 설치

랜섬웨어의 가장 흔한 감염경로는 바로 소프트웨어 취약점이다. 운영체제, 브라우저, 사무어플리케이션(: MS오피스), 방화벽, 네트워크기기의 패치를 최신으로 유지하여 랜섬웨어 위험을 줄일 수 있다.

 

5. 의심 외부트래픽 모니터링 및 차단

침입탐지&방지시스템(Intrusion Detection and Prevention System, IDPS)은 의심 외부트래픽을 모니터링하고 사용자에게 경고하거나 일정한 조치(: 연결차단 또는 방화벽 재설정)를 실행할 수 있다. 이 정보를 위협정보 공유그룹과 연계시킨다면 보안인프라를 강화하여 네트워크에서 랜섬웨어의 통신활동을 곤란하게 할 수 있다(랜섬웨어와 공격자측의 통신 차단).

 

6. 권한부여 최소화

어떤 랜섬웨어가 관리자 보안권한을 통해 실행된다면 더욱 큰 피해를 야기하고 보다 광범위하게 퍼질 수 있다(: 네트워크드라이브, 공유폴더, USB기기에 보관된 데이터 암호화 가능). 사용자가 작업에 필요한 정도로만 최소한의 권한을 가지고 로그인하도록 권한부여를 최소화함으로써 랜섬웨어의 공격피해를 감소시키고 전파위험도 줄일 수 있다. 어떤 랜섬웨어는 권한수준을 상승시키려 시도하기도 하지만 대부분의 경우 실행된 당시의 보안권한을 따르게 된다. 권한을 최소화시키면 사용자가 관리자권한으로 명령을 실행하거나 어플리케이션을 설치/삭제하고자 할 경우 계정정보를 직접 입력해야만 그 작업에 필요한 시간 동안만 해당 권한수준을 획득할 수 있게 된다.

 

7. "알려진 파일유형 확장자 숨김" 해제

랜섬웨어가 정체를 숨기는 방법으로 정상적인 파일유형으로 위장하는 수법이 있다. 예를 들어 PDF 문서로 위장하는 파일의 경우 "Invoice.pdf.exe"라는 파일이름을 가질 수 있다. 이 경우 "알려진 파일유형 확장자 숨김"이 적용된다면 이 파일의 이름은 "Invoice.pdf"로 보이게 된다. 이러한 확장자 숨김 옵션을 해제하면 의심파일을 보다 용이하게 포착할 수 있다.

 

8. MS오피스 어플리케이션 보안설정 강화

Locky라는 이름의 최신 랜섬웨어 변종은 악성매크로를 통해 공격수단을 다운로드받아 실행하게 된다. 그룹정책을 통해 매크로 사용을 차단하거나 "전자서명된 매크로 제외한 모든 매크로 차단(Disable all macros except digitally signed macros)" 옵션을 설정할 수 있다. 이와 유사하게 액티브X와 외부컨텐츠(External Content) 설정을 "사용자선택(Prompt)"이나 "차단(Disabled)"으로 설정할 수 있다(사용자 환경의 업무상 필요에 따라).

 

9. 사용자 보안교육

랜섬웨어 방지대책의 최종단계에는 바로 사용자가 있다. 부주의한 사용자가 맬웨어를 다운로드하고 실행하는(이메일첨부물 열기, 악성링크 클릭 등) 과정이 없다면 랜섬웨어는 결코 큰 효과를 보기 어렵다. 사용자에게 모범적 행동요령 그리고 위협을 어떻게 포착할지에 대해 교육한다면 소셜엔지니어링 공격에 당할 가능성을 줄일 수 있다. 특히 강조해야 할 부분은 다음과 같다.

알지 못하는 송신자가 보낸 이메일첨부물을 열지 말 것

알지 못하는 송신자가 보낸 이메일의 링크를 클릭하지 말 것

이메일 본문의 도메인 철자오류 확인(: microsoft.com이 아닌 rncom로 표기)

이메일 제목 및/또는 본문의 철자오류 및 형식오류 확인

의심스러운 파일이나 이메일이 있으면 IT 지원창구나 정보보안팀에게 연락

 

10. 인터넷다운로드 전량검사

웹모니터링 및 스캔 솔루션을 사용하여 인터넷다운로드를 전량 검사해야 한다. 이를 통해 알려진 악성사이트에 대한 사용자 접속을 방지할 수 있으며 특정 파일유형을 검사 또는 차단할 수 있다. 피싱이메일이 실제로 침투하거나 사용자가 악성링크를 클릭하게 돼도 GFI WebMonitor와 같은 웹모니터링 및 스캔 솔루션이 있다면 악성사이트 접속이나 파일다운로드를 차단할 수 있다.

 

위 내용이 너무 많다면...

다소 진부한 말일 수 있으나 랜섬웨어 방지에 대해 다층적인 접근방식을 취할 때 감염을 피할 가능성을 극대화할 수 있다. 이러한 다층접근방식을 구체적으로 풀어 랜섬웨어 방지요령을 요약할 때 이에 따른 권고사항은 다음과 같다.

1. 확실한 백업 및 복구 계획이 마련되어 있어야 한다. 이를 통해 랜섬웨어 감염이 발생한다 해도 암호화되지 않은 최신사본을 통해 사고를 극복할 수 있다.

2. 랜섬웨어의 가장 보편적인 공격경로인 이메일과 인터넷다운로드에 대한 보안을 강화함으로써 랜섬웨어 노출을 최소화(GFI MailEssentials이나 GFI WebMonitor와 같은 솔루션을 통해 이메일 및 인터넷다운로드 보안 강화 가능)

3. 네트워크에 침투한 랜섬웨어에 대한 가시성을 높이는 방향으로 설정과 정책을 적용하여 의심스러운 파일이나 활동을 탐지하고 맬웨어가 성공적으로 실행될 가능성을 줄인다.

4. 무엇보다도 사용자들이 의심되는 상황을 감지하고 그런 상황에서 어떻게 행동할지에 대해 교육하는 것이 가장 중요하다.


<참고: 랜섬웨어 차단 가능한 AVG 안티바이러스>

 

 

 

Andrew Tabona, 10 ways to prevent ransomware from damaging your business, 4. 28. 2016.

http://www.gfi.com/blog/10-ways-to-prevent-ransomware-from-damaging-your-business/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.05.09 14:45



스팸과 피싱이 끊이지 않는 세상카페에서 링크를 하나 클릭했다는 이유만으로 관리자에게 지적받는 세상어떤 회사는 이메일 자체를 포기하는 방법까지 고민하는 세상그 와중에 한 회사가 유례 없는 행동에 돌입했다이 회사는 고객에게 급박한 메시지와 함께 클릭할 버튼 하나가 들어 있는 이메일을 보냈다버튼을 눌러라 그렇지 않으면 2주 내에 모든 자료가 삭제될 것이다라는 내용의 이메일은 수많은 이메일보안 관리자들의 분노를 살 지경이 됐다여기에 한 블로거가 더 이상은 안 되겠다며 맞서고자 한다.


위 내용은 시적으로 과장되긴 했지만 사실 텀블러가 도대체 무슨 생각으로 위와 같은 행태를 보였는지 지적하지 않을 수 없다.

 

이메일관리자의 입장에서 이메일에 첨부된 클릭해서는 안 되는 링크를 사용자가 클릭해 버린 경우는 가히 최악의 사태라고 할 만하다. IT 예산의 상당부분은 스팸차단/피싱차단/맬웨어차단 필터링 솔루션에 투자되며 이는 사용자 메일함에 골칫거리가 침투하지 않도록 하기 위함이다그리고 사용자들이 피싱에 넘어가 물질적 손해를 입는 사고를 뒷처리하고 또한 사용자들이 앞으로는 피싱을 가려낼 수 있도록 하는 교육에도 상당한 시간이 투자된다.

 

침입자들은 언제나 정상적인 서비스를 가장하기 위해 온갖 수단방법을 가리지 않으며 정상 서비스가 오히려 침입자의 행태를 보이는 경우만큼 곤란한 일도 없을 텐데 텀블러는 이번에 그런 우를 범하고 말았다.

 

필자는 이름이 흔하지 않은 편이어서 어떤 서비스에 새로 가입할 때 사용자 이름이 중복되는 일은 별로 없지만 만약 그럴 경우에 난감하긴 마찬가지다. casper라는 이름을 놔두고 cmanes73과 같은 다른 아이디를 만드는 건 무척 번거로운 일이다이렇게 보면 텀블러가 아이디 중복을 줄이기 위해 비활성 계정을 조사하는 조치는 확실히 수긍할 만하다이는 필요한 일이며 구글도 이를 본받을 필요가 있다다만 이렇게 좋은 목적을 실제로 실행하는 방법이 문제였다.

 

피싱 공격에서 가장 흔하게 나타나는 징표를 떠올리면 다음과 같다.

 

◆ 예정에 없던 이메일

◆ 첨부된 링크

◆ 특정한 행동 요구

◆ 요구사항을 따르지 않을 경우의 불이익 예고

◆ 어색한 문장

 

그리고 다음은 필자가 얼마 전 텀블러로부터 수신한 이메일이다.

 



 

◆ 예정에 없던 이메일 해당

◆ 첨부된 링크 해당

◆ 특정한 행동 요구 해당

◆ 요구사항을 따르지 않을 경우의 불이익 예고 해당

◆ 어색한 문장 – 적어도 철자를 교정하고 문법을 지키는 정도의 노력은 보였다.

 

이상과 같이 5개 지표 중에 4개가 해당되기 때문에 피싱일 가능성이 아주 크다고 진단된다버튼 위에 마우스를 올리면 다음과 같은 모양의 링크를 볼 수 있다.


 

보이는 모습처럼 URL이 하도 길어서 마우스 커서로 미리보기를 할 수조차 없었다주소를 복사해서 메모장에 붙인 결과는 다음과 같다(안전을 위해 몇 글자를 바꿨다).

 

https://mx.tumblr.com/wf/click?upn=pExFEqfPlO5duncgvWxELj6BdPKzY-2B2KpHskfyAsFCAmyalGjkZK-2Bgt8D-2BrZETmkWoWg3C3hRuBABHTYTEdRFPaCMBLNHc-2FAczjCqAlPPqGkkeM5T6HdBKYuVm51clmZzCVDqj0CcXlRaho-2BB2jgm2u4ysjXkLoiF57XaXZa7YHm2-2FBuCAs6madrUGkkJKW_bgMz1-2BBidWQ3wcPewwcNCT4-2BWbP-2Bg6-2F3nAWtZfQc3JsPVn6tMqyS3KCUuIdNTscNFFTX1SymnAVb4j83X2vynBJ1P2BiEPsg7mwEjyhBzgmZaWFrEeX7oHGDaOFTOysG-2FtItDt4AAErn2FeFezvliAQg1BSiMgr59hmD6xRB74nFUhyzYQPFzQOMmJetARmsvVwvKMjRWdkZL-2FfRn-2BgSrv7t4jtsaDf7xGaSln8Jt0PXWfgwPbgxbJ5rh7N-2BAH6s

 

이 주소만 놓고 보면 정상적인 주소라고 할 수도 있겠지만 그걸 어떻게 장담할 수 있는가이 수많은 글자가 의미하는 건 무엇인가이를 확인하려면 링크를 클릭할 수밖에 없는데 바로 그러한 행동이야말로 사용자가 해서는 안 되는 일이다하지만 이번 경우는 글을 작성하기 위해 필요했기 때문에 결국 링크를 클릭했다정확히 말하자면 완전 격리된 가상머신에 있는 브라우저를 통해 링크를 열었다그 결과 나타난 페이지는 실제 텀플러 페이지와 아주 비슷했고 텀블러의 SSL 인증서를 가지고 있었으며 텀블러로 이어지는 IP주소를 가지고 있었다결정적인 문제는 계정 확인을 위해 사용자 ID와 비밀번호를 입력하라는 요구가 떴다는 데 있다그렇다면 링크에 들어 있는 수백 개의 글자는 도대체 왜 있었는가?

 

참고로 텀블러에서 자체적으로 종종 띄우는 페이지를 소개하자면 다음과 같다.

 

 

위와 같이 사용자들에게 텀블러 계정을 다른 곳에서 입력하는 경우를 주의하라는 당부를 주는 걸 보면 텀블러에서도 피싱이 무엇인지는 지각하고 있긴 한 것 같다어쩌면 이러한 보안을 담당하는 직원들과 비활성계정 확인을 담당하는 직원들이 사내 야유회에서 서로 다른 팀에 들어가 경기를 벌이는 건 아닐까.

 

하지만 텀블러를 비롯한 소셜네트워크 및 인터넷 서비스 제공자들에게 진지하게 호소하고자 한다사용자 계정 데이터베이스를 싹 청소하는 건 좋은 일이다특히 마구잡이로 사용자이름을 선취하여 나중에 돈이라도 몇 푼 뜯어보려는 심보를 가진 몇몇 때문에 수많은 이름들이 중복에 걸린다는 점을 생각한다면 비활성 사용자이름을 회수하고자 하는 조치는 분명 칭찬받아 마땅하다하지만 그 방법이 보다 상식적이었으면 하는 생각이다링크를 넣어서는 안 된다계정정보를 요구하는 페이지로 이어지는 링크를 넣어서는 안 된다는 뜻이다별도 요구사항 없이 단순히 계정을 확인하기만 하는 간단한 링크를 삽입하거나 아니면 블로그 또는 홈페이지로 직접 연결하여 사용자들이 로그인하고 확인하도록 하면 된다관리자들이 시간과 정력을 들여 사용자들에게 뭔가를 "절대 하면 안 된다"라고 교육하다가 "이번만은 예외다"라는 식으로 얘기할 수밖에 없게 된다면 이는 무척 유익하지 못하다.

 

특히 일반소비자고객기업내부사용자 등에게 서비스를 제공하는 회사의 IT관리자라면 이제까지의 내용에 더욱 주의를 기울여야 한다여러분이 막아내고자 하는 피싱 공격자의 행태가 여러분 스스로의 모습이 되어서는 안 된다.

 

 

 

Casper Manes, Hey Tumblr, WTH Were You Thinking?, 10. 15. 2015.

http://www.gfi.com/blog/hey-tumblr-wth-were-you-thinking/

COMMENT : 0 TRACKBACK : 0

날짜

2015.10.19 09:36

위로가기