threattrack에 해당하는글 11

 


ThreatTrack의 지능형맬웨어방지제품 ThreatSecure Network®14회 아메리칸비즈니스어워즈(American Business Awards)에서 2016Silver Stevie 소프트웨어 보안솔루션 부문 올해의 신제품에 선정됐다. 이번 시상에는 다양한 규모와 분야의 기업을 통해 총 3400여 후보가 지명됐으며 세계 각지의 전문가 250여명이 수상자 선정에 참여했다.

  

ThreatTrack Security 사장 Jason Greenwood는 다음과 같이 설명한다. "이번 수상을 통해 오늘날 정교한 사이버공격의 배후가 되는 맬웨어 퇴치를 위해 ThreatTrack이 선보인 혁신의 가치가 입증됐다. ThreatTrack은 기업들이 네트워크를 방어하고 데이터를 보호할 수 있는 능력을 갖추도록 지원한다. 이번 수상은 ThreatSecure 개발팀의 노력과 열정이 인정받은 결과라고 하겠다."

 <참고: ThreatAnalyzer 맬웨어분석 샌드박스>

 <참고: ThreatIQ 맬웨어 데이터베이스>

 

ThreatSecure Neworks는 지능형 맬웨어방지 기능을 제공하여 사이버보안인력이 사이버공격을 식별 및 저지하는 과정을 뒷받침하도록 설계됐다. 발견된 위협 및 네트워크 이상행동에 대한 실시간분석을 토대로 사이버공격의도를 파악하기 위해 기업 네트워크에 대한 높은 가시성을 제공하며 이러한 가시성 제공을 통해 맬웨어감염을 식별하고 네트워크상 전파, 복제, 침투나 진행 중인 공격의 징후를 탐색할 수 있다. ThreatSecure Network의 주요 강점은 다음과 같다.

진행 중인 공격을 탐지하고 행동변화를 식별하여 공격의도 파악

실시간 위협탐지

분석 중 관측된 네트워크활동 연관성 조사

악성URL 관련 세션 차단 및 보고

 

아메리칸비즈니스어워즈는 미국의 일류 기업수상프로그램이다.


아메리칸비즈니스어워즈에 대한 상세정보와 2016년도 Stevie 수상자 명단은 다음 링크 참고. http://www.stevieawards.com/ABA


ThreatTrack 지능형 맬웨어방지솔루션에 대한 상세정보는 다음 링크 참고

https://www.threattrack.com/network-security-threats.aspx

 

 

 

ThreatTrack Security CSO Blog, Another Win for ThreatTrack’s Advanced Malware Protection, 6. 9. 2016.

https://blog.threattrack.com/cso/another-win-threattracks-advanced-malware-protection/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

보안솔루션

날짜

2016.06.15 14:30


전문가 진단에 따르면 각급 기업의 사이버범죄 비용이 매년 증가추세에 있으며 글로벌 상거래가 가상공간으로 옮겨가는 현상이 지속됨에 따라 이 비용의 증가는 앞으로도 확실시되고 있다. 2015년 데이터침탈비용 연구(2015 Cosft of Data Breach)에 따르면 데이터침탈을 겪은 기업의 평균비용은 650만 달러로 늘어났다. 다른 연구에 따르면 2019년까지 데이터침탈비용 총액이 2조 달러에 달할 전망이라고 한다.

 

전문가들이 사이버범죄 차단을 위해 다양한 솔루션을 논의하는 가운데 두 가지가 확실시되고 있다. (1) 현재 경계방어기술은 지능형 지속위협 맬웨어를 상대로는 효과적이지 못하며 (2) 맬웨어의 공격력이 보안대책의 효용성보다 빠르게 성장하고 있다는 것이다. 포츈(Fortune) 매거진 선정 100대 기업과 대규모 정부기관에 대한 공격 등 첨단 보안기술과 전문가집단을 동원한 수백 건의 공격 사례로 인해 보안대책에 대한 새로운 접근이 절실해지고 있다.

 

여기에서 소개하는 맬웨어 그리고 네트워크 이상활동을 감지하기 위한 5대 핵심방안은 맬웨어 확산문제를 방지하기 위한 밑그림을 제공한다. 이들 방안은 ThreatAnalyzer(CWSandbox) 샌드박스기술을 활용한 정적 및 동적 맬웨어분석 그리고 지능형 맬웨어 수천 건에 대한 연구를 바탕으로 하고 있다. 이하에 일반적인 맬웨어 문제와 그에 대한 해결방안을 간략히 소개하고 항목별로 세부적인 내용을 기술한다.


맬웨어 행동

해결방안

네트워크활동 폭증

이상행동에 대한 기준 형성

비정상적 시스템활동 발생

맬웨어 행동단서 이해

비정상적 네트워크활동 발생

시간대별 네트워크 트래픽데이터 추적하여 이상 식별

파편화된 기업시스템 운영 악용

모든 이해관계자에게 위협탐지정보를 제공하고 해당 이상행동과 이에 대한 해결방안을 이해하도록 조력제공

보안대책 취약점 노출

다른 기업과의 정보공유 통해 업계와 회사 측 비용 최소화

 



이상행동에 대한 기준 형성

 

기업 차원에서 인간과 기계 모두에 대해 정상적 네트워크 트래픽의 기준을 수립해야 한다. 보안분석가들이 정상의 기준을 이해하고 나면 이를 통해 임계점을 설정할 수 있다. 이러한 임계점은 일반적인 한계나 상한선처럼 향후 분석에 활용될 수 있다. 공격자들은 일단 공격대상 환경에 침투하고 나면 탐지될 위험이 적다고 간주한다. 그러나 위와 같은 기준점을 수립한다면 맬웨어활동이 주목받게 될 가능성을 대폭 높일 수 있다.



맬웨어 행동단서 이해

 

정상 트래픽에 대한 기준이 수립되고 나면 다음 단계로는 맬웨어의 기본적인 행동양상에 대한 이해가 필요하다. 첫 단계에서 설정된 임계점을 돌파하는 네트워크 트래픽이나 행동은 조사개시로 이어진다. 이 조사는 시스템상 맬웨어 의심대상의 최초출현지점과 행동에 초점을 맞춘다. 맬웨어의 기본행동양상에 대한 이해는 공격자의 진로를 예상하고 차단하기 위해 아주 중요하다.

 


시간대별 네트워크 트래픽데이터 추적

 

시스템 및 인간 부문의 기준에 대한 이해가 확립되고 나면 분석가가 시간대별 네트워크트래픽을 열람하여 이상징후 그리고 더욱 중요하게는 침탈의 발생여부 그리고 예상되는 공격진행을 판단할 수 있다. 카네기멜론대학교 소프트웨어공학연구소(The Software Engineering Institute at Carnagie Mellon)에 따르면 이상행동을 추적하는 데 사용된 핵심행과지표(key performance indicator, KPI)에는 바로 사람의 행동, 시스템 및 기술적 오류, 내부프로세스 오류, 외부사건 등이 있다고 한다. 시간대별 네트워크트래픽 추적의 중요성을 보다 자세하게 다룬 내용으로는 다음 링크 참조.

https://blog.threattrack.com/cso/why-tracking-network-traffic-is-important/

 

 

모든 이해관계자에게 위협탐지정보 제공

 

보안대책들이 방화벽, IDS/IPS, 패킷수집기, 엔드포틴트솔루션 등 조직의 다층보안대책을 이루는 각 보안계층에 파편화됨에 따라 의사소통의 간극이 문제로 떠올랐다. 네트워크의 활동 및 보안 현황을 종합적으로 파악하려면 개별 보고서나 분석의 조합이 요구된다. 따라서 효과적인 보안대책을 구축하려면 보안팀이 컨설턴트로 진화하여 핵심 이해관계자에게 투자, 인력, 기술 소요에 대해 알림으로써 최적의 보안방책을 유지해야만 한다. 이에 대한 추가 내용은 다음 링크 참조.

https://blog.threattrack.com/cso/how-to-give-threat-detection-visibility-to-non-it-stakeholders/


 

다른 기업과의 정보공유 통해 전체 위험 감소

 

사이버공격자의 주요 악용대상으로 업계 경쟁자들 사이의 정보공유 실패도 빼놓을 수 없다. 동종 업계에 종사하는 기업들은 서로를 경쟁자로 인식하기 때문에 위협에 대한 정보의 공유를 꺼리게 된다. 그러나 이러한 태도는 근시안적이고 맬웨어가 개별 기업을 효과적으로 각개격파하여 결국 업계 전체에 불이익을 끼치는 결과로 이어질 수 있으며 이는 병원에 대한 랜섬웨어 공격 사례를 통해 입증됐다. 지식이란 힘이며 힘이란 곧 과거 실패에 대한 교훈을 통해 개발된 솔루션이라는 형태로 응용되는 지식을 의미한다.

 

경계보안기술과 다층보안대책에 의존해 온 보안분석가들은 기술이란 결코 완벽할 수 없으며 맬웨어는 결국 어떤 식으로든 기술적 틈을 파고들게 된다는 점을 그 어느때보다도 절감하고 있다. 기준수립, 합리적인 네트워크 및 시스템 임계점 수립, 맬웨어 행동 이해, 회사 핵심이해관계자 및 업계 동업자에 대한 협조적 접근방식 수립을 통해 나날이 증가하는 맬웨어위협에 대한 대응에 큰 도움을 받을 수 있으며 보안분석가의 효용성을 대폭 향상할 수 있다. 네트워크 이상행동 탐지에 대해 보다 상세한 내용으로는 아래 링크의 ThreatTrack 최신 기술백서 참조.

http://land.threattracksecurity.com/5-Key-Ways-to-Dectect-Anomalous-Behavior-on-Your-Network.html#_ga=1.257197451.1084892965.1463641239

 

 

 

Robert Bond, How to Detect Malware and Other Anomalous Behavior, 5. 23. 2016.

https://blog.threattrack.com/cso/detect-malware-anomalous-behavior/


번역: madfox




참고링크 


<ThreatTrack 보안솔루션 제품소개>


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.06.03 14:51

 

Security Products 매거진과 securitytoday.com에서 ThreatTrack의 지능형 맬웨어방지 플랫폼인 ThreatSecure Network2016Govies Government Security Awards 프로그램의 네트워크보안 분야를 수상했다. 본 프로그램은 다양한 분야에서 뛰어난 성능을 보이는 정부보안제품을 조명한다.

 


 

보안업계에서 선정된 각 패널들이 기능, 혁신성, 사용자편의성, 상호운용성, 품질, 디자인 등 여러 기준을 통해 2016년 항목별 수상제품을 선정했다. ThreatSecure Network는 정부영역에서 널리 쓰이고 있으며 지능형 위협방어를 통해 보안인력이 능동적 사이버공격을 식별 및 차단할 수 있도록 한다. 주요 기능은 다음과 같다.

 

지능형 공격과정을 탐지하고 행동변화를 식별하여 악성행동 탐지

실시간 위협탐지

분석 간 관측된 네트워크활동 연관성 판단

악성URL에 관련된 세션 차단 및 보고

 

ThreatTrack 사장 John Lyons는 다음과 같이 설명한다. "본 수상을 통해 ThreatTrack이 정부기관에 제공하는 고급 보안솔루션의 성능 그리고 네트워크보안분야에서 ThreatTrack의 선도적 위치가 다시금 확인됐다. 기관들은 공격과정을 빨리 식별할수록 위해를 최소화할 가능성을 높일 수 있다. ThreatSecure Network는 위협이 식별된 전후에 활동을 모니터링 및 추적하며 이를 통해 위협을 훨씬 상세하게 파헤칠 수 있다."

 

분야별 수상제품은 아래 링크 확인

https://securitytoday.com/pages/govies

 

ThreatSecure Network가 정부기관들에게 널리 채택되는 이유에 대해서는 아래 링크 확인

https://www.threattrack.com/network-security-threats.aspx#_ga=1.230539932.1084892965.1463641239

 

 

 

ThreatTrack Security CSO Blog, ThreatSecure Network Named Winner of Govies Government Security Award, 4. 17. 2016.

https://blog.threattrack.com/cso/threatsecure-network-named-winner-2016-govies-government-security-awards/

 

번역: madfox




참고링크 


<ThreatTrack 보안솔루션 제품소개>


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

보안솔루션

날짜

2016.06.03 14:45

로키(Locky) 랜섬웨어는 오늘날 가장 널리 퍼진 스팸 맬웨어다. 로키 맬웨어의 활동은 2015년부터 개시됐으나 본격적인 전파는 20161월 이후였으며 그 이후로 사그러들지 않고 있다. 로키 랜섬웨어 이메일은 대체로 zip 압축파일이 첨부되며 이 파일의 압축을 풀면 문서나 자바스크립트가 나오게 된다. ThreatTrack 측에서 수집한 로키 랜섬웨어는 실행파일을 다운로드 및 실행할 수 있는 자바스크립트를 포함하고 있었다. 여기에서는 이 실행파일을 중심으로 로키 랜섬웨어를 분석하고 최신 버전을 살펴보고자 한다.


맬웨어제작자가 전송한 스팸메일

 

기본 감염과정 및 파일해시

1582A0B6A04854C39F8392B061C52A7A zip 첨부물

59D2E5827F0EFFE7569B2DAE633AFD1F zip에서 추출된 자바스크립트

F79C950FA3EFC3BB29A4F15AE05448F2 자바스크립트로 다운받은 로키 실행파일

 



기본 감염과정 및 파일해시

 

감염징후

 

어떤 기기가 로키에 감염됐는지의 여부는 어렵지 않게 발견할 수 있다. 아래 그림은 로키에 감염된 윈도XP 기기의 데스크탑 바탕화면을 나타낸다.

 

로키에 감염된 컴퓨터의 바탕화면

 

로키에 감염된 파일은 .locky라는 확장자가 들어가게 되며 감염된 사용자의 개인ID가 파일명 앞에 붙게 된다. 본 실험에서는 MD5 해시값인 8B74B4AA40D51F4A가 붙는다. 또한 _HELP_instructions.txt라는 텍스트파일에는 위 바탕화면에 표시된 내용과 동일한 메시지가 들어 있다.

 

로키 암호화파일

 

로키는 HKCU\Software에 암호화된 사용자고유 레지스트리키를 생성한다. 레지스트리값에 대한 상세내용은 아래에 설명한다. 본 실험에서 생성된 키는

8W21gQe9WZ3tc.

 

암호화된 사용자 개인키

 

합의금지급 안내

 

사용자는 TOR 브라우저를 설치하여 아래 합의금지급 웹페이지에 접속하라는 안내를 받게 된다. 이 때 비트코인 지갑이 있어야 하며 지정된 비트코인 주소로 1.5비트코인을 전송해야 한다.

 

로키 랜섬웨어 합의금지급 페이지

 

자바스크립트 59D2E5827F0EFFE7569B2DAE633AFD1F 소개

 

본 자바스크립트를 텍스트편집프로그램으로 열면 아래와 같이 표시된다.

 

자바스크립트

 

본 자바스크립트는 GET을 통해 http://goldish[dot]dk/o2pds로부터 명령을 다운받고 이를 %Temp%에서 실행시킨다. 이 실행파일은 %Temp% 폴더에 들어 있지 않으면 정상 작동하지 않는다.

 

실행파일 F79C950FA3EFC3BB29A4F15AE05448F2 상세분석

 

Upatre, Dridex, Crypto와 마찬가지로 로키 실행파일 역시 지표(시그내쳐) 탐지를 회피하기 위해 어느 정도 암호화돼 있다.

 

복호화 최종단계에서는 RTLDecompressBuffer API를 통해 실행파일의 압축을 풀게 된다. 이 방식은 Upatre 그리고 Necurs 룻킷 다운로더에서도 사용된 바 있다.

 

RTLDecompressBuffer API


압축이 풀린 로키 실행파일의 MD5 해시값은 F35D01F835FC637E0D9E66CD7E571C06이다.

 

실행파일은 우선 아래와 같은 CnC 서버 IP주소를 복호화한다.

 

중앙통제(CnC) 서버 IP주소

 

실행파일은 API GetWindowsDirectoryA를 통해 윈도 디렉토리를 받는다. 이는 API GetVolumeNameForVolumeMountPointA의 기준으로 사용된다. 이 함수는 감염대상 기기의 윈도폴더에 연관된 volume GUID 경로를 받게 된다.

 

윈도 디렉토리

 

GUID는 로키 랜섬웨어가 사용자의 고유ID를 확보하기 위한 기반 역할을 한다.

 

우선 로키 실행파일이 API CryptHashData에 대해 GUID를 활용한다.


API CryptHashData

 

로키 실행파일은 기기에 대한 고유ID(8B74B4AA40D51F4A)를 확보하기 위해 API CryptGetHashParam를 활용하여 GUID 관련 고유ID를 얻게 된다. hex 덤프를 보면 첫 8바이트를 확인할 수 있다.

 

API CryptGetHashParam

 

이렇게 확보된 고유ID는 본 실험에서 사용된 로키 버전의 신규 레지스트리키와 관련된다. 이제 ID는 체크섬을 통해

로키 실행파일이 설치한 스트링루틴으로 변환되어 레지스트리키로 사용될 스트링을 확보하게 된다. 본 실험에서 신규 레지스트리값이 이전 버전에서 쓰였던 Locky가 아닌 8W21gQe9WZ3tc인 이유가 바로 여기에 있다.

 

신규 레지스트리키

 

CnC 통신

로키 실행파일은 http://<IP/Domain>/submit.phpPOST 요청을 전송하며 이 때 쓰이는 명령과 파라미터는 다음과 같다.

 

Commands --- Parameters (Remove the <>)

&act=getkey&affid= --- id=<>,&lang=<>,&corp=<>,&serv=<>,&os=<>,&sp=<>,&x64=<>

&act=gettext&lang= --- id=<>

&act=stats&path= --- id=<>,&encrypted=<>,&failed=<>,&length=<>

 

&act=getkey&affid= 명령에 대한 파라미터 예시(암호화 생략)

id=8B74B4AA40D51F4A&act=getkey&affid=1&lang=en&corp=0&serv=0&os=Windows+XP&sp=3&x64=0

 

이들 명령은 API HttpSendRequestA를 통해 암호화된 상태로 CnC 서버에 전송된다. 실행파일은 또한 API InternetReadFile을 통해 암호화된 응답을 수신한다.

 

CnC 서버 명령창


로키 실행파일은 CnCgetkey 명령을 보내고 나서 공개 RSA키를 통해 암호화된 메시지와 getkey 명령을 복호화하게 된다. 아래 그림을 통해 암호화 과정 일부를 볼 수 있다. 공개 RSA키는 ASC에 들어간다.

 

복호화과정

 

사용자기기에 공개키 저장

 

로키 실행파일은 RSA 공개키를 암호화하고 해당 체크섬은 스트링으로 변환되며 이는 레지스트리키가 생성된 과정과 동일하다. 이는 HKCU\Software에 있는 레지스트리키에 바이너리값으로 저장된다. 값의 이름은 270CwQa9XuPIc7이다.

 

RSA 공개키 암호화

 

사용자에 대한 메시지

 

그리고 CnC&act=gettext&lang= 명령이 전송된다. 로키 랜섬웨어는 이를 통해 데스크탑 배경화면 그림과 동일한 내용의 메시지를 받게 된다.

 

로키 랜섬웨어 메시지

 

드라이브, 네트워크리소스, 암호화대상 파일 수집

 

네트워크 공유 및 리소스

로키 실행파일은

WNetOpenEnumW, WNetEnumResourcesW, WNetAddConnection2,

WNetCloseEnum API를 통해 아래와 같은 3종의 리소스를 파싱했다.

#define RESOURCE_CONNECTED 1

#define RESOURCE_GLOBALNET 2

#define RESOURCE_REMEMBERED 3

 

각종 리소스유형에 대한 NetResource 파싱과정의 용도는 아래와 같다.

 

NetResource 파싱 과정


아래 그림은 분석대상 기기에서 공유폴더기능을 켤 때 실행파일이 해당 공유폴더에 접속하여 나중에 공유폴더에 있는 파일까지 암호화할 수 있도록 준비하는 모습을 보여준다.

 

공유폴더 파일 암호화

 

실행파일은 다음으로 GetLogicalDrives 그리고 GetDriveTypeW API를 통해 암호화대상 드라이브를 수집한다. 본 실험에서는 C:\ 드라이브가 수집됐다.

 

C드라이브 암호화

 

마지막으로 위에서 수집한 드라이브와 리소스를 토대로 폴더별로 파일을 암호화할 쓰레드가 생성된다.

 

로키 랜섬웨어 프로세스 최종단계

 

데이터복구 차단 위한 숨은 사본 삭제

 

로키 실행파일은 다음으로 아래 명령을 실행하여 모든 숨은 사본을 삭제한다.

vssadmin.exe Delete Shadows /All /Quiet

 

Crypto 등 다른 랜섬웨어 또한 동일한 명령을 사용했다.

 

파일암호화 프로세스 - 쓰레드 생성

 

본 과정의 첫 단계는 기기의 파일 및 디렉토리를 파싱하는 것이다. 로키 실행파일은 암호화대상 파일에 대한 참고로서 메모리공간을 할당한다.

 

허용목록 확인

로키는 감염대상 기기의 디렉토리를 파싱하면서 각 파일의 파일명을 이하의 허용목록 스트링과 대조하게 된다. 아래와 같은 스트링을 포함한 파일이름은 암호화되지 않게 된다.

@_HELP_instructions.bmp, _HELP_instructions.txt, _Locky_recover_instructions.bmp, _Locky_recover_instructions.txt, tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

 

차단목록 확인

로키 실행파일은 또한 암호홛상 파일의 확장자를 확인한다. 아래와 같은 확장자를 가진 파일은 암호화된다.

.001, .002, .003, .004, .005, .006, .007, .008, .009, .010, .011, .123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .ARC, .CSV, .DOC, .DOT, .MYD, .MYI, .NEF, .PAQ, .PPT, .RTF, .SQLITE3, .SQLITEDB, .XLS, .aes, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .db, .dbf, .dch, .dif, .dip, .djv, .djvu, .docb, .docm, .docx, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .js, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .ms11 (Security copy), .n64, .odb, .odg, .odp, .ods, .odt, .onetoc2, .otg, .otp, .ots, .ott, .p12, .pas, .pdf, .pem, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .pptm, .pptx, .psd, .pst, .qcow2, .rar, .raw, .rb, .sch, .sh, .sldm, .sldx, .slk, .sql, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip, wallet.dat (filename specific)

 

파일암호화 프로세스 API 및 함수 수준 개관

 

로키 랜섬웨어가 AES RSA 암호화를 사용한다는 자체 주장은 일단 맞다. 암호화과정에서 CryptGenRandom 그리고 CryptEncrypt Crypto API가 사용된다. 또한 이 프로세스에서 aesenc 그리고 aeskeygenassisst를 사용하는 함수가 발견되기도 했다.

 

API 개관

 

암호화된 로크 파일의 최종 0x344바이트 해부

 

 

아래 그림을 보면 최종 0x344바이특 파일 말단에 쓰여진다. 4바이트는 실행파일에 의해 하드코딩된다. 본 실험에서는 이 부분이 로키 랜섬웨어 제작자가 사용자파일을 암호화한 실행파일의 버전을 확인하는 일종의 식별부호라고 추측했다.

 

하드코딩된 0x8956FE93

 

파일 위에 쓰기

 

다음 0x10바이트는 물론 사용자의 고유ID. 다음 0x100바이트는 CryptEncrypt API의 결과물이다. 마지막 0x230바이트는 위에서 언급한 AESENC 함수로부터 생성됐다.

 

감염 최종단계

로키 실행파일은 파일을 암호화한 모든 폴더 위치에 _HELP_instructions.txt 파일을 생성하게 된다. 또한 합의금지급 안내를 담은 비트맵 이미지파일을 생성하고 저장하여 이를 사용자 바탕화면으로 지정시킨다. 아울러 stats라는 액션을 CnC 서버로 전송하며 그 내용은 다음과 같다.

 

id=8B74B4AA40D51F4A&act=stats&path=c%3A&encrypted=1&failed=0&length=5912

Path = the infected Drive “C:\”

Encrypted = True

Failed = false

Length = number of files

 

마지막으로 최종 암호화 레지스트리값이 생성된다. 이는 과거 버전 로키의 Completed=Yes와 같다. 이를 통해 암호화된 레지스트리값에 대한 상세정보 3건이 완성된다.

 

암호화 최종단계

 

본 실험의 실행파일은 또한 도메인생성 알고리즘도 가지고 있었는데 이는 로키 랜섬웨어가 발견된 이래 계속 있었다고 알려져 있다. 실팽파일은 최초에 복호화된 IP 주소로부터 응답을 받지 못할 경우 이 알고리즘을 사용하게 된다.

 

대처방안

 

ThreatSecure 제품을 사용하면 로키 랜섬웨어 실행파일의 다운로드를 차단할 수 있다. 아래 이미지는 ThreatSecure NetworkGET 과정을 통해 악성코드 다운로드를 탐지하는 장면을 보여준다.

 

ThreatSecure 구동

 

사용자는 이메일 첨부물을 열기에 앞서 ThratTrack의 동적 맬웨어분석 샌드박스솔루션인 ThreatAnalyzer를 사용하여 해당 파일의 악성여부를 조사할 수 있다. ThreatAnalyzeranalysis.xml이라는 이름의 파일에 조사결과를 기록한다. 이 결과를 통해 ThreatAnalyzer가 해당 실행파일이 랜섬웨어의 행동양상을 보였음을 알 수 있다.

 

.locky에 보관 및 암호화된 파일

 

ThreatAnalyzer 샌드박스를 통해 파일이 암호화됐음을 탐지할 수 있으며 Help Instructions 텍스트파일 또한 생성됐음을 확인할 수 있다.


도움말 텍스트파일

 

CnC 서버 IP주소로의 POST 명령 통신에 대한 네트워크 캡쳐

 

로키 실행파일이 외부로 나가는 접속을 개시했음을 확인할 수 있다.

 

CnC 서버 통신 네트워크 캡쳐

 

백업을 모두 삭제하는 Vssadmin.exe 실행프로세스 캡쳐

 

Vssadmin.exe 실행프로세스 캡쳐

 

HKCU\software에서 암호화 레지스트리값을 4Y0743Ngl로 설정

 

로키는 파일 암호화에 앞서 기기의 네트워크리소스를 측정하며 이 역시 암호화된다. ThreatAnalyzer는 이 행동 역시 포착했다.

 

로키 네트워크리소스 계산

 

이상을 통해 본 실험에서 쓰인 것과 같은 지능형 위협방지 솔루션이 랜섬웨어 감염 방지에 도움이 될 수 있다. 지능형솔루션을 통해 신종위협이 실제로 위해를 가하기 전에 이를 차단할 수 있다. 특히 ThreatAnalyzer의 샌드박스 기능은 사용자가 실수로 첨부물을 열였을 경우에 침입 및 잠재적 악성행동에 대한 징후를 기록할 수 있으며 이를 통해 나날이 증가하는 주요 랜섬웨어공격에 대한 방어를 한층 강화할 수 있다.

 

<참고: ThreatTrack 보안솔루션>




ThreatTrack Security Labs, Understanding the Latest Version of Locky Ransomware, 5. 18. 2016.

https://blog.threattrack.com/understanding-latest-version-locky-ransomware/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.01 13:53

랜섬웨어 위협이 나날이 커지고 있다. Cryptowall, TeslasCrypt, Locky 등 랜섬웨어 변종들은 막대한 피해를 유발했다. 그리고 최신 변종인 Petya는 더욱 교묘한 활동양상을 보인다.

 

Petya는 파일 암호화에 그치지 않고 시스템 자체를 먹통으로 만들어 피해자가 합의금을 지불할 수밖에 없도록 하며 파일시스템의 MFT(master file table)을 암호화하여 운영체제 불러오기 자체를 막아 버린다. MFTNTFS 파일시스템에서 핵심적인 파일로 NTFS 논리볼륨의 모든 파일기록과 디렉토리를 담고 있다. 각 기록에는 운영체제의 정상적 부팅을 위해 필요한 모든 요소가 들어 있다.

 

Petya는 다른 맬웨어처럼 구직원서에 드롭박스 링크가 포함된 스피어피싱 이메일을 통해 배포된다. 이 링크는 자동 추출되는 커버레터가 있다고 속임수를 쓰지만 실제로는 자동 추출되어 악성행동을 개시하는 실행파일이 들어 있다.


 Petya 다운로드파일


Petya 감염행동양상

 

Petya 랜섬웨어의 감염은 두 단계로 진행된다. 1단계에서는 MBR 감염과 암호화키 생성이 이루어져며 이 때 합의금 지불을 요구하는 메시지에 사용되는 복호화 코드도 생성된다. 2단계에서는 MFT가 암호화된다.

 

암호화 1단계  


 

감염 1단계 행동양상

 

MBR 감염은 DeviceIOControl API 지원으로 \\.\PhysicalDrive0 직접조작을 통해 진행된다. 먼저 기기 드라이버에 IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS 제어코드를 전송하여 루트드라이브 \\.\c의 물리적 위치를 알아낸다. 그리고 IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS 제어코드를 통해 \\.\PhysicalDrive0 확장디스크파티션 정보를 전송하게 된다.



 

악성코드는 XOR op코드 및 0x37을 통해 원본 MBR을 암호화시킨 다음 나중에 이용하기 위해 보관하게 된다. 또한 0x37이 들어 있는 34개의 디스크영역이 생성된다. 이후 PetyaMFT 감염코드가 실행된다. 56번 영역에는 암호화된 원본 MBR이 들어간다.

 



감염된 디스크



암호화된 원본 MBR

 

MBR 감염 이후에는 NTRaiseHardError 트리거링을 통해 의도적으로 시스템을 중단시킨다. 이는 BSOD 트리거링으로 이어져 시스템이 재시작되며 결국 감염된 MBR을 통해 부팅이 진행되는 결과가 된다.

 


BSOD 트리거링



BSOD

 

디스크의 덤프이미지를 조사한 결과 가짜 CHKDSK가 나타났으며 합의금 요구 메시지와 더불어 ASCII로 해골 모양이 표시됐다.



덤프 디스크 이미지

 

감염 2단계

 

2단계 감염코드는 16비트 아키텍쳐로 작성됐으며 BIOS 중단(interrupt) 신호를 이용한다. 감염코드는 시스템 부팅시 Petya 악성코드를 34번 영역에 있는 메모리로 불러온다. 우선 섹터의 첫 바이트가 0x0인지 조사함으로써 시스템이 이미 감염됐는지 판별한다. 아직 감염되지 않은 상태라면 가짜 CHKDSK가 표시된다.

 


가짜 CHKDSK

 

아래 메시지가 보인다면 이미 MFT 테이블이 salsa20 알고리즘을 통해 암호화됐음을 의미한다.




피해자는 부팅시 보는 화면



랜섬 메시지 및 안내

 

Petya 랜섬웨어 웹페이지

 

피해자가 개인 복호화키를 얻을 수 있는 웹페이지는 봇에 대한 방어를 갖추고 있으며 Petya 랜섬웨어 프로젝트가 개시된 시기에 대한 정보와 파일복구시 유의사항 그릭 FAQ 페이지를 포함하고 있다. 해당 페이지는 기이하게도 사용하게 편리하며 합의금 액수가 두 배로 인상되기 전까지 남은 시간을 보여주기도 한다.

 


랜섬 페이지 captcha



Petya 홈페이지

 

또한 Petya에 대해 경고하는 여러 안티바이러스 업체의 블로그와 뉴스기사 등 다양한 뉴스 피드도 들어 있다.

 



아울러 비트코인 구매방법 등 합의금을 지불하는 과장에 대한 단계별 안내도 나와 있다. 피해자가 돈을 지불하는 과정에서 문제가 생길 경우에 대비한 웹지원 창구까지 마련돼 있다. Petya의 요구금액이 다른 랜섬웨어에 비해 저렴한 편이란 사실도 주목할 만하다.



 

합의금지불 4단계에서는 Petya 측에서 입금을 받았는지 확인할 때까지 다음 버튼이 비활성화 상태가 된다.

 

이하는 ThreatTrackThreatSecure Network 대시보드에서 Petya를 차단한 모습이다. ThreatSecure와 같은 툴을 통해 이러한 공격을 실시간으로 감지 및 방해할 수 있다.

 


ThreatSecure Network에 의한 Petya 랜섬웨어 적발

 

<참고>유료안티바이러스 http://storefarm.naver.com/softmate

<참고>ThreatTrack 보안소프트웨어 http://softmate1.blog.me/220310999709


 



ThreatTrack Security Labs, A Glimpse at Petya Ransomware, 5. 3. 2016.

https://blog.threattrack.com/petya-ransomware/

 

번역: madfox




참고링크 


<랜섬웨어 차단 가능한 AVG 유료안티바이러스>


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.05.19 16:15



 

AV-Comparative의 실제성능검증(Real-World Protection Test)을 통해 바이퍼(VIPRE) 안티바이러스 엔진의 성능이 업계 최고수준임이 확인됐습니다. 테스트 결과는 다음 링크를 통해 확인할 수 있습니다.

http://www.av-comparatives.org/wp-content/uploads/2016/03/avc_factsheet2016_02.pdf

 

본 테스트의 대상 엔진은 바이퍼 신제품인 인터넷시큐리티프로(Internet Security Pro)에 처음 적용됐습니다. 인터넷시큐리티프로는 바이퍼 기존제품 대비 50% 빠른 검사속도를 갖추고 있으며 클라우드기반 지능형능동보호(Advanced Active Protection) 기능을 통해 기식별 및 신종 위협을 방지할 수 있습니다. 인터넷시큐리티프로의 핵심기능은 다음과 같습니다.

 

지능형능동보호(Advanced Active Protection): 클라우드기반 피드백으로 강화되는 방호기능을 통해 바이퍼가 스마트솔루션으로서의 역할을 훌륭히 소화할 수 있습니다.


신종위협 즉시탐지: 바이러스, 스파이웨어, 취약점악용, 트로이목마 등을 50% 더 신속하게 포착 및 차단하는 동시에 시스템성능에 대한 영향을 최소화합니다.


즉시행동분석: 잠재적인 사이버위협을 신속히 분석하여 해당 대상이 컴퓨터에 유해한지 판단합니다.


실시간 URL검사: 클라우드를 통한 즉시검사로 악성웹사이트에 대한 최신 방호대책을 구비할 수 있습니다.

 

바이퍼 신형엔진은 기업과 소비자 모두가 컴퓨터의 속도저하 없는 간편한 설정과 보안을 위한 지능형보호대책이라는 두 마리의 토끼를 모두 챙길 수 있도록 설계됐습니다. 기업고객은 바이퍼 신형버전을 4월부터 구매할 수 있습니다. 바이퍼 인터넷시큐리티프로에 대한 상세정보나 구매 또는 무료체험에 관심이 있다면 다음 링크를 참고하세요.

https://www.vipreantivirus.com/home-antivirus/internet-security-pro.aspx

 

 

 

VIPRE Security News, New Test Results Put VIPRE on Top, 3. 16. 2016.

https://blog.vipreantivirus.com/important-news/new-test-results-put-vipre-top/

 

번역: madfox




참고링크 


<바이퍼 등 유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

보안솔루션

날짜

2016.04.18 13:49


 

ThreatTrack은 보안솔루션 VIPRE2016년 정보보안테스트 우수상(Excellence in Information Security Testing Award, EIST)을 수상함으로써 10년 연속 ICSA Labs 정보보안테스트를 통과했다. ThreatTrack2016RSA 컨퍼런스를 통해 본 상을 수상했다. 본 상은 ICSA Labs에서 10년 동안 계속하여 자사 제품의 테스트를 거치고 정보보안인증을 유지한 클라이언트에게 수여된다.


ThreatTrack 사장 John Lyons는 다음과 같이 설명한다. "ThreatTrack10년이 넘게 세계 각지의 기업과 정부기관을 신종 맬웨어로부터 보호해 왔습니다. ThreatTrackVIPRE 엔드포인트 보호솔루션과 같은 솔루션이 우리 고객과 파트너들에게 필요한 보호대책을 제공해 준다는 점을 확인시키자면 이러한 외부기관 인증이 필수적입니다. 이번 ICSA Labs 수상을 통해 온라인위협으로부터 고객을 보호하기 위해 우리가 오랫동안 노력을 기울였음을 알릴 수 있게 됐습니다.“

 

ICSA Labs 클라이언트는 기술분석가과의 긴밀한 협조, 제품개발기준 수립, 연구성과 활용, 컨소시엄 참여 등 다양한 도움을 받을 수 있으며 이를 통해 고객과 보안생태계를 위해 제품성능을 개선할 수 있다.

 

VIPRE 안티바이러스 상세정보 http://www.vipreantivirus.com/

 



VIPRE Security News, ThreatTrack’s VIPRE Receives ICSA Labs Excellence in Information Security Testing Award, 3. 2. 2016.

http://blog.vipreantivirus.com/security-news-room/threattracks-vipre-receives-icsa-labs-excellence-in-information-security-testing-award/


번역madfox




참고링크 


<바이퍼 등 유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

보안솔루션

날짜

2016.04.08 14:29



 

최적의 안티바이러스 소프트웨어 선정은 쉬운 일이 아니며 다양한 선택지를 가려내는 일만 해도 마치 에베레스트 등반처럼 어렵게 느껴집니다. 바이퍼 안티바이러스에 대한 일목요연한 소개를 통해 바이퍼 솔루션의 핵심적인 기능 및 설계중점을 이해하고 고객의 필요에 부합하는 제품이 무엇인지 확인할 수 있습니다.

 

바이퍼(VIPRE)는 종합적이면서도 관리하기 쉬운 맬웨어 보호기능을 통해 데이터안전을 보장하는 안티바이러스 소프트웨어입니다. 2008년 전후부터 바이퍼는 보안전문가들과 가정사용자들에게 입증되고 믿을 수 있는 선택지로 자리매김했습니다.

 

수많은 안티바이러스 솔루션의 문제점은 바로 소프트웨어 자체의 설계가 지나치게 복잡하다는 데 있습니다. 이는 필연적으로 컴퓨터 속도저하, 웹사이트의 과도한 차단, 복잡한 유저인터페이스로 이어질 수밖에 없습니다. 그럼에도 강력한 보안소프트웨어의 필요성은 그 어느 때보다 커지고 있습니다.

 

바이퍼는 시스템성능에 대한 부담 없이 바이러스, 트로이목마, 제로데이공격 등 다양한 위협을 잡아내도록 설계됐습니다. 컴퓨터성능을 그대로 유지한 채 사이버위협 차단을 위한 추가 방어대책을 마련할 수 있으며 위험한 피싱이메일이나 웹사이트를 차단하는 등 다양한 보호기능을 사용할 수 있습니다.

 

바이퍼 제품군에는 대표적으로 다음과 같은 솔루션이 있으며 사용자는 각자의 소요에 가장 잘 부합하는 솔루션을 선택할 수 있습니다.

 

바이퍼 인터넷시큐리티프로(VIPRE Internet Security Pro, 신제품) 바이퍼 제품군의 최신품목으로 최고의 보호기능을 제공합니다. 클라우드기반 지능형 액티브보호기능을 동반한 지능형 행동분석을 통해 다른 바이퍼 제품에 비해 50% 빠르게 신종 위협을 막아낼 수 있습니다.

 

바이퍼 인터넷시큐리티(VIPRE Internet Security) 바이퍼 인터넷시큐리티는 강력한 안티바이러스 및 안티스파이웨어 기술과 기타 지능형 보안기능을 조합한 솔루션입니다. 바이퍼 인터넷시큐리티프로보다 다소 가볍지만 여전히 최고수준의 보호기능을 자랑합니다.

 

바이퍼 안티바이러스(VIPRE Antivirus) 바이퍼 안티바이러스는 가장 기본적이면서도 핵심적인 보호패키지입니다. 스팸, 해킹, 사이버범죄를 막는 강력한 보호기능을 갖췄으며 다만 이중 방화벽, 악성웹사이트 차단, 스팸차단 등 몇몇 고급기능은 생략돼 있습니다.

 

VIPREAntivirus.com이나 sales@softmate.kr을 통해 바이퍼 솔루션에 대해 보다 자세히 알아보고 어떤 제품이 적합한지 확인할 수 있으며 30일 동안 무료체험도 가능합니다.

 

VIPRE Security News, What is VIPRE?, 2. 19. 2016.

http://blog.vipreantivirus.com/tech-talk/what-is-vipre/




VIPRE 신제품 소개: VIPRE 인터넷시큐리티프로


ThreatTrack VIPRE 팀이 새로운 소식을 전해 드립니다. ThreatTrack은 최고의 보안대책을 위해 강력한 기능을 추가한 VIPRE 솔루션 신제품을 개발해 왔습니다. 새 버전의 이름은 VIPRE 인터넷시큐리티프로입니다. ThreatTrack은 목표달성을 위해 어떤 노력을 기울였을까요.

 

우선 새로운 검사엔진 설정을 통해 기존 엔진보다 50% 빠르게 검사를 진행할 수 있습니다(내부테스트 및 베타테스트 결과). 또한 자원사용량도 개선하여 최고의 탐지율을 유지하면서도 보다 가볍고 빠른 제품이 될 수 있도록 했습니다.

 

그리고 알려진 유해웹사이트를 조회할 수 있는 기능(웹필터링)을 클라우드로 이전했습니다. 따라서 새로운 악성웹사이트가 발견되는 즉시 해당 웹사이트가 목록에 추가되며 VIPRE 솔루션이 그 정보을 실시간으로 확인할 수 있습니다.

 

마지막으로 지능형 액티브보호기능(Advanced Active Protection)을 추가했습니다. 이 모듈은 컴퓨터의 프로세스를 조회하고 행동규칙을 통해 신규 프로세스가 악성인지 판단할 수 있습니다. 또한 해당 프로세스에 의한 변경사항을 모두 추적하고 필요한 경우 ThreatTrack 연구팀이 샘플을 확인하지 못한 경우에도 컴퓨터상에서 즉시적으로 변경부분을 복구할 수 있습니다. 맬웨어제작자가 수법을 바꾼다 해도 이러한 행동모듈에 의한 악성행동 탐지를 벗어날 수는 없습니다.

 

이번 신제품에 대한 외부의뢰 시험결과 비공개 탐지테스트에서 놀라운 결과를 거두었습니다. 이러한 점수가 다음 공개테스트에도 반영될 수 있으리라 확신합니다.

 

VIPRE 인터넷시큐리티프로를 직접 체험해 보고 최고의 보호대책을 위해 ThreatTrack이 기울인 노력을 확인해 보세요ThreatTrack의 제품관리팀, 개발팀, 지원팀, 영업팀, 마케팅팀, 고객서비스팀 모두가 VIPRE 사용을 감사드립니다. ThreatTrack은 고객 여러분의 사이버보안을 지킬 기회를 가지게 됐음을 기쁘게 생각합니다.

 

 

 

저자: Gill Langston

VIPRE Security News, Introducing the Newest Member of the VIPRE Family: VIPRE Internet Security Pro, 2. 5. 2016.

http://blog.vipreantivirus.com/security-news-room/introducing-newest-member-vipre-family-vipre-internet-security-pro/

 

 


VIPRE 버전 업그레이드 소개

 

현재 VIPRE 솔루션의 유효한 라이센스를 보유한 모든 고객은 조만간 새로운 엔진과 고급기능을 갖춘 최신의 그리고 최고의 VIPRE 제품을 사용할 수 있게 됩니다. VIPRE 신제품 업데이트는 평균 소요시간 5분으로 아주 빠르고 쉽게 진행할 수 있습니다.

 

ThreatTrack의 기술지원팀은 VIPRE 고객이 신제품 소식을 받게 되면 업데이트를 할 수 있도록 설치단계별 안내영상을 제작했습니다. 먼저 아래 링크의 웹페이지를 통해 현재 사용 중인 VIPRE 버전을 선택함으로써 업데이트를 시작할 수 있습니다. 그리고 영상에 나오는 대로만 진행한다면 VIPRE 신제품을 사용할 수 있게 됩니다.

http://www.vipreantivirus.com/vipreupdate.aspx

 

중요 알림: 수많은 VIPRE 고객들이 새롭고 강력한 엔진으로 업데이트함에 따라 ThreatTrack 지원팀의 업무량 증가로 인해 전화지연이 지연될 수도 있습니다. 하지만 지원팀 도움 없이도 업데이트를 시작하는 과정은 어렵지 않으며 조만간 제품 내 업데이트기능과 영상안내의 도움을 받을 수도 있습니다. 물론 아래 링크의 안내를 참고하여 즉시 VIPRE 엔진을 업데이트할 수도 있습니다. 

https://support.vipreantivirus.com/support/solutions/articles/1000122486-how-to-get-the-latest-vipre-home-software

 

ThreatTrack은 사상 최고의 VIPRE 버전을 조만간 고객에게 제공할 수 있게 됨을 기쁘게 생각합니다. 추가 보호기능을 지금 확인해 보세요.



 

VIPRE Security News, How to Update Your Version of VIPRE, 3. 4. 2106.

http://blog.vipreantivirus.com/important-news/how-to-update-your-version-of-vipre/


번역: madfox




참고링크 


<바이퍼 등 유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

보안솔루션

날짜

2016.04.05 17:32

위로가기