2022. 2. 21. 12:02
Ransomware 란?(KISA 자료) 1
2022. 2. 21. 12:02 in Windows Server
대부분의 내용은 https://boho.or.kr/ransom/main.do 의 내용을 기반으로 작성된 내용입니다.
랜섬웨어(Ransomware) 정의
몸값(Ransom)과 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 금전을 요구하는 악성 프로그램을 말하며 신뢰할 수 없는 사이트, 스팸메일, 파일공유 사이트, 네트워크망을 통해 유포됩니다.
- 랜섬웨어 감염경로주요 랜섬웨어
-
- 워너크라이(WannaCry)
- ‘17년 5월 12일(현지 시간 기준) 스페인, 영국, 러시아 등을 시작으로 전 세계에서 피해가 보고된 악성코드로, 다양한 문서파일(doc, ppt, hwp 등) 외 다수의 파일을 암호화
- 마이크로소프트 윈도 운영체제의 SMB(Sever Message Block, MS17-010)을 이용하여 악성코드를 감염시킨 후, 해당 PC 또는 서버에서 접속 가능한 IP를 스캔하여 네트워크로 전파
- 워너크라이 랜섬웨어에 감염되면, 파일들을 암호화한 바탕화면을 변경하고, 확장자를 .WNCRY 또는 .WNCRYT로 변경
- 워너크립터는 변종이 지속적으로 발견되고 있으며, 미진단 변종이 존재할 수 있으므로 MS Windows 최신 보안 패치를 반드시 적용해야 함
- 록키(Locky)
- ‘16년 3월 이후 이메일을 통해 유포, 수신인을 속이기 위해 Invoice, Refund 등의 제목 사용
- 자바 스크립트(java script) 파일이 들어있는 압축파일들을 첨부하고 이를 실행 시에 랜섬웨어를 다운로드 및 감염
- 록키 랜섬웨어에 감염되면, 파일들이 암호화되고, 확장자가 .locky로 변하며, 바탕화면과 텍스트 파일로 복구 관련 메시지 출력
- 최근의 록키 랜섬웨어는 연결 IP 정보를 동적으로 복호화하고, 특정 파라미터를 전달하여 실행하는 경우만 동작
- 크립트XXX(CryptXXX)
- 지난 2016년 5월, 해외 백신사의 복호화 툴 공개 이후에 취약한 암호화 방식을 보완한 크립트XXX 3.0 버전이 유포
- 초기에는 앵글러 익스플로잇 키트(Angler Exploit Kit)를 이용하였으나, 최근에는 뉴트리노 익스플로잇 키트(NeutrinExploit Kit)를 사용
- 크립트XXX에 감염되면 파일 확장자가 .crypt 등으로 변하고, 바탕화면 복구안내 메시지 변경
- 비트코인 지불 안내 페이지에는 한글 번역 제공
- 실행파일(EXE)이 아닌 동적 링크 라이브러리(DLL)형태로 유포
- 정상 rundll32.exe를 svchost.exe 이름으로 복사 후 악성 DLL을 로드하여 동작
- 현재 버전은 네트워크 연결 없이도 파일들을 암호화
- 케르베르(CERBER)
- CERBER는 말하는 랜섬웨어로 유명
※ 감염 시에 “Attention! Attention! Attention!? Your documents, photos, databases and other important files have been encrypted” 음성 메시지 출력 - 웹사이트 방문 시 취약점을 통해 감염되며, 감염되면 파일을 암호화 하고 확장자를 .cerber로 변경, 최근 이메일 통해 유포되는 정황 발견
- 악성코드 내에 저장되어있는 IP 주소와 서브넷 마스크 값을 사용하여 UDP 패킷을 전송, 네트워크가 연결되지 않더라도 파일은 암호화
- 윈도우즈 볼륨 쉐도우(Windows Volume Shadow)를 삭제하여 윈도우 시스템 복구가 불가능하게 만듦
- 크립토락커(CryptoLocker)
- ‘13년 9월 최초 발견된 랜섬웨어의 한 종류로 자동실행 등록이름이 크립토락커(CryptoLocker)로 되어있는 것이 특징
- 웹사이트 방문 시 취약점을 통해 감염되거나, E-Mail 내 첨부파일을 통해 감염되며, 확장자를 encrypted, ccc로 변경
- 파일을 암호화한 모든 폴더 내에 복호화 안내파일 2종류를 생성(DECRYPT_INSTRUCTIONS.* / HOW_TO_RESTORE_FILES.*)
- 윈도우즈 볼륨 쉐도우(Windows Volume Shadow)를 삭제하여 윈도우 시스템 복구가 불가능하게 만듦
- 테슬라크립트(TeslaCrypt)
- ‘15년 국내에 많이 유포된 랜섬웨어로 ‘16년 5월경 종료로 인해 마스터키가 배포되었음
- 취약한 웹페이지 접속 및 이메일 내 첨부파일로 유포되며, 확장자를 ecc, micr등으로 변경
- 드라이브 명에 상관없이 고정식 드라이브(DRIVE_FIXED)만을 감염 대상으로 지정하며, 이동식 드라이브나 네트워크 드라이브는 감염 대상에서 제외
- 악성코드 감염 시 (Howto_Restore_FILES.*)와 같은 복호화 안내문구를 바탕화면에 생성
-
- 신뢰할 수 없는 사이트
- 신뢰할 수 없는 사이트의 경우 단순한 홈페이지 방문만으로도 감염될 수 있으며, 드라이브 바이 다운로드(Drive-by-Download) 기법을 통해 유포됩니다. 이를 방지하기 위해서 사용하는 PC의 운영체제 및 각종 SW의 보안 패치를 항상 최신으로 업데이트하는 것이 중요합니다. 또한 음란물, 무료 게임 사이트 등은 보안 관리가 미흡한 사이트로 이용 자제를 권고합니다.
※ 드라이브 바이 다운로드는 취약한 웹사이트에 방문하였을 뿐인데 사용자 모르게 악성 스크립트가 동작하여 취약점을 유발시키는 코드를 실행하여 악성코드를 다운로드하고 실행하여 사용자의 PC를 감염시키는 기법입니다.
- 스팸메일 및 스피어피싱
- 출처가 불분명한 이메일 수신시 첨부파일 또는 메일에 URL 링크를 통해 악성코드를 유포하는 사례가 있으므로 첨부파일 실행 또는 URL 링크 클릭에 주의가 필요합니다.
- 최근 사용자들이 메일을 열어보도록 유도하기 위해 ‘연말정산 안내’, ‘송년회 안내’, ‘영수증 첨부’ 등과 같이 일상생활과 밀접한 내용으로 위장하고 있어 출처가 명확한 첨부파일도 바로 실행하기보다는 일단 PC에 저장 후 백신으로 검사하고 열어보는 것을 권고합니다.
- 파일공유 사이트
- 토렌트(Torrent), 웹하드 등 P2P 사이트를 통해 동영상 등의 파일을 다운로드 받고 이를 실행할 경우, 악성코드에 감염되는 사례가 있어 이에 대한 주의가 필요합니다.
- 사회관계망서비스(SNS)
- 최근 페이스북, 링크드인 등 사회관계망서비스(SNS)에 올라온 단축URL 및 사진을 이용하여 랜섬웨어를 유포하는 사례가 있습니다. 특히 SNS 계정 해킹을 통해 신뢰할 수 있는 사용자로 위장해 랜섬웨어를 유포할 수 있기 때문에 이에 대한 주의가 필요합니다.
- 네트워크망
- 네트워크를 통해 최신 보안패치가 적용되지 않은 PC를 스캔하여 악성코드를 감염⦁확산시킵니다. 이를 방지하기 위해서는 사용하는 PC의 운영체제와 SW의 최신 보안 패치를 적용하여 항상 최신의 보안 상태를 유지 하여야 합니다.