랜섬웨어란 Ransomware
몸값(Ransome)과 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 금전을 요구하는 악성 프로그램을 말하며, 신뢰할 수 없는 사이트, 스팸메일, 파일공유 사이트, 네트워크망을 통해 유포 된다.
랜섬웨어 감염경로
- 신뢰할 수 없는 사이트
신뢰할 수 없는 사이트의 경우 단순한 홈페이지 방문만으로도 감염될 수 있으며, 드라이브 바이 다운로드 기법을 통해 유포된다. 이를 방지하기 위해서 사용하는 PC의 운영체계 및 각종 SW의 보안패치를 항상 최신으로 업데이트하는 것이 중요합니다. 또한 음란물, 무료 게임 사이트 등은 보안 관리가 미흡한 사이트로 이용 자체를 권고한다. - 스팸메일 및 스피어피싱
출처가 불분명한 이메일 수신시 첨부파일 또는 메일에 URL 링크를 통해 악성코드를 유포하는 사례가 있으므로 첨부파일 실행 또는 URL링크 클릭에 주의가 필요하다.
최근, 사용자들이 메일을 열어보도록 유도하기 위해 '연말정산 안내', '송년회 안내', '영수증 첨부' 등 과 같이 일상생활과 밀접한 내용으로 위장하고 있어 출처가 명확한 첨부파일도 바로 실행하기보다는 일단 PC에 저장후 백신으로 검사하고 열어보는 것을 권고한다. - 파일공유 사이트
토렌트, 웹하드 등 P2P사이트를 통해 동영상 등의 파일을 다운로드 받고 이를 실행할 경우, 악성코드에 감염되고 사례가 있어 이에 대한 주의가 필요함. - 사회관계망 서비스 SNS
최근 페북, 링크드인 등 SNS에 올라오는 단축 URL및 사진을 이용하여 랜섬웨어를 유포하는 사례가 있다. 특히 SNS계정 해킹을 통해 신뢰할 수 있는 사용자로 위장해 랜섬웨어를 유포할 수 있기 때문에 이에 대한 주의가 필요함. - 네트워크망
네트워크를 통해 최신 보안패치가 적용되지 않은 PC를 스캔하여 악성코드를 감염 확산 시킨다. 이를 방지하기 위해 사용하는 PC의 운영체제와 SW의 최신 보안패치를 적용하여 항상 최신의 보안상태를 유지하여야 한다.
주요 랜섬웨어의 종류
- 워너크라이 Wanna Cry
:: '17년 5월 12일 스페인, 영국, 러시아 등을 시작으로 전 세계에서 피해가 보고된 악성코드. 다양한 문서파일의 다수의 파일을 암호화
:: MS 윈도우 OS의 SMB(Server Message Block, MS17-010)을 이용하여 악성코드를 감염시킨 후, 해당 PC 또는 서버에 접속 가능한 IP를 스캔하여 네트워크로 전파함.
:: 워너크라이 랜섬웨어에 감염되면, 파일들을 암호화한 바탕화면으로 변경되고 확장자를 .WNCRY 또는 .WNCRYT로 변경해버린다.
:: 워너크립터는 변종이 지속적으로 발견되고 있으며, 미진단 변종이 존재할 수 있으므로 MS Windows최신 보안패치를 반드시 적용해야함. - 록키 Locky
:: '16년 3월 이후 이메일을 통해 유포, 수신인을 속이기 위해 Invoice, Refund 등의 제목을 사용했다.
:: 자바 스크립트 파일이 들어있는 압축파일들을 첨부하고 이를 실행 시에 랜섬웨어를 다운로드 및 감염시킴.
:: 록키 랜섬웨어에 감염되면, 파일들이 암호화되고, 확장자가 .locky로 변하며, 바탕화면과 텍스트 파일로 복구 관련 메시지가 출력된다.
:: 최근의 록키 랜섬웨어는 연결 IP정보를 동적으로 복호화하고, 특정 파라미터를 전달하여 실행하는 경우만 동작함. - 크립트XXX CryptXXX
:: 지난 '16년 5월, 해외 백신사의 복화화 툴 공개 이후에 취약한 암호화 방식을 보완한 크립트XXX 3.0 버전이 유포
:: 초기에는 앵글러 익스플로잇 키트(Angler Exploit Kit)를 이용하였으나, 최근에는 뉴트리노 익스플로잇 키트(NeutrinExploit Kit)를 사용
:: 크립트XXX에 감염되면 파일 확장자가 .crypt 등으로 변함. 바탕화면도 메세지로 변경.
:: 비트코인 지불 안내 페이지는 한글 번역제공도 함.
:: 실행파일이 아닌 동적 링크 라이브러리 형태(DLL)로 유포함.
:: 정상 rundll32.exe 를 svchost.exe 이름으로 복사 후 악성 DLL을 로드하여 동작
:: 현재 버전은 네트워크 연결 없이도 파일들을 암호화 - 케르베르 CERBER
:: 케르베르는 말하는 랜섬웨어로 유명하다. (감염시 "Attention! Attention! Attention!? Your documents, photos, databases and other important files have been encrypted!"라는 음성메세지 출력)
:: 웹사이트 방문 쉬 취약점을 통해 감염되며, 감염되면 파일을 암호화하고 확장자를 .cerber로 변경, 최근 이메일을 통해 유포되는 정황 발견됨.
:: 악성코드 내에 저장되어있는 IP주소와 서브넷 마스크 값을 사용하여 UDP 패킷을 전송, 네트워크가 연결되지 않더라도 파일은 암호화
:: 윈도우즈 볼륨 쉐도우(windows volume shadow)를 삭제하여 윈도우 시스템 복구가 불가능하게 만듦. - 크립토락커 CryptoLocker
:: '13년 9월 최초 발견된 랜섬웨어의 한 종류로 자동실행 등록이름이 크립토락커로 되어있는 것이 특징이다.
:: 웹사이트 방문시 취약점을 통해 감염 혹은 E-mail 내 첨부파일 통해 감염. 확장자는 encrypted, ccc로 변경
:: 파일을 암호화한 모든 폴더 내에 복화화 한내파일 2종류를 생성(DECRYPT_INSTRUCTIONS.* / HOW_TO_RESTORE_FILES.*)
:: 윈도우즈 볼륨 쉐도우를 삭제하여 윈도우 시스템 복구가 불가능하게 만듦. - 테슬라크립트 TeslaCrypt
:: '15년 국내에 많이 유포된 랜섬웨어. '16년 5월경 종료로 인해 마스터키가 배포되었음.
:: 취약한 웹페이지 접속 및 이메일 내 첨부파일로 유포. 확장자는 ecc. micr등 임.
:: 드라이브 명에 상관없이 고정식 드라이브만을 감염 대상으로 지정. 이동식 드라이브나 네트워크 드라이브는 감염대상 제외.
:: 악성코드 감염 시 (Howto_Restore_FILES.*)와 같은 복호화 안내문구를 바탕화면 생성.
추가적으로 또 랜섬웨어에 대해 공부하는 시간을 갖을 겁니다.
다음에는 각 방법들에 대한 상황과 방법등에 대해 다룬 문서를 중심으로 요약 정리하는 글을 만드려합니다.
위의 내용들은 모두 사이트에서 가져온것으로 모두 공유가 되고 함께 볼 수 있습니다. ㅎㅎ
--참고사이트
DDL?
동적 링크 라이브러리 - 위키백과, 우리 모두의 백과사전
위키백과, 우리 모두의 백과사전. DLL은 여기로 연결됩니다. 다른 뜻에 대해서는 DLL (동음이의) 문서를 참조하십시오.
ko.wikipedia.org
Angler Exploit Kit? NeutrinExploit Kit??
2016년 가장 활발히 활동한 'Exploit Kit' 정리
2016년 가장 활발히 활동한 'Exploit Kit' 정리 Exploit Kit 이란? 셋업파일, 제어판, 악성코드 및 각종 공격툴을 한데 모아둔 것으로, 일반적으로 PHP 프로그램을 기반으로 합니다. Angler Exploit Kit Angler Ex..
blog.alyac.co.kr
랜섬웨어란? KISA-KrCert사이트 자료
https://www.krcert.or.kr/ransomware/information.do
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
'Tech > Hacking' 카테고리의 다른 글
| 해킹사회를 읽으며...03 (0) | 2019.09.18 |
|---|---|
| #Hacking::랜섬웨어에 대하여... (0) | 2019.08.10 |
| 해킹사회를 읽으며...02 (0) | 2019.07.11 |