* 랜섬웨어 : 사용자 PC의 데이터를 암호화한 후 정상적인 동작(복호화)을 위한 대가로 금품을 요구
특징
- 귀신이라는 한글형 이름, 한글 키보드 사용, 전문 기관에 신고하지 말라고 하는 등 북한 혹은 한글 사용 집단의 소행으로 추측 - 2021년 9월경 처음 등장 - 공격당한 PC의 배경화면을 "GWISIN 귀신"으로 바꾸며, 랜섬노트에는 내부 정보가 구체적으로 기재_타깃형 공격 - 암호화된 파일의 확장자명 역시 공격당한 기업의 이름을 사용, 공격 시간도 한국시간 기준 공휴일과 새벽시간대
동작
- MSI 설치 파일 형태로 동작 - 파일 단독 실행만으로는 행위가 발현되지 않고 특별한 실행 인자 값이 필요하며, 이 인자 값은 MSI 내부에 포함된 DLL 파일의 구동에 필요한 키 정보로 활용_이러한 동작 방식의 특징으로 다양한 샌드박스 환경 보안 제품에서는 탐지가 어려울 수 있음 - 내부 DLL 파일은 윈도우 정상프로세스에 인젝션해 동작하며, 대상 프로세스는 고객사마다 다름 - 인자 검증이 끝나면 인자를 이용해 내부에 존재하는 쉘코드를 복호화 - 정상 프로그램 'certreq.exe'를 실행환 후 복호화 한 쉘코드를 인젝션_인젝션된 셀코드는 귀신 램섬웨어 실행
- 외부망에서 내부망으로 유입되는 악성패킷에 대하여 탐지해 담당자에게 통보하는 기능을 수행
2. 동작방식 및 장단점
2.1) 동작방식
데이터 수집
탐지 대상(패킷 등)으로부터 생성되는 데이터를 수집
데이터 가공 및 축약
수집된 데이터를 분석이 가능하도록 의미 있는 정보로 변환
침임 분석 및 탐지
기존에 정의한 룰과 비교하여 침입 여부 판별
보고 및 대응
칩입으로 판정 시 관리자에게 보고 및 적절한 대응
2-2) 장단점
장점
- 해킹에 대한 침입탐지시스템보다 적극적인 방어 가능 - 내부 사용자의 오, 남용 탐지 및 방어 기능 - 해킹사고 발생 시 어느 정도의 근원지 추적 가능
단점
- 대구모 네트워크에 사용 곤란 - 관리 및 운영 어려움 - 새로운 침입기법에 대한 즉각적인 대응 곤란 - 보안사고에 대한 근본적인 해결책은 되지 못함
3. 종류
탐지방법에 따른 분류
행위기반
- "규칙 기반 침입탐지" 혹은 "오용탐지"라고도 표현 - 기존에 설정한 패턴을 바탕으로 패킷을 분석해 일치 혹은 유사 시 침입으로 판단 - 장점 : 낮은 오탐률, 전문가 시스템 이용, 트로이목마와 백도어 탐지 가능 - 단점 : 패턴 업데이트 필요_패턴이 없는 유형에 대해서는 탐지가 불가
지식기반
- "통계적 변형탐지", "비정상 행위 탐지"라고도 표현 - 정상 범위에 대한 프로파일을 설정 후 해당 범위를 벗어날 경우 탐지 - 장점 : 패턴업데이트 불필요, Zero-Day Attack 탐지 가능, 침입 이외 시스템 운용상 문제점 발견 가능(내부 정보 유출) - 단점 : 높은 오탐률, 정상과 비정상을 구분할 임계치 설정이 어려움
대응방법에 따른 분류
수동적
- 침입을 탐지하였을 때 별도의 대응 없이 관리자에게 통보
능동적
- 침입을 탐지하였을 때 스스로 대응을 수행하여 공격을 막거나 방어
데이터 수집원에 따른 분류
네트워크
- 네트워크 기반 IDS (NIDS) - 네트워크를 통해 전송되는 정보(패킷 헤더, 데이터 및 트래픽 양, 응용프로그램 로그 등)를 분석하여 침입 판단 - 감지기가 promisecuous mode에서 동작하는 네트워크 인터페이스에 설치 - 장점 : 초기 구축 비용 저렴, OS에 독립적-구현/관리 용이 - 단점 : 암호화 패킷 분석 불가, 패킷 손실율, 호스트 상에서 수행되는 행위 탐지 불가
호스트
- 호스트 기반 IDS (HIDS) - 호스트 시스템으로부터 생성,수집된 감사 자료를 침입 탐지에 사용 - 여러 호스트로 부터 수집된 감사 자료를 이용할 경우 "다중 호스트 기반"이라 함 - 장점 : 정확한 탐지, 다양한 대응책, 암호화 및 스위칭 환경에 적합, 추가적인 하드웨어 불필요 - 단점 : OS에 종속적, 시스템 부하 유발 가능, 구현의 어려움
탐지방법에 따른 분류
사후 분석
- 수집된 데이터를 정해진 시간에만 분석 - 즉시 대응이 어려움
실시간 분석
- 실시간 정보수집, 칩입 탐지 수행 및 이에 대응하는 대비책 수행
4. 구성 방식
In-Line 방식
- 연결된 네트워크를 통과하는 모든 트래픽이 거쳐 가도록 하는 모드 - 모든 트래픽을 확인할 수 있다는 장점과 네트워크 성능 저하 및 장애 발생에 따른 가용성 보장 불가한 단점
Span 방식 (Mirroring)
- Mirroring 기능을 제공하는 스위치 허브를 통해 트래픽을 복사한 뒤 분석 - 네트워크 구성 변경 없이 모니터링이 가능하나, 트래픽이 몰릴 경우 누수가 발생할 수 있음
TAP 방식 (Test Access Port)
- TAP : 네트워크 상에서 전송되는 패킷의 흐름에 영향을 주지 않고 패킷을 복사해 손실 없이 모니터링 하는 장비 - Mirroring 기능을 수행하는 네트워크 전용 장비를 통해 트래픽을 복사한 뒤 전달 - TAP 장비에 장애가 발생하거나 전원이 차단되는 경우 ByPass 모드로 동작되어 네트워크 흐름이 끊기지 않음
2018년 발견 데이터를 훔치는 것이 주 목적 다운로드 및 설치 기능_다른 멀웨어와 악성 페이로드 유포에 사용(갠드크랩 랜섬웨어, 플로드애미 RAT 등)
공격절차
- 과거에는 폴아웃, 리그 익스플로잇 킷이나 정보 탈취형 멀웨어(애조럴트)를 통해 유포 - 최근에는 드롭퍼(스모크로더)를 통해 유포
- 스모크로더를 소프트웨어 크랙으로 위장하여 사용자들의 다운을 유도 - 다운 후 실행 시 스모크로더 실행, explorer.exe에 악성 페이로드 주입 - 감염된 프로세스를 통해 아마디 봇 다운, 시작 프로그램 폴더에 위치+스케줄러 등록=공격 지속성 확보 - 아마디 봇은 C&C 서버에 접속 후 플러그인 다운_해당 플러그인을 이용해 시스템 정보 획득 수집하는 시스템 정보 : 컴퓨터 이름, 사용자 이름, OS 정보, 설치된 애플리케이션, 백신 정보 등
특징
<추가된 기능> - 14개 회사에서 만든 백신을 찾아 우회하는 기능 - 스케줄러를 통해 공격 지속성 확보 - 보다 많은 정보 수집 - UAC 우회 - 다른 멀웨어 다운로드
①해킹 관련 온라인 게시판에 페이스북 이용자의 개인정보가 공개 106개국 5억 3300만명의 데이터로, 이중 한국인은 약 12만명 ② 페이스북은 해당 데이터는 2019년 이미 보도된 데이터로, 현재는 수정한 상태 발표
원인
① 2019년 발견된 페이스북 스크래핑 관련 이슈 - 스크래핑이란 웹 사이트에서 필요한 데이터를 긁어오는 것 Cf) 크롤링이란 수많은 웹 사이트를 체계적으로 돌아다니면서 URL, 키워드 등을 수집
- 당시 페이스북에는 전화번호로 사용자를 찾는 기능이 존재 A사용자를 찾고 싶은 경우 A의 전화번호를 입력하면 찾을 수 있었음 A의 페이지로 들어가면 친구가 아니어도, A가 전체공개한 정보를 볼 수 있었음 해당 정보에 이름, 거주지, 출신학교 등의 정보가 포함되어 있었고, 이를 수집한 것 - 해커들이 이러한 방식으로 개인정보를 수집한다는 내용이 보도됐고, 페이스북은 2019년 8월에 해당 기능 삭제 및 개인정보 보호 관련 기능 강화 주장
조치
① 페이스북은 2021년 4월 6일 해당 사실 인정 ② 페이스북은 데이터 스크래핑 등 위반 행위를 조사하는 전담팀을 만들어 대응 중으로 발표 ③ 페이스북은 유출 사실을 피해자에 알리지 않음 - 보안 전문가들은 페이스북에 사회공학공격 등 2차 피해를 막기위해 피해 사실 통지 촉구
기타
- 페이스북의 개인정보 유출 사건 다수 2016년 미 대선 즈음 영국 정치 컨설팅업체가 정치 광고 목적 8천만명 데이터 불법 수집 2019년 이용자 2억6700만명 개인정보 유출
- 문서 유출 -키스트로크 확보(키로깅) -스크린 캡쳐 -공공 클라우드 스토리지 서비스에 페이로드 저장_해당 서비스를 C&C 서버로 활용 하기도
개요
- 오브젝티브씨로 개발된 일종의 백도어 - 현재까지 분석한 바에 의하면 총 39개의 명령 수행 가능 - 훔쳐낸 데이터는 암호화되며, 복호화 하기위해서는 클루드멘시스 운영자의 비밀키가 필요 - 공격 배후 세력이나 피해자가 특정되지 않음_공격자의 의도는 기밀이나 지적재산을 탈취하는 것 - 맥 환경에서 나타난 몇 안되는 정식 스파이웨어
특징
- 클라우드 스토리지 적극 활용 - 클라우드 계정에 파일을 올리거나 내리는 데 필요한 인증 토큰이 포함되어 있음 - 명령이 담긴 파일을 업로드 -> 해당 파일을 받아 명령 실행 -> 결과 암호화하여 업로드 -> 운영자 확인 => 멀웨어 내에 IP 주소나 도메인이 존재하지 않음_이전에도 존재한 방식이나 맥OS 환경에서는 최초 - 고도의 표적 공격_현재까지 분석된 표적은 51개의 맥OS 컴퓨터 - 코드 전체의 질이 떨어지며, 난독화 기능이 존재하지 않음, 맥 환경에서 이미 알려진 취약점을 익스플로잇
대응
- 현재까지 알려진 맥OS 취약점을 패치 - 비밀번호 변경/강화, 피싱 예방 교육, 다중 인증 시스템 도입 등 - 애플의 락다운 모드 활성화
