요약 - 최근 몇 년간 랜섬웨어 공격이 증가하며 하나의 비즈니스 모델로 진화
- 공격 영향 최소화, 가능한 한 빠은 회복에 중점을 둔 포괄적인 램섬웨어 복구 계획이 필수적
내용 - 24년 소닉웰(SonicWall) 네트워크 위협 보고서
> 23년 한 해 동안 전 세계에서 60억 6,000만건의 랜섬웨어 공격이 발생 (평균 매초 19건의 공격이 발생)
> 조직은 방어 조치를 강화할 필요성과 포괄적인 랜섬웨어 복구 계획이 필수적

- 어떤 조직도 모든 사이버 공격을 완벽하게 예방할 수 없기 때문에 조직은 복구를 최우선 고려 사항으로 삼아야 함
> 백업이 랜섬웨어 공격에 대한 가장 효과적인 방어 수단 중 하나로 인정받는 이유
> 최신 버전의 안전하고 검증된 백업을 보유하고 있으면 복구 가능성이 높아지고, 가동 중지 시간을 줄이며, 데이터 손실 위험을 최소화할 수 있음

- 랜섬웨어 복구 계획의 7가지 핵심 요소
① 데이터의 고립 방지
> 기술의 발전과 다양성으로 인해 기업이 운영 또는 개발 중인 도구는 여러 플랫폼에 걸쳐 사용
> 하지만 특정 작업 부하가 무시되면 조직이 랜섬웨어 공격 위험에 노출될 수 있음
> 기업은 모든 데이터를 완전한 백업 메커니즘에 포함시켜야 함

② 효율적이고 신속한 백업
> 기업의 데이터 양이 급격히 증가함에 따라 데이터를 보존해 후속 분석에 활용하거나 클라우드로 전송하고 IoT 장치에 적용해야 할 필요성이 증가
> 이를 위해 기업은 데이터를 효율적이고 신속하게 백업할 수 있는 시스템을 구축해야 함
> 모든 데이터가 백업된 상황에서도 복구 시간 간격(RPO : Recovery Point Objective)을 최대한 단축해야 함

③ 백업 데이터의 보존 기간 확보
> 최신 랜섬웨어는 최대 30~90일의 잠복기를 가질 수 있기 때문에 백업 데이터는 효율적이고 안전하게 보존돼야 함
> 이를 통해 예상치 못한 사고가 발생했을 때도 깨끗하게 복구할 수 있는 데이터를 유지해 기업의 지속적인 운영을 보장할 수 있음

④ 백업의 복구 가능성 테스트
> 기업(조직)은 언제 랜섬웨어 공격을 받을지 알 수 없기 때문에 불확실한 환경에서 백업 데이터의 복구 가능성을 지속해서 테스트하고 연습해야 함
> 이는 백업의 신뢰성을 높일 뿐만 아니라, 랜섬웨어 위협에 직면했을 때 신속하고 효과적으로 복구할 수 있도록 함

⑤ 액세스 불가능한 백업 구조 확보
> 일반적인 랜섬웨어 공격은 기업의 원본 데이터를 암호화하고 기존 백업 데이터를 삭제
> 이에 기업의 백업 데이터는 충분한 보안성을 유지해야 하며, 변조 불가능한 특성을 갖추고 랜섬웨어로부터 네트워크나 물리적 환경에서 격리돼야 함
> 이를 통해 기업은 원래와 같이 깨끗하게 복구할 수 있는 데이터를 확보할 수 있음

⑥ 신속하고 유연한 복구 메커니즘 구축
> 기업(조직)이 랜섬웨어 공격을 받을 경우, 최우선으로 해야하는 것은 지속적인 운영을 보장하는 것인데 이는 ‘시간’과 ‘유연성’이라는 두 가지 핵심 요소와 관련이 있음
> 가동 중지 시간을 최소화하기 위해 즉각적인 복구가 필요하며, 복구 시간 목표(RTO)를 단축해야 함
> 또한 랜섬웨어는 단일 플랫폼을 대상으로 공격하는 경우가 많기 때문에 백업은 플랫폼과 하이퍼바이저 별로 각각 구분해 복구 기능을 갖춰야 함
> 이는 복구 시 직면할 수 있는 위험을 분산시킴

⑦ 쉬운 조작과 중앙 관리
> 기업의 IT 환경이 복잡해짐에 따라 많은 기업이 원시적 보호 메커니즘을 활용해 백업을 수행
> 문제는 관리 복잡성이 높아질수록 인적 실수나 누락이 발생할 수 있으며, 랜섬웨어 공격에 취약점을 제공할 수 있음
> 이를 예방하기 위해 백업은 중앙 관리 기능을 갖춰야 하며, 데이터 가시성을 확보해 환경 내 모든 백업이 정상적으로 실행되고 있는지 모니터링할 수 있어야 함
기타 - 3-2-1 백업 
① 3개의 데이터 사본 혹은 버전 유지
> 원본 데이터와 두 개의 백업 데이터, 총 세 개의 사본
> 하나는 원본 데이터와 동일한 장소에 저장, 두 개는 다른 위치에 저장

② 2개의 서로 다른 미디어 혹은 플랫폼에 저장
> 최소 2개 이상의 각기 다른 저장 매체에 저장

③ 1개의 저장매체는 오프라인으로 유지
> 비상시에 안전하게 보관할 수 있도록 저장된 데이터의 물리적인 사본을 다른 위치에 보관

 

보안뉴스

 

Synology가 제시하는 랜섬웨어 복구를 위한 7가지 전략

최근 몇 년간 랜섬웨어 공격이 점차 증가하며, 이제는 하나의 비즈니스 모델로 진화해 각 산업에 심각한 영향을 미치고 있고 조직은 막대한 데이터와 자산 손실을 겪고 있다. 2024년 소닉월(SonicWa

www.boannews.com

'보안뉴스' 카테고리의 다른 글

Typosquatting에 취약하여 악성코드에 노출되는 GitHub Actions  (0) 2024.09.08
자동화 기술이 넘쳐나는 시대에 뜻밖의 제안, 수동 취약점 점검  (3) 2024.09.06
노출된 .env 파일 하나가 쏘아올린 작은 공, 11만 개 도메인 공격으로 이어져  (0) 2024.08.24
내일부터 사이버 침해 사고시 '24시간'내 최초 신고 의무화  (0) 2024.08.16
미국 국립표준기술연구소, 인공지능 안정성 점검 도구를 무료로 배포  (0) 2024.07.31
요약 - 일부 APT 조직들이 랜섬웨어를 위장 도구로 활용하는 사례 발견
> 랜섬웨어 공격자들이 한 것처럼 일을 꾸며 추적을 늦춤

- 국내외 랜섬웨어 감염 속출
> KISA, 랜섬웨어 예방을 위한 권고, 보안 강화 방안 공유
내용 - 랜섬웨어를 전면에 내세우고 다른 목적을 달성하기 위한 공격이 주로 발생
> Ex, 카멜갱(ChamelGang)_중국 APT 조직 / 안다리엘(Andariel)_북한 APT 조직

- APT 단체들이 자신들의 목적을 달성하기 위해 랜섬웨어를 전면에 내세우고 있음
> 정보 탈취와 에스피오나지 목적
> 랜섬웨어로 자신들의 행위를 위장하여 수사에 혼선 유발
> 훔쳐낼 정보가 더 이상 없거나 반드시 파괴해야할 필요가 있을 시 랜섬웨어로 실제 피해를 유발

- 카멜갱(ChamelGang)
> 이미 널리 공개된 다양한 공격 도구 또는 자체 개발 공격 도구 사용
> 비컨로더(BeaconLoader), 코발트스트라이크(Cobalt Strike), 오크도어(AukDoor), 도어미(DoorMe), 제티코베스트크립트(Jetico BestCrypt), 마이크로소프트비트락커(Microsoft BitLocker) 등
※ 도어미: 카멜갱이 독자적으로 만들거나 수정한 공격 도구

- 카멜갱의 커스텀 멀웨어를 다른 중국 APT 조직이 몇 번 사용함
> 중국 사이버 공격자들 사이 연관성(도구, 전술, 노하우 등)이 계속해서 자주 발견되는 중
====================================================================================
- 전 세계 곳곳에서 랜섬웨어 감염 사고 발생
> 24.06 말 잡플랫 랜섬웨어 공격을 당한 후 현재까지 복구되지 않음
> 잡플랫은 여러 서버를 분리해 운영했으나, 백업 서버까지 랜섬웨어 공격을 당했다고 설명

> 인도네시아에서 중앙·지방 정부와 공공기관이 이용하는 국가 데이터센터 랜섬웨어 공격
> 인도네시아 210개 공공기관 서비스 7천여개 중단 및 지연
> 24.06.27 기준 98%가 백업되지 않은 상황으로, 8월 중순 복구 예상

- KISA 랜섬웨어 감염 예방을 위한 권고와 보안 강화 방안 발표
① 외부 접속 관리 강화: 불필요한 네트워크 서비스 차단
> 외부에 노출된 DB 서비스, NAS(Network Access Server) 등 서비스 현황 파악 및 불필요한 시스템 연결 차단
> 테스트 서버나 유휴 서버 등 방치된 시스템 점검 필요
> 중요 시스템 접속자는 개인 단말에 임의로 원격 제어 프로그램을 설치해 사용하는지 점검

② 계정 관리 강화 : 비밀번호 관리
> ‘admin’ 등 기본 관리자 비밀번호 반드시 변경
> 사용하지 않는 기본 관리자 계정은 비활성화 또는 권한 제한
> 비밀번호를 설정할 시 대문자, 소문자, 특수분자, 숫자를 조합
> 정기적 비밀번호 변경

③ 백업 : 저장소 분리·인증
> 중요 자료는 네트워크와 분리된 별도 저장소에 정기적 백업
> 중요 자료의 경우 분산해 백업하고, 외부 클라우드에 중요 자료를 보관하는 것이 권장
> 소유기반의 이중 인증을 적용하는 것이 안전
※ 많은 피해기업이 백업을 수행했음에도, 같은 저장소에 보관함에 따라 복구에 어려움을 겪는 중

④ 이메일 보안 강화
> 송신자를 정확히 확인
> 모르는 이메일과 첨부된 파일은 열람하지 말것
> 이메일 수신 시 출처가 불분명한 사이트는 주소 클릭 자제

⑤ 기타
> 자동 업데이트를 활성화하여 운영체제, 소프트웨어 최신 보안패치 적용
기타 -

 

보안뉴스

 

랜섬웨어 공격자들이 늘어난다고? 그러면 랜섬웨어를 위장 도구로 사용하면 어떨까?

중국의 APT 조직이 랜섬웨어를 전술적으로 활용하고 있다는 내용의 보고서가 발표됐다. 보안 업체 센티넬원(SentinelOne)과 레코디드퓨처(Recorded Future)에서 합동으로 조사한 결과로, 북한의 해커로

www.boannews.com

 

[긴급] 중요 파일이 암호화 됐습니다! 랜섬웨어 감염 창궐... 보안 강화 권고

‘경고! 당신의 문서, 사진, 데이터베이스 및 기타 중요한 파일이 암호화됐습니다’ 랜섬웨어(Ransomware)는 악성코드 감염으로 데이터나 디바이스, 서버를 잠가 금전을 요구하고, 돈을 내지 않으

www.boannews.com

 

KISA 보호나라&KrCERT/CC

KISA 보호나라&KrCERT/CC

www.boho.or.kr

 

'보안뉴스' 카테고리의 다른 글

[긴급] 크라우드 스트라이크 팔콘 업데이트 했다가 PC 블루스크린... 전 세계 ‘파장’ 외 14건  (0) 2024.07.21
해외에서 금융정보 훔친 악성 앱, 한국에 상륙... 금융소비자 주의보!  (0) 2024.07.04
AI 노리는 대표적 공격 3가지는? AI 모델 공유 플랫폼, AI 취약점, 데이터 오염  (0) 2024.06.25
맨디언트 “전 세계 공격 트렌드, 제로데이 악용과 MFA 우회 그리고 피싱 공격 진화”  (0) 2024.06.25
미국의 CISA, 사상 첫 인공지능 대비 사이버 모의 훈련 진행 외 2건  (0) 2024.06.20
요약 - 오메가(0mega) 랜섬웨어 그룹이 한 기업의 셰어포인트 온라인(SharePoint Online) 환경을 침해하는 데 성공
- 기존 랜섬웨어 공격과 달리 관리자 계정을 공략
- SaaS 애플리케이션을 대상으로 랜섬웨어 공격에 성공한 최초 사례
내용 - 기존의 SaaS 환경을 대상으로한 랜섬웨어 공격은 엔드포인트를 겨냥
> 이에 따라 기업에서는 랜섬웨어 대응을 위해 엔드포인트 보안에 많은 투자

- 오메가 그룹은 엔드포인트가 아닌 보안이 취약한 관리자 계정을 공략
> MS 글로벌(MS Global) 환경의 관리자 계정을 탐색
> 보안 설정이 제대로 적용되지 않은 계정을 찾아 크리덴셜 확보_인터넷 연결, MFA 미설정 계정 등
> 침해 계정을 이용해 AD 사용자 생성 (사용자명: 0mega)
> 새롭게 생성한 계정에 가능한 모든 권한 부여
> 해당 계정을 사용해 기존 관리자 계정 삭제 및 라이브러리에 저장된 파일을 유출 (Node.js 모듈 sppull 활용)
※ sppull: 셰어포인트로부터 파일을 쉽고 간단하게 다운로드 할 수 있도록 개발되었으며, 셰어포인트 사용자들 사이에서 높은 인기를 지님
> 침해 사실을 알리고 요구 사항을 전달하기 위한 수천 개의 텍스트 파일을 업로드 (Node.js 모듈 got 사용)
기타 - SaaS 애플리케이션을 겨냥한 랜섬웨어 공격들은 대부분 엔드포인트로부터 시작
> 보안이 취약한 엔드포인트를 찾아 침해 후 파일 유출 및 암호화

- 이번 침해 사건으로 인해 대응 전략 수정이 요구됨
> SaaS 환경을 직접 침해해 자동화 기술로 데이터를 빼돌린 최초의 랜섬웨어 사례
① SaaS 환경 중앙에서 공격을 할 수 있다는 것을 공격자들이 증명
② 자동화 모듈을 가지고 데이터를 유출

- 최근 6개월 동안 기업 SaaS 환경을 겨냥한 사이버 공격이 크게 증가
> 지난 2년간 발생한 SaaS 공격을 다 합한 것보다 많음
> 많은 기업들이 SaaS 환경에 중요한 데이터를 보관하고 있기 때문
> 재택 근무의 확산의 영향

- SaaS를 사용하는 기업들은 엔드포인트만이 아니라 SaaS 환경 전체를 보호해야만 하는 상황

 

보안뉴스

 

사상 첫 자동화 SaaS 랜섬웨어 공격을 성공시킨 오메가 일당들

오메가(0mega)라는 이름의 랜섬웨어 그룹이 한 기업의 셰어포인트 온라인(SharePoint Online) 환경을 침해하는 데 성공했다. 특이하게도 기업의 엔드포인트를 통해 공격을 성공시킨 게 아니라 관리자

www.boannews.com

'보안뉴스' 카테고리의 다른 글

MS, “6월초 있었던 아웃룩/클라우드 기능 장애는 사이버 공격에 의한 것” 외 3건  (0) 2023.06.19
제로데이 개념증명용 코드인 줄 알았는데 사실은 멀웨어 외 2건  (0) 2023.06.19
PyPI의 ‘이중인증 필수’ 정책, 올바른 방향이긴 하지만  (0) 2023.06.06
과기정통부, 소프트웨어(SW) 공급망 공격 대응방안 마련한다!  (0) 2023.06.04
北 김수키 해킹조직 관련 韓美 합동 사이버보안 권고  (0) 2023.06.03

1. 개요: 간헐적 암호화

- 최근 랜섬웨어 공격자들은 간헐적 암호화 전략을 사용

- 간헐적 암호화란 암호화 속도를 높이기 위해 파일의 가장 앞부분 혹은 뒷부분만 암호화하는 것

> 블랙캣(BlackCat), 콘티(Conti), 로얄(Royal), 플레이(Play) 등이 이 전략을 활용

 

- 21년 새롭게 등장한 락파일(LockFile) 랜섬웨어를 유포하기 위해 간헐적 암호화 사용 [1][2][3]

> 파일의 첫 부분 중 일부는 암호화하지 않고, 16바이트마다 한번씩 암호화

> 텍스트 문서와 같은 파일 종류는 부분적으로 읽을 수 있고, 파일 크기 등 통계적으로 원본과 유사

> 통계 분석을 사용해 콘텐츠 검사에 의존하는 랜섬웨어 탐지 소프트웨어 우회 가능

 

- 간헐적 암호화의 장단점

> 장점: 암호화 효율(속도)을 높여 보다 많은 파일을 암호화, 높은 탐지 기술 회피력

> 단점: 부분적인 암호화로 복호화 가능성이 높음

 

2. 화이트피닉스(White Phoenix) [4][5]

- 사이버 보안 기업 사이버아크는 간헐적 암호화의 특징에 초점을 맞춰 파일 복호화 도구 화이트피닉스 발표

> 간헐적 암호화된 파일의 경로와 복호화 될 파일을 저장할 경로만 지정하면 됨

 

- 간헐적 암호화로 암호화된 파일 중 pdf, docx, docm, xlxm, xltx, extm, pptx, pptm, ptox, zip 등의 파일들을 꽤나 정확하게 복구

> 공격자들이 PDF의 헤더 부분만을 삭제했다고(암호화 했다고) 다음과 같이 상황을 가정

> 오리지널 파일 구조: "Head 123, Body 456, Footer 789"

> 암호화된 파일 구조: "head 12, body 456, footer 789"

> 따라서, 원본을 유추해 복구하는 것이 상대적으로 수월하다는 것

 

- 현재는 주로 블랙캣이 암호화 한 문서 파일들을 위주로 복호화 기능을 발휘

> 블랙캣은 6가지 암호화 모드를 제공: 파일 헤더 암호화, 파일 일부 암호화, 파일 전체 암호화 등

> 플레이, 킬린(Qilin), 비안리안(BianLian), 다크빗(DarkBit)과 같은 랜섬웨어 피해자 역시 어느 정도 도움을 얻을 수 있을 것

화이트피닉스(White Phoenix) 
지원 목록		 랜섬웨어 - BlackCat/ALPHV
- Play ransomware
- Qilin/Agenda
- BianLian
- DarkBit
파일 확장자 - PDF
- Word 포맷: docx, docm, dotx, dotm, odt
- Excel 포맷: xlsx, xlsm, xltx, xltm, xlsb, xlam, ods
- PowerPoint 포맷: pptx, pptm, ptox, potm, ppsx, ppsm, odp
- Zip

 

3. 대응방안

① 다중계층방어 보안프로그램 도입

> 랜섬웨어는 하나의 보안기술로는 완벽하게 방어하기 어려움

> 네트워크, End-Point 등에 걸친 다단계 방어가 필요

 

② 정기적인 패치 및 업데이트 적용

> 랜섬웨어는 소프트웨어의 취약점을 악용해 침투

> 소프트웨어 및 펌웨어를 최신 버전으로 유지

 

③ 데이터 백업

> 신뢰할 수 있는 매체나 클라우드를 통해 데이터 백업

 

④ 기본 보안 수칙 준수

> 출처가 불분명한 파일 다운 및 실행 금지/주의

> 메일 내 첨부파일 실행 금지/주의

> USB 등의 외부 저장 매체 통제/비활성화 및 보안성 검토 후 사용

> 보안 교육 수행

 

4. 참고

[1] https://thehackernews.com/2021/08/lockfile-ransomware-bypasses-protection.html
[2] https://news.sophos.com/en-us/2021/08/27/lockfile-ransomwares-box-of-tricks-intermittent-encryption-and-evasion/
[3] https://www.ic3.gov/Media/News/2021/210825.pdf
[4] https://www.cyberark.com/resources/threat-research-blog/white-phoenix-beating-intermittent-encryption
[5] https://github.com/cyberark/White-Phoenix
[6] https://www.boannews.com/media/view.asp?idx=117997&page=1&kind=1 

 

 

 

'랜섬웨어 > 기타' 카테고리의 다른 글

RansomLooker  (0) 2023.10.13

1. 개요

- 23.03.16 대상 기관이 데이터 유출 및 랜섬웨어 피해를 당했다고 사칭하는 피싱메일이 미국에서 발견

- 공격자는 자신들의 안내를 따르지 않을 시 DDoS 공격을 감행하겠다고 협박

- 국내에서도 랜섬웨어 및 DDoS 등 관련 피해가 급증하는 것으로 확인되어 주의 필요

 

[사진 1] KISA 보호나라 2023_사이버 보안 위협 전망 보고서.pdf 中 랜섬웨어(좌) 및 DDoS(우) 증가 추이

 

2. 내용

- 공격자는 피싱메일에서 자신이 "Midnight"이라 소개

- 또 다른 메일에서 Midnight 그룹이 "Surtr 랜섬웨어"와 "Silent 랜섬웨어"를 사칭하는 것으로 확인됨

Surtr 랜섬웨어
- 2021년 말 처음 등장한 RaaS
- 파일 암호화 후 ".Surtr" 확장자 추가
- Revil 랜섬웨어 그룹과 협력했을 가능성이 존재

Silent 랜섬웨어
- 비싱(Vishing, VoIP + Phishing)으로 랜섬웨어 유포하며, 콜백 피싱으로도 불리는 기법을 이용
- 피해자에게 자동 결제 연장 등의 피싱메일 발송
- 피해자가 메일 내 제공된 전화번호로 연락
- 공격자는 피해자에게 정보를 요구하거나 문제 해결을 위해 RDP 등의 원격 접속 도구 등 설치 유도
- 설치된 원격 접속 도구를 이용해 네트워크 접속 및 랜섬웨어 유포

 

- 피해 대상을 어떤 기준으로 선정되었는지 불분명하나 DDW, SNS, 뉴스 등에서 정보를 얻었을 것으로 판단

- 그러나 일부 랜섬웨어 피해자가 포함되어 있어, 다른 랜섬웨어 조직과의 협력의 가능성도 대두

 

- 공격자는 메일을 통해 서버에서 900GB의 "필수 데이터"를 탈취 하였다고 주장

- 공격자는 대상의 고유 데이터를 사용하여 신뢰성을 부여하고, 실제 공격보다 훨씬 적은 비용을 요구

[사진 2] 랜섬웨어 피해 사칭 메일

 

- 관련된 또 다른 메일에서는 피해자가 금전을 지불하도록 압력을 목적으로 DDoS 공격 협박

- "Phantom Squad"라는 이름을 가진 DDoS 협박 그룹의 방식과 유사

- 실제로 금전을 지불하지 않은 피해자에게 DDoS 공격을 진행하였으나, 낮은 수준의 공격크기 였음

Phantom Squad (팬텀 스쿼드)
- 금전을 지불하지 않으면 DDoS 공격을 하겠다고 협박한 스팸성 피싱메일로 다수 판단
- 그러나 실제로, Xbox Live, Sony PlayStation, Steam 등에 DDoS 공격을 감행한 이력이 있음
- 0.2 비트코인(~$720)을 요구

 

3. 참고

[1] https://www.bleepingcomputer.com/news/security/fake-ransomware-gang-targets-us-orgs-with-empty-data-leak-threats/
[2] https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000127&searchWrd=&menuNo=205021&pageIndex=1&categoryCode=&nttId=67084
[3] https://www.bleepingcomputer.com/news/security/ransomware-gangs-move-to-callback-social-engineering-attacks/
[4] https://www.bleepingcomputer.com/news/security/ddos-extortion-group-sends-ransom-demand-to-thousands-of-companies/

'취약점 > Social Engineering' 카테고리의 다른 글

북한 해킹 그룹 APT37(ScarCruft, Temp.Reaper) GitHub 저장소  (0) 2023.04.30
Browser in the Browser (BitB)  (0) 2023.04.20
심 스와핑 (SIM Swapping)  (0) 2023.02.21
BEC 공격과 EAC 공격  (0) 2023.02.04
사회공학기법 #2 유형 및 대응  (1) 2022.08.25

1. 개요

- 23.02 말 새로운 랜섬웨어 단체 다크파워(Dark Power)가 확인됨

- 약 한달동안 최소 10개의 조직을 침해했다고 주장하며, 10,000달러라는 비교적 소액의 몸값을 요구

- 프로그래밍 언어로 "님(Nim)"을 사용

 

1.1 님(Nim)

- 범용 목적의 다중 패러다임의 정적 자료형, 컴파일 시스템 프로그래밍 언어

- 고차원적인 프로그래밍 언어로, 효율성이 높고 다양한 것을 구사할 수 있음

- 대중적이지 않고, 사용이 어렵지 않으며, 여러 플랫폼을 지원하는 장점으로 최근 멀웨어 개발자들이 적극 이용

> 님 기반으로 작성된 멀웨어에 대한 대응 방안이나 솔루션이 충분하지 않아 주의가 요구됨

> 새로운 언어를 익히는 것은 상대적으로 공격자보다 방어자가 더 어렵고 비용이 많이 듬

※ 공격자는 원하는 수준까지 익히지만, 방어자는 대응을위해 더 많은 영역을 알아야 함

 

2. 다크파워 (Dark Power)

- 다크파워를 비롯한 랜섬웨어의 유포 및 공격 방식은 다음과 같음

① 사회공학적기법 등으로 피해자에게 접근 ex) 피싱메일, 패치 되지않은 취약점

② 피해자 파일 다운로드 유도

③ 파일 다운 후 실행 시 랜섬웨어 실행 및 파일 암호화

④ 복호화를 빌미로 비트코인 등 몸값 지불 요구

 

2.1 동작과정

① 암호화 키 초기화

- 최초 랜섬웨어가 실행되면, 임의의 64자의 소문자 ASCII 문자열을 생성

- 해당 문자열은 암호화 알고리즘을 초기화하는데 사용됨

[사진 1] 암호화 키

 

② 서비스, 프로세스 종료 및 암호화 제외 파일 설정

- 서비스 종료

> 서비스를 비활성화함으로써 파일을 복구하기 어렵게 만듬

> 대표적으로 VSS(Volume Shadow Copy Service)이 있음

VSS(Volume Shadow Copy Service)
- 볼륨 백업을 수행하고 일관된 특정 시점의 데이터 복사본을 만들기위한 프레임 워크를 제공하는 Microsoft Windows의 COM 인터페이스 집합
- 특정한 시각의 파일, 폴더의 복사본이나 볼륨의 스냅샷을 저장해두고 복원할 수 있는 기능

 

- 프로세스 종료

> WMI "winmgmts:{impersonationLevel=impersonate}!.\root\cimv2"에 쿼리 "select * from win32_process" 수행

> 해당 쿼리는 실행 중인 모든 프로세스의 목록을 반환하고, 미리 정의된 프로세스 이름과 일치된 항목은 모두 종료

WMI(Windows Management Instrumentation)
- 시스템 내의 자원들을 로컬/원격 환경에서 관리할 수 있는 도구의 집합

 

[사진 2] 종료할 프로세스 목록

 

- 암호화 제외 대상 설정

> 서비스와 프로세스 종료 후 암호화 대상에서 제외할 파일 확장자, 파일 이름, 폴더 이름 설정

 

[사진 3] 암호화에서 제외할 확장자(上) 파일 이름(中) 폴더 이름(下)

 

③ 흔적 지우기

- 서비스, 프로세스 종료한 뒤 30초의 대기 후 콘솔과 로그를 지움

> 콘솔 지우기: "C:\Windows\system32\cmd.exe /c cls"

> 로그 지우기: WMI 쿼리 "Select * from Win32_NTEventLogFile" 및 "ClearEventLog()"

 

④ 랜섬노트 표시

- 피해 사실을 알리기 위해 랜섬노트 표시

 

2.2 특이사항

- 두 가지 버전의 랜섬웨어가 존재하며 각각 암호화 키와 형식이 다름

① 첫 번째 변형

> SHA-256 알고리즘으로 ASCII 문자열을 해시

> 해시 결과를 두 부분으로 분할

> 첫 번째 분할은 AES키로, 두 번째 분할은 초기화 벡터 IV로 사용

 

② 두 번째 변형

> SHA-256 다이제스트를 AES 키로 사용

> 암호 초기화 벡터로 고정 128비트 값 사용

 

3. 대응방안

① IoC 적용 [1]

 

② 랜섬웨어 기본 대응방안 준수 [4]

 

4. 참고

[1] https://www.trellix.com/en-us/about/newsroom/stories/research/shining-light-on-dark-power.html
[2] https://www.bleepingcomputer.com/news/security/new-dark-power-ransomware-claims-10-victims-in-its-first-month/
[3] https://www.boannews.com/media/view.asp?idx=115538&page=2&kind=1 

[4] https://ggonmerr.tistory.com/44

'랜섬웨어 > 분석' 카테고리의 다른 글

LockBit 랜섬웨어 동향  (0) 2023.06.16
ESXiArgs Ransomware  (0) 2023.02.15
Masscan 랜섬웨어  (0) 2022.10.12
LockBit 3.0 랜섬웨어 빌더 분석  (1) 2022.10.04
요약 - 한미 정보기관이 합동 보안 권고문을 발표
> 국가정보원이 미국 국가안보국(NSA)·연방수사국(FBI) 등 정보기관과 합동
> 북한의 사이버공격 위협 실태를 알리고 이를 예방하기 위한 보안 권고문을 발표
내용 - 최근 북한은 외화벌이 및 금전탈취를 목적으로 세계 각국의 각 분야 주요 기관에 대한 악의적 사이버 활동에 집중
> 공격 주체를 은닉하고 추적을 회피하기 위해 지속적으로 랜섬웨어 및 가상자산을 악용
> 북한 해커조직의 핵심 목적이 북한 정부를 위한 인텔리전스를 수집하는 것
> 국고를 채우는 데만 집중하는 다른 그룹과 차별화_사이버공격이 북한 정권의 생명줄

- 보고서 주요 내용
※ 침해지표 목록(IP, URL, 악성 파일 MD5 등) 및 자세한 사항은 국정원 보고서 참조
① 공격 단계
⒜ 인프라 구축
> 랜섬웨어 공격을 위한 도메인, 계정 등을 생성
> VPN(가상 사설망), VPS(가상 사설서버) 등을 이용해 제 3국의 IP 주소를 사용_출발지 위장 목적

⒝ 익스플로잇
> 일반적인 취약점을 악용해 대상 기관의 네트워크를 공격해 관리자 권한 획득 시도
> 확인된 유형: CVE-2021-44228(Log4Shell), CVE-2021-20038(SonicWall 관련 취약점), CVE-2022-24990(TerraMaster NAS 관련 취약점)

⒞ 내부 확산
> 맞춤형 악성코드를 포함한 단계별 페이로드를 사용해 내부 정찰
> 추가 파일과 실행 파일을 업로드 및 다운로드, 쉘 명령 실행

⒟ 랜섬웨어
> 랜섬웨어 유포

⒠ 몸값 요구
> 암호화폐 요구

② 대응방안
> PKI와 디지털 인증서를 도입하여 데이터에 대한 접근 제한
> 최소한의 권한 부여
> 복잡한 ID/PW 설정
> 암호화 통신 및 주기적인 백업, 데이터 마스킹 처리
> 지속적인 모니터링
> OS, S/W 등 최신 업데이트 출시되는 즉시 적용
> RDP 등 원격 데스트크톱 프로토콜 제한
> 임직원 대상 보안 교육 실시
기타 - 북한이 해킹으로 벌어들인 암호화폐를 북한의 국가 우선순위와 정보 목표 달성을 위해 사용하고 있을 것

- 국정원은 앞으로도 사이버공격 피해 예방 및 선제적 대응을 위해 유관국·기관과 긴밀하게 공조, 대응할 것

- 외교부는 해킹, 암호화폐 탈취 등 불법 사이버 활동을 벌였거나 관련 프로그램 개발 및 전문인력 양성에 관여한 북한 개인 4명과 기관 7곳을 제재 대상으로 지정
> 개인 : 박진혁, 조명래, 송림, 오충성
> 기관 : 조선엑스포합영회사, 라자루스 그룹(Lazarus Group), 블로노로프(Bluenoroff), 안다리엘(Andariel), 기술정찰국, 110호 연구소, 지휘자동화대학(미림대학)

- 정부는 사이버 공간을 악용한 북한의 불법 외화벌이 실태와 이에 대한 우리 정부의 대응 현황을 설명하는 ‘북한 가상자산 탈취 바로알기’ 국·영문 홍보 소책자를 발간

 

보안뉴스

 

한미 합동 사이버 보안 권고문 발표... 북한 랜섬웨어 공격 대응

국가정보원이 미국 국가안보국(NSA)·연방수사국(FBI) 등 정보기관과 합동으로 북한의 사이버공격 위협 실태를 알리고 이를 예방하기 위한 보안 권고문을 발표했다. 한미 정보기관이 합동 보안 권

www.boannews.com

 

北 해커에 칼 빼든 정부··· “사이버공격이 북한 정권 생명줄”

국가정보원이 미국 국가안보국(NSA), 연방수사국(FBI) 등 정보기관과 합동으로 북한 사이버공격 위협 실태를 알리는 보안 권고문을 발표했다. 그동안 쉬쉬하던 북한 해커의 활동에 대해 정부 차원

n.news.naver.com

 

우리 정부 첫 사이버 분야 대북 독자 제재... 해커 4명과 기관 7곳은?

우리 정부에서 북한의 주요 핵·미사일 개발 자금원 중 하나인 불법 사이버 활동에 대응하기 위한 구체적인 조치들로, 북한의 핵·미사일 개발 자금을 조달하는 개인 4명과 기관 7개를 독자 제재

www.boannews.com

 

사이버 공간을 활용한 북한의 불법적 외화벌이 차단

□ 우리 정부는 북한의 주요 핵,미사일 개발 자금원 중 하나인 불법 사이버 활동에 대응하기 위한 구체 조치들을 취하기로 하였다.□ 첫째, 우리 정부는 2.10.(금) 해외 IT 일감 수주 등 불법 사이

www.korea.kr

 

'보안뉴스' 카테고리의 다른 글

앱 서명 인증서 유출, 최근 국내외 발생사례와 대응방안 살펴보니  (0) 2023.03.06
레딧 해킹 사건이 드러낸 한 사람의 중요성  (0) 2023.02.14
VMware ESXi 취약점 패치 필수! 최근 랜섬웨어 유포에 악용 외 2건  (0) 2023.02.11
[패스워드리스 체험기] 네이버의 야심찬 선언 “비밀번호여, 이젠 안녕”  (0) 2023.02.08
챗GPT 활용한 악성 공격 실험 사례, 이미 여럿 존재한다 외 5건  (0) 2023.02.08
개요 - 매그니베르(Magniber) 랜섬웨어가 마이크로소프트 윈도의 MOTW(Mark of the Web) 기능을 우회하면서 타이포스쿼팅 방식으로 활발하게 유포
- MOTW는 NTFS 파일 시스템에서 동작하며, 다운로드 URL은 NTFS 파일 시스템의 윈도에서 Stream에 기록
- URL이 저장되는 Stream은 ‘파일명 : Zone.Identifier : $DATA’ 형태로 파일 경로에 생성되며 노트패드를 통해 간단히 확인 가능
- MOTW 기능에 의해 식별된 다운로드 파일을 실행하게 되면 경고 메시지가 발생
내용 - 매그니베르 랜섬웨어는 현재도 유포되고 있으며, 백신의 탐지를 회피하기 위해 다양한 변화를 시도
- 일부는 마이크로소프트에서 파일 출처를 알려주는 MOTW를 우회한 것으로 확인
- 공격자는 9월 8일부터 29일까지 20여일에 걸쳐 스크립트를 이용해 공격 및 타이포스쿼팅(Typosquatting) 방식으로 유포

- 다운로드된 파일은 윈도의 MOTW 기능에 의해 외부에서 가져온 파일로 식별
- 매그니베르 랜섬웨어는 MOTW 실행 차단을 우회하기 위해 9월 8일부터 29일 사이에 스크립트 하단에 디지털 서명을 사용
- 스크립트의 디지털 서명은 스크립트를 작성한 후 서명을 통해 스크립트가 변경되지 않았음을 보장하고, 작성한 사람을 확인할 수 있는 방법을 제공
- 매그니베르 랜섬웨어의 스크립트 하단에 포함된 디지털 서명은 MOTW를 우회하기 위한 목적으로 분석

- 현재 매그니베르 랜섬웨어는 스크립트 형태로 유포되지 않고 MSI 확장자로 유포
- 랜섬웨어 감염 진단을 회피하기 위해 유포 기법을 끊임없이 변경하기 때문에 사용자들의 각별한 주의가 필요
참고 * 타이포스쿼팅(Typosquatting)
- 개요 : 사회공학 기법의 일종으로 보편적으로 행해지고 있으며, 단순하지만 효과적인 공격 수법
- 공격 방식 : 정상 도메인과 비슷한 이름의 도메인을 등록 후 사용자의 오탈자 등으로 접속 시 악성코드 배포와 같은 악의적 행위가 이루어짐
- 도메인 가장 방식 : 대상 도메인의 오탈자, 다른 최상위 도메인, 관련 단어의 조합, 비슷하게 생긴 문자 등으로 도메인 생성
- 피해 범위 : 부당 이득, 광고 사기, 정보 탈취, 악성코드 유포, 명예 훼손 등
- 피해 사례 : 코로나19 팬데믹과 관련된 도메인 스푸핑 시도
- 대응 방안 :
① 주기적인 OS, 백신 업데이트
② 몇몇 밴더사에서 제공하는 스푸핑 가능성이 존재하는 도메인 식별 서비스 등을 이용
③ 사람들에게 의존하여 잘못된 도메인을 식별해야 한다는 사실로 인해 기술적 대응이 어려울 수 있음
④ 추가적으로 법적 조치가 필요한 경우도 있으나, 범죄 조직의 경우 법적 조치에 거의 반응하지 않음
⑤ 오히려 기업측에서 자체 도메인과 비슷한 도메인을 등록하여 올바른 URL로 리다이렉션하는 방안도 있으며, 이를 "방어적 등록" 혹은 "합법적 타이포스쿼팅"이라 함

 

- 보안뉴스

 

매그니베르 랜섬웨어, 윈도 MOTW 우회해 타이포스쿼팅 방식 유포

매그니베르(Magniber) 랜섬웨어가 파일 출처 확인이 가능한 마이크로소프트 윈도의 MOTW 기능을 우회하면서 타이포스쿼팅 방식으로 활발하게 유포되는 것으로 드러났다.

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

아마존의 백업 기능 잘못 사용한 사용자들, 개인 식별 정보 대규모로 노출  (1) 2022.11.19
美 국가안보국, C/C++ 대신 러스트·고·C# 사용 권고  (0) 2022.11.13
11월 1일로 패치가 예고된 오픈SSL 취약점, 어쩌면 제2의 하트블리드  (0) 2022.10.31
랜섬웨어 그룹도 내부자 위협을 겪는다? 록빗 3.0 빌더 공개돼  (0) 2022.09.26
페이스북 ‘메타’와 ‘구글’에 개인정보보호법 위반 과징금 1,000억 부과  (0) 2022.09.18

+ Recent posts

티스토리툴바