안녕하세요.
아래에 랜섬웨어 관련 문의글이 있어 좀더 자세한
내용을 기술 하고자 게시글을 작성하게 되었습니다.
많은 보안 선배님들이 계시겠지만 다른분들께
조금이나마 도움이되고자 작성함을 양해부탁드립니다
랜섬웨어 공격은 외부에서 내부에 침입하여 중요자료를 암호화하여 사용할수 없도록 하는 등
해가 되는 행위를 하는 것을 지칭합니다.
외부에서 내부메일을 통한 첨부파일의 형태든지
USB를 통한 실행파일의 형태이든지 외부의 미확인
링크를 통한 다운로드의 형태든지 같은 랜섬웨어라도
다양한 방법으로 내부에 침입 가능합니다. 그러므로
기본적으로 내부인력들의 보안의식 고취를 장려해야
근본적인 원인을 줄일 수 있을 것입니다.
직접적인 공격위험을 최소화하기위해서 방화벽을
통해 외부에서 내부로의 통신경로를 최소화하고
IPS, IDS등을 통해 탐지모니터링을 수행해야 합니다.
외부에 제공하는 서비스가 있는 시스템이라면 쉽지
않지만 방화벽에서 확인되지않은 any rule을 최소화
하고 기본적으로 all deny에서 시작해야 합니다.
만약 그것이 쉽지 않다면 운영자용 서비스포트들은
(3389,21,22,23 등)우선 차단 rule설정 후
필요시 열어주는 식으로 접근을 해야 합니다.
필요시 열어줄 경우에도 서비스포트의 번호를 변경하여 사용하면 좋습니다. 그리고 주기적으로
공유되는 C&C서버 IP리스트를 차단등록해주어야
합니다.
IPS,IDS등에서는 패턴업데이트를 주기적으로 진행
하여 최신의 malware나 back door, smb 관련 패턴
업데이트 후 주기적으로인 모니터링을 수행하면
예방하는데 도움이 됩니다. 주차별이나 월별로 차이점을 비교하면서 특이사항을 파악해줍니다.
파일공유로 인한 오탐이 발생할수 있지만 유독 많이
발생하는 IP의 단말을 망차단 후 바이러스 검사, 공유 및 프린터 설정 해제, 해결불가 시 포맷 등의 조치를
수행하면 위험을 줄일 수 있습니다.
공인IP를 가지고 있는 외부와 인접한 망일수록
외부로부터 직접접속이 가능하므로 보안지침을 더욱
강력하게 적용해야 합니다. 외부에서는 패스워드를
유추하려는 브루포스 와 오픈된 포트를 알아내려는
포트스캔 공격이 항상 진행되고 있음을 유의하셔야
합니다.
추가로 비업무사이트차단시스템을 통해 유해한사이트
접근을 원천적으로 불가하도록 설정해두고
USB보안 솔루션으로 내부에서 무분별한 저장매체 사용을 제어 하게 되면 기본적으로 문제가 될 부분들은
조치가 되었다고 생각이 되네요.
중요한부분은 솔루션을 도입했다고하여 조치가 완료되는 것이 아니라 운영자가 제대로 운영할때
솔루션이 제기능을 한다고 생각합니다.
보안이란 방비를 해도 방심할경우 틈이 있을수밖에 없습니다.
만약 공격을 당하게 되었을 경우를 대비하여
시스템 백업과 이중화구성은 철저히 진행해야 되겠습니다. 공격자들에게 협상의 여지를 주어서는 안되기 때문이죠. 공격당한 시스템은 망에서 분리 후
포맷을 진행하고 백업 본을 복구하여 서비스의
연속성을 유지할수있도록 합니다.
아래는 최근 미국 송유관 랜섬웨어공격 사건관련
글을 발췌 해왔습니다. 참고하시기 바랍니다.
국내 보안 전문기업 소만사는 미국 콜로니얼 파이프라인 공격에 사용된 다크사이드 랜섬웨어와 동일한 버전의 샘플을 확보해 분석한 보고서를 발간했다. 소만사는 해당 보고서에 다크사이드 랜섬웨어의 동작방식과 대응방안을 상세히 서술함으로써 사전에 다크사이드 랜섬웨어 감염을 예방, 차단할 수 있도록 했다.
보고서에 따르면 다크사이드 랜섬웨어는 5가지 주요한 특징을 보인다. 우선 `PECompact`와 `VMProtect`라는 패킹 소프트웨어로 이중으로 압축돼 있다. 이를 통해 내부코드를 난독화하는 동시에 실행파일을 압축해 기존의 시그니처 탐지 기반 안티바이러스 솔루션은 다크사이드 랜섬웨어를 신속하게 탐지·대응할 수 없었다.
데이터 암호화를 진행하고 감염 PC 내 주요 데이터를 명령제어(C&C) 서버로 탈취한다. 이를 통해 데이터 유포 협박과 암호화 데이터 복호화를 빌미로 피해자가 이중으로 비용을 지불하도록 유도한다. 지역·국가별로 상이한 행위를 보이는 특징도 있다. 구소련 및 시리아 지역에서는 랜섬웨어 감염이 이뤄지지 않으며, 암호화에 있어 특정 국가·지역을 대상으로만 암호화 프로세스를 진행한다.
데이터 탈취 및 암호화 행위에 방해되는 서비스와 프로세스는 사전에 제거한다. 암호화 작업 수행 시 방해가 되지 않도록 하는 목적이지만, 탐지 회피 효과도 있어 보안솔루션의 위협·대응분석이 쉽지 않다. 또 난독화된 파워쉘 스크립트를 이용해 보안솔루션 제품의 탐지를 피해 볼륨 쉐도우 복사본을 삭제, 시스템 복원을 무력화한다. 시스템 복원을 무력화시켜 피해자가 몸값을 지불할 수밖에 없도록 유도하는 방식이다.
출처:
출처를 알수없는 링크를 업무망에서 누르시지
않으셔야 됩니다. 물론 링크는 진짜 기사원문 링크이긴 합니다. ^^
2
