랜섬웨어 예방을 위한 안티랜섬웨어 엔진과 비트디펜더 엔진이 결합된 엠시소프트 안티멀웨어
엠시소프트 안티랜섬웨어

티스토리 뷰



Ransomware는 매주 새로운 변종이 생겨나고있는 가운데 계속해서 위협이 증대되고 있습니다. 이러한 이유로, 우리는 가능한 모든 수준에서 보호 기능을 제공하기 위해 ransomware 공격의 단계에 초점을 맞춘 전용 시리즈를 구성했습니다. 시리즈의 첫 번째 게시물이기 때문에 이 게시물은 시스템에서 ransomware 감염으로 인한 첫번째 정보를 여러 분들에게 제공하는데 목적이 있습니다. 이미 많은 백신 회사들에서 랜섬웨어에 대한 대응방법이라든지 예방수칙이 알려져 있지만 Emsisoft 역시 고객들의 피해를 최소화하기 위해 이러한 랜섬웨어 대응 시리즈를 준비하고자 합니다. 



맬웨어 작성자 및 공격자는 다양한 악성 프로그램을 전파하기 위해 정교한 기법을 사용합니다. 이 게시물에서 탐구하게 될 3 가지 공통적으로 사용되는 ransomware 감염 방법이 있습니다. 악성 이메일 첨부 및 링크, 드라이브 바이 다운로드 및 원격 데스크톱 프로토콜 공격을 통해 랜섬웨어가 감염됩니다.  사이버 범죄로 인해 피해를 입을 수있는 영역을 보호하고 감염 위험을 줄이는데 집중할 수 있도록 도와 드리겠습니다.



여기에서 가장 일반적인 랜섬웨어 감염 방법을 소개합니다 :



 이메일 맬웨어  : 전통적이지만 구미가 당기는 방식입니다 


랜섬웨어 공격에는 두가지 형식으로 나눌 수 있습니다. 

  • 악성 첨부 파일 다운로드 및
  • 이메일 내의 악의적 인 링크를 클릭합니다.


둘 다 사용자의 행동을 필요로하고 그 자체로 감염에 대한 예방에 있어 가장 좋은 예방 방법이 있습니다.



악의적인 이메일 첨부 파일을 사용하면 공격자가 FedEx 또는 DPD와 같은 합법적 인 회사의 전자 메일을 만들 수 있습니다. 전자 메일에는 압축 된 PE (Portable Executable) 파일, Word 문서 또는 Windows 스크립트 파일 형태로 악성 파일이 첨부됩니다. 이것은 사용자의 행동이 필요한 것입니다. 받는 사람은 전자 메일이 신뢰할 수있는 출처에서 발송되었다고 생각하여 첨부 파일을 엽니다. 파일을 열거나 Word 문서의 경우 매크로를 사용하도록 설정하면 ransomware 페이로드가 자동으로 다운로드되고 시스템 감염 프로세스가 시작됩니다.


악성 전자메일 링크는 악의적 인 전자 메일 첨부 파일과 유사하지만 링크가 전자 메일 본문에 포함 된 URL이라는 점만 다릅니다. 마찬가지로, 이러한 전자 메일은 합법적인 것으로 생각되는 사람이나 조직에서 전송되며 클릭하면 해당 URL이 ransomware를 다운로드합니다.


순환하는 PayPal 이메일에는 '보안 조치'가 포함되어있어보다 합법적 인 것으로 보이지만 'You just to ..'와 같은 텍스트의 오류를 메모하십시오.



 드라이브 바이 다운로드(Drive-by downloads) : 알지못하는 사이에 시스템을 감염시킴 

Exploit Kit은 시스템의 취약점을 악용하는 정교한 코드입니다. 피해자가 손상된 웹 사이트를 의도적으로 방문했거나 해킹된 합법적인 사이트에서 손상된 웹 사이트로 리디렉션 될 때 대부분 실행됩니다. 악성 코드는 페이지의 코드에 숨겨져 있으며, 종종 광고 (malvertisement)로 표시되어 공격 대상 키트의 방문 페이지로 리디렉션됩니다. 이것은 New York Times와 BBC가 해킹당했고 수천 명의 독자가 가짜 사이트로 리디렉션 된 경우입니다.

시스템에 취약점이있는 경우 악성 페이로드의 드라이브 바이 다운로드가 실행되고 시스템이 몸값을 요구합니다.


익스플로잇 킷 공격에 대해 가장 좌절스러운 점은 사용자의 많은 조치없이 시스템에 액세스하는 것이 쉽다는 것입니다. 가장 널리 사용되는 소프트웨어에서 패치되지 않은 취약점을 이용하기 때문에 이러한 감염 유형은 사용자가 몸에 어떤 생각이 들지 않는 몸값을 낼 때까지 눈에 띄지 않게됩니다.



 RDP 서버에 대한 연속적인 공격 : 서버 네트워크를 연속적으로 빠르게 공격 


원격 데스크톱 프로토콜 또는 RDP, 공격 또는 '정말 바보 같은 암호'공격은 회사에서 RDP 클라이언트 포트를 인터넷에 개방된 상태로 두고 공격자가 열려있는 RDP 포트의 IP 주소 블록을 검색 할 때 발생합니다. 일단 발견되면 해커는 서버 관리자가 username : admin password : admin과 같은 로그인 자격 증명을 사용할 때 더 쉽게 만들어지는 원격 데스크톱 로그인 암호를 알아 내기 위해 가능한 모든 변형을 신속하게 시도합니다. 실수하지 마십시오. 해커에게 액세스 권한을 부여하는 가장 쉬운 방법은 취약한 비밀번호를 선택하는 것입니다. 이것은 서버 관리자 뿐만 아니라 모든 사용자를위한 것입니다.


시스템에 액세스하면 해커는 암호화를 수행하는 파일을 실행하고 모든 네트워크 및 로컬 드라이브를 찾을 수 있습니다. 해커가 네트워크에 액세스하면 꽤 많은 일을 할 수 있습니다. 최근에는 3 개의 의료기관 데이터베이스가 이러한 방식으로 손상되었습니다. 원격 데스크톱 프로토콜 (RDP) 기능을 어떻게 구현했는지에 대한 취약점이 악용되었으며, 환자 파일이 몸값에 대해 보유되었으며 추가로 655,000 개가 어두운 웹에 판매되었습니다.



그는 MongoDB의 재난으로 28,200 대의 서버가 충돌했다. 몇 가지 고립 된 사건이 ​​일주일이 끝날 무렵 수천 개의 MongoDB 서버가 완전히 파괴 된 것으로 나타났습니다. 해커들은 어떻게해서 그렇게 많은 서버에 빠르게 액세스 할 수 있었습니까? 짐작했던 것처럼, 공격은 인터넷을 통해 액세스 할 수있는 데이터베이스와 관리자 계정의 암호가없는 데이터베이스를 대상으로 했습니다.


100 대의 컴퓨터가 있는 네트워크에 액세스하는 것은 해커에게 진정한 금광입니다. 액세스 권한이 있는 파일뿐 아니라 컴퓨팅 능력 때문에 컴퓨터 네트워크가 필요한 작업을 수행하기 위해 봇넷을 활용할 수 있습니다. 일반적인 봇넷은 수 만대의 컴퓨터로 구성되며 모두 단일 명령 및 제어 터미널에 의해 제어됩니다. 해커들은 봇넷에있는 모든 컴퓨터의 컴퓨팅 파워와 네트워크 리소스를 결합하여 단일 타겟을 공격하고 가능한 한 빠른 속도로 ransomware를 보급하기 위해 100,000 개의 이메일을 보내거나 더 많은 사용자 이름과 비밀번호를 캡처하기 위해 트래픽을 탐지 할 수 있기 때문에 이를 사용하는 것을 좋아합니다. 이용하기 위해, 착취하기 위해  RDP를 통해 액세스하면 시스템에 실제로 모든 것을 할 수 있습니다.




Ransomware 예방을 위해서는 다층적 보호가 필요합니다.


ransomware가 시스템에 손쉽게 도달 할 수 있기 때문에 최선의 방어가 확실한 예방계획이 됩니다. 양질의 안티 멀웨어 슈트는 견고한 안전망 역할을 하지만 정확한 보안 조치를 취하면 루트킷은 결코 그렇게 할 수 없습니다.


다음은 시스템의 취약점을 해결하기 위한 몇 가지 실용적인 단계입니다.


 상식적인 이메일 및 드라이브 바이 공격 방지 


클릭하기 전에 생각하십시오. FedEx는 발송물에 관한 첨부 파일이나 정보를 요청하는 페이지에 대한 제 3 자 링크를 이메일로 발송합니다. 가능성은 없지만 확실히 PE (portable executable) 파일, Word 문서 또는 Windows 스크립트 파일이 아닙니다. 확실하지 않은 경우 전자 메일을 열지 말고 전자 메일을 받는 사이트에 직접 로그인하여 실제 웹 사이트의 안전을 확인하십시오.



복잡한 암호 사용으로 RDP 공격 방지


특히 관리자 액세스의 경우 복잡한 암호를 사용하십시오. 또한 Administrator 계정을 비활성화하고 덜 분명한 사용자 이름으로 해당 액세스에 다른 이름을 사용하는 것이 좋습니다. 몇 번의 로그인 시도 실패 후 일정 기간 동안 사용자를 잠그도록 시스템을 설정하십시오. 또한 시스템에 네트워크 수준 인증이 제대로 구성되어 있는지 확인하십시오 (특히 관리자 액세스의 경우). 일반 탭에서 '네트워크 수준 인증이있는 원격 데스크톱을 실행하는 컴퓨터에서만 연결 허용 확인란을 선택합니다.


Emsisoft Anti-Malware for Business, Emsisoft Anti-Malware for Server와 같은 효율적이고 강력한 맬웨어 방지 비즈니스 솔루션을 항상 실행하고 Emsisoft Enterprise Console을 사용하여 모든 클라이언트 사용자를 중앙 집중식으로 관리하십시오. http://www.emsisoft.co.kr



정기적 인 시스템 정리로 모든 형태의 맬웨어 예방


  • 중요한 파일을 백업하고 이 백업을 정기적으로 업데이트하십시오.
  • 이러한 5 단계로 ransomware 감염을 방지하기 위해 정기적으로 청소하십시오.
  • 강력한 맬웨어 방지 프로그램을 실행하고 업데이트 된 상태로 유지하십시오. Emsisoft Anti-Malware로 보호하거나 Emsisoft Internet Security로 방화벽을 추가 한 맬웨어 방지 제품의 강력한 기능을 선택하십시오.


보시다시피, ransomware가 관련된 다양한 감염 방법이 있습니다. 일부는 귀하의 행동으로 예방할 수 있으며, 다른 일부는 양질의 맬웨어 방지 제품을 추가로 필요로합니다. 이제 위험성을 알았으므로 의심스러운 이메일과 이상한 리디렉션을 온라인에서 볼 수 있기를 바랍니다. 예방은 ransomware에 대한 최선의 치료법이므로 준비를 시작하십시오.


이것은 Spotlight on Ransomware 시리즈의 첫 번째 게시물입니다. 제 2 부에 대해 계속 지켜봐주십시오!


멋진 하루 되세요!



(주)소프트메일

http://www.emsisoft.co.kr


저작자 표시 비영리 동일 조건 변경 허락
신고
댓글