Emsisoft 안티멀웨어

엠시소프트의 랜섬웨어 공격 방어 기술 소개

Avast, Emsisoft avastkorea 2021. 6. 4. 10:29

엠시소프트는 랜섬웨어 퇴치에 관한 한 글로벌 리더 보안업체입니다. 우리는 노모어랜섬웨어 프로젝트의 협력 파트너입니다. 노모어랜섬웨어(NAT)은 사용자 정의 암호 해독 서비스를 제공하여 랜섬웨어의 공격을 받은 조직이 다운타임을 최소화할 수 있도록 지원합니다. 그리고 우리의 무료 암호 해독기는 랜섬웨어 피해자들에게 몸값을 지불하는데 수억 달러를 절약해 주었습니다.

우리는 또한 랜섬웨어를 중단하는 것이 사용자를 보호하는 것에서 시작된다는 것을 인정합니다. 그렇기 때문에 당사의 보호 솔루션은 파일을 암호화하기 전에 랜섬웨어를 안정적으로 감지하기 위해 시너지 효과를 발휘하는 다양한 랜섬웨어 관련 기술을 갖추고 있습니다. 백업 솔루션은 이중 추출의 증가로 인해 더 이상 랜섬웨어를 예방하는 만병통치약이 아닙니다.

이 블로그 게시물에서는 Emsisoft의 랜섬웨어 보호 계층과 알려진 랜섬웨어 제품군 및 알려지지 않은 랜섬웨어 제품군으로부터 사용자를 보호하는 방법에 대해 알아보겠습니다.

 

1. 서명 기반 탐지


디지털 세계에서 모든 개체에는 고유한 디지털 서명을 만드는 데 사용할 수 있는 특정 속성이 있습니다. 개체가 악의적인 것으로 식별되면 해당 서명이 알려진 악성 프로그램의 데이터베이스에 추가되며, 이를 통해 사이버 보안 회사가 잠재적인 위협을 탐지합니다. 엠시소프트 보호 솔루션이 시스템에서 알려진 악성 서명과 일치하는 서명을 가진 파일을 발견하면 파일이 위협으로 플래그가 지정되고 차단됩니다.

새로운 위협으로부터 사용자를 보호하기 위해 서명 데이터베이스가 지속적으로 업데이트되고 있습니다. 인텔리전스 수집 네트워크와 ID 랜섬웨어와의 독점적인 파트너십 덕분에, 우리는 종종 업계 최초로 새로운 랜섬웨어 변형을 위한 서명 기반 탐지 기능을 제공하는 업체 중 하나입니다.

 

 

2. 랜섬웨어 방지를 위한 행동 기반 탐지


시그니처 기반 탐지는 알려진 랜섬웨어를 차단하는 데는 탁월하지만, 이전에는 현장에서 볼 수 없었던 새로운 랜섬웨어 변형을 탐지할 수 없기 때문에 시그니처 데이터베이스에는 존재하지 않습니다.

여기서 행동 기반 탐지가 시작됩니다. 엠시소프트의 행동기반 차단과 같은 행동 기반 탐지는 비정상적인 동작 패턴을 탐지하고 의심스러운 프로그램이 시스템을 변경하기 전에 중지하는 방식으로 작동합니다. 당사의 행동 차단에는 랜섬웨어 관련 행위를 찾고 위협을 중지한 후 첫 번째 파일을 암호화하는 전용 안티랜섬웨어 계층이 포함되어 있습니다. 많은 수의 파일 암호화, 랜섬 노트 삭제, 백업 암호화 또는 삭제 시도 등 랜섬웨어의 존재를 나타낼 수 있는 많은 작업 또는 작업 조합이 있습니다.

악성 프로그램이 동작할 수 있는 방법은 몇 가지뿐이기 때문에 동작 차단은 온라인 업데이트를 자주 받지 않더라도 거의 모든 유형의 악성 프로그램을 안정적으로 탐지할 수 있습니다.

 

 

3. 익스플로잇 탐지

 

랜섬웨어 공격 체인은 운영 체제 또는 소프트웨어의 보안 취약성을 공격하는 것으로 시작되는 경우가 많습니다. 처음 타협한 후, 나쁜 행위자들은 일반적으로 공격 마지막 단계에서 랜섬웨어를 배치하기 전에 대상 환경에 대해 더 많이 배우기 위해 정찰 멀웨어를 배치하고 측면으로 확산하며 중요한 데이터를 훔칩니다.

엠시소프트의 공격 탐지 시스템은 불량 행위자가 시스템에 대한 교란권을 획득하기 전에 공격 체인을 중단합니다. 이것은 악용될 경우 유해한 페이로드를 실행하기 위해 외부 프로그램에 코드를 주입하는 것을 방지하고 일반적으로 대상으로 하는 애플리케이션의 공격 표면을 줄임으로써 이를 달성합니다(예: Microsoft Office가 위험한 PowerShell 스크립트를 실행하는 것을 방지함). 공격 탐지는 전자 메일, RDP 또는 패치되지 않은 취약성에 관계없이 공격 초기 단계에서 랜섬웨어가 탐지되고 차단되도록 보장합니다.

 

 

4. 비밀번호 보호


일반적으로 랜섬웨어는 대상 시스템이 손상된 후 며칠, 몇 주 또는 몇 개월 후에 배포됩니다. 공격자는 이 시간을 사용하여 정찰을 수행하고, 더 강력한 거점을 구축하며, 공격의 영향을 극대화하기 위한 목표 환경을 준비합니다. 이 프로세스의 일부는 보안 프로세스를 비활성화하여 랜섬웨어가 마지막으로 배포될 때 탐지되지 않고 중단 없이 작동할 수 있도록 합니다.

엠시소프트 솔루션은 위협 요소가 바이러스 백신 소프트웨어를 비활성화하지 못하도록 하는 인증 시스템을 갖추고 있습니다. 관리자 암호가 설정되면 소프트웨어를 비활성화하거나 구성하려고 할 때마다 암호를 입력하라는 메시지가 표시됩니다. 이러한 방식으로 위협 행위자는 네트워크에 대한 무단 액세스 권한을 얻었더라도 보안 소프트웨어를 종료할 수 없습니다.

관리 암호는 엔드포인트에서 로컬로 설정할 수 있지만 엠시소프트 관리자 콘솔을 사용하는 것이 좋습니다. 자세한 내용은 이 블로그 게시물 또는 엠시소프트 홈페이지를 참고하여 주십시오.

 

 

5. RDP 공격 경보 시스템

 

RDP는 가장 일반적인 랜섬웨어 공격 벡터 중 하나입니다. RDP 기반 공격 중에 위협 행위자는 일반적으로 인터넷에 노출된 RDP 포트를 검색하고 브루트 포스 툴을 사용하여 시스템에 대한 액세스를 시도합니다. 계정이 손상되면 공격자는 해킹된 계정의 권한 내에서 모든 작업을 수행할 수 있습니다.

엠시소프트 솔루션은 RDP 서비스를 실시간으로 모니터링하여 RDP 공격자를 방지합니다. 실패한 로그인 시도가 여러 번 감지되면 RDP 공격 경고 시스템이 관리자에게 통보하며, 관리자는 영향을 받는 장치에서 RDP를 비활성화할지 여부를 조사하고 결정할 수 있습니다. 엠시소프트 관리자 콘솔 내에서 RDP 서비스 상태를 쉽게 볼 수 있습니다.

RDP를 보호하는 방법에 대한 자세한 내용은 https://blog.emsisoft.com/en/36601/how-to-secure-rdp-from-ransomware-attackers/ 블로그 게시물을 참조하십시오.

 

 

결론

 

엠시소프트 솔루션은 여러 계층의 랜섬웨어 관련 기술을 갖추고 있어 파일을 암호화하기 전에 랜섬웨어를 탐지하고 중단합니다.

이 글에서는 엠시소프트의 랜섬웨어 관련 기술만 논의하고 소프트웨어에서 발견되는 다른 모든 보호 계층을 포함하지는 않습니다. 이 중 대부분은 랜섬웨어 감염 위험을 직접 또는 간접적으로 줄일 수도 있습니다. 보호 소프트웨어의 계층화된 모든 보안 요소에 대한 자세한 내용은 엠시소프트 홈페이지를 참조하십시오.

 

https://www.emsisoft.co.kr 

 

랜섬웨어 예방 백신, 엠시소프트 | Emsisoft 안티멀웨어

랜섬웨어 및 악성코드 예방과 차단을 위한 엠시소프트 글로벌 안티멀웨어 백신, 기업 백신 및 개인 백신 추천

www.emsisoft.co.kr