랜섬웨어로부터 비즈니스를 보호하는 것은 어려운 일입니다. 특히 다양한 운영 체제를 사용하는 경우 각 운영 체제마다 보안 및 위험 수준이 다릅니다.
직원들이 Windows, MacOS, Linux 및 모바일 운영 체제를 함께 사용할 가능성이 높기 때문에 비즈니스 보안이 일관되게 유지되는지 확인하기 어려울 수 있습니다.
이 기사에서는 Linux 랜섬웨어가 무엇인지, 얼마나 많은 보안을 제공하는지, Linux를 실행하는 장치를 표적으로 삼는 다양한 유형의 랜섬웨어, 위협으로부터 보호하기 위해 할 수 있는 일 등을 살펴봅니다.
리눅스 랜섬웨어란 무엇입니까?
일반적으로 Linux 랜섬웨어 는 Linux 운영 체제(Ubuntu 및 Debian과 같은 배포판 포함) 기반 시스템을 공격할 수 있는 악성 코드 유형입니다. 이러한 유형의 공격은 장치나 네트워크에 침투하여 중요한 문서를 식별하고 암호화합니다. 일반적으로 공격이 처음으로 발견되는 것은 암호화된 파일 반환에 대한 지불을 요구하는 메시지가 전송될 때입니다. 개인에게는 이는 끔찍한 일이지만 기업의 경우 운영 및 고객 신뢰에 회복할 수 없는 손상을 초래할 수 있습니다.
리눅스는 안전한가요?
Linux는 강력한 보안 수단을 제공한다는 평판을 받아 비즈니스 서버에 널리 사용되는 옵션이지만 실제로는 어떤 운영 체제(OS)도 맬웨어 공격으로부터 완전히 안전하지 않습니다. 맬웨어의 특성상 피싱, 취약한 비밀번호 사용, 사용 가능한 업데이트 구현 실패 등을 통해 사람의 실수가 침해의 원인이 되는 경우가 많습니다.
Linux 사용자에게 있어서 긍정적인 점 중 하나는 보안 업데이트가 정기적일 뿐만 아니라 일반적으로 매우 효과적인 것으로 간주되어 시스템에 최고의 OS 보안을 제공한다는 것입니다.
또 다른 긍정적인 점은 Linux가 제한된 액세스 권한을 자동으로 할당한다는 것입니다. 즉, 악의적인 해커가 사용자 계정에 대한 액세스 권한을 얻은 경우 보안 데이터에 액세스하거나 관리자 제어 권한을 얻을 가능성이 줄어듭니다.
Windows 및 Mac 운영 체제는 Linux보다 더 널리 사용되지만 악의적인 행위자는 Linux가 비즈니스 서버용 시스템으로 인기가 높아지고 있다는 것을 알고 있습니다. Linux 시스템에 액세스함으로써 해커는 단일 엔드포인트가 아닌 서버에 액세스할 가능성이 훨씬 더 높습니다. 이러한 이유로 기업은 안주해서는 안 됩니다. 공격을 받을 위험을 줄이려면 바이러스 백신 소프트웨어를 사용해야 합니다.
Linux의 랜섬웨어: 무슨 일이 발생하나요?
Linux 랜섬웨어는 Linux 서버를 사용하는 기업에서 점점 더 우려되고 있습니다. 의심스러운 네트워크 활동과 기타 위험 신호를 발견하려면 프로세스를 이해하는 것이 중요합니다. 공격자의 접근 방식은 다양하지만 다음은 Linux 랜섬웨어 공격의 일반적인 단계를 나타냅니다.
1. 취약점 악용
네트워크에 액세스하여 확산되기 위해 Linux 랜섬웨어는 일반적으로 취약점 식별에 의존합니다. 이는 패치가 적용되지 않은 시스템 프로세스나 서비스 결함처럼 간단할 수 있습니다. 이 취약점은 일상적인 사용에 영향을 미치지 않으며 쉽게 눈에 띄지 않을 수 있습니다.
일부 형태의 Linux 랜섬웨어는 관리자 액세스를 제공할 수 있는 SQL 주입 취약점을 식별하기 위해 스캐너를 사용합니다 . 알려진 취약점을 패치하려면 업데이트 및 수정 사항을 적용하는 것이 중요합니다.
2. 설정
랜섬웨어가 설치되면 악성 실행 파일(일반적으로 웜, 트로이 목마 또는 바이러스)의 다운로드를 요청하며, 이는 네트워크의 로컬 디렉터리에 위치할 수 있습니다. 이 시점에서 작동이 시작됩니다. 이는 특정 액세스 권한과 부팅 시 또는 복구 모드에서 실행할 수 있는 기능을 자체적으로 부여하는 것을 의미할 수 있습니다.
어떤 경우에는 랜섬웨어가 권한 상승을 사용하여 일반적으로 고위 관리자만 사용하는 기능에 액세스합니다. 이러한 우회는 악성코드가 모든 데이터를 보고 편집할 수 있음을 의미합니다.
3. 스캔 (검사)
랜섬웨어는 특정 확장자를 가진 공유 폴더와 파일을 찾기 위해 시스템을 검사합니다. 이러한 대상에는 미리 결정되어 있으며 문서 파일(.PDF, .DOC) 및 클라우드 또는 네트워크 스토리지와 관련된 소프트웨어가 포함될 가능성이 높습니다.
악성 코드가 귀하의 비즈니스에서 아직 발견되지 않았을 수도 있지만, 귀하의 서버에 자체적으로 정착하여 몸값을 요구할 파일을 이미 목표로 삼았을 수도 있습니다.
4. 암호화
Linux 시스템을 공격하는 이 단계에서 랜섬웨어는 대상 파일의 암호화된 버전을 생성하고 원본을 제거합니다. 사용된 암호화 유형에 따라 이 작업은 되돌릴 수 없습니다.
많은 암호화 방법은 한 쌍의 키를 사용하여 데이터를 암호화하고 해독하므로 비대칭이라고 알려져 있습니다. 일반적으로 하나의 키는 공개되어 표시되지만 다른 하나는 비공개이며 작성자만 보유합니다. 랜섬웨어는 사이버범죄자의 서버에 접속하여 암호화 프로세스를 시작하기 위한 공개 키를 얻습니다.
이 시점에서 장치가 네트워크에 연결되어 있지 않으면 공격자는 사용자가 다시 온라인 상태가 될 때까지 기다렸다가 파일을 암호화합니다.
일반적인 암호화 유형은 다음과 같습니다.
- AES – 고급 암호화 표준(Rijndael)은 미국 국립 표준 기술 연구소에서 만든 표준입니다. 키는 128, 192 또는 256비트일 수 있습니다. 숫자가 높을수록 암호화가 더 복잡해집니다.
- RSA – 1977년에 개발된 공개 키 시스템입니다. RSA의 이름은 세 명의 제작자인 Rivest-Shamir-Adleman의 약어입니다. 일반적으로 길이가 1024 또는 2048비트이므로 깨지기 어렵습니다.
5. 요구사항
마지막 단계에서는 몸값을 통해 강탈을 요구합니다. 이는 시작 메시지, 데스크탑에 있는 문서 또는 암호화된 파일 위치의 형태일 수 있습니다. 몸값에는 일반적으로 지불 지침이 포함됩니다. 일부에는 기한이나 카운트다운이 포함되어 시간이 지남에 따라 몸값이 증가하거나 지불이 제때 이루어지지 않으면 영구 파일 삭제를 위협할 수 있습니다.
이 시점에서 랜섬웨어는 작업을 완료했습니다.
리눅스 랜섬웨어의 종류
대군
Tycoon의 첫 번째 인스턴스는 2019년에 발견되었습니다. 일반적으로 SMB 및 고등 교육 기관을 공격하는 데 사용됩니다. Linux 및 Windows 장치를 모두 감염시킬 수 있습니다.
악성 Java 이미지 파일이 포함된 ZIP 아카이브를 통해 시스템에 액세스합니다. 그런 다음 보안되지 않은 원격 데스크톱 프로토콜을 사용하여 Java 개체를 실행합니다. 이 개체는 시스템을 암호화하고 몸값 메모를 남깁니다.
공격은 일반적으로 비트코인을 통한 결제를 위해 60시간의 창구를 제공합니다. 어떤 경우에는 금액이 매일 증가합니다.
QNAP크립트
이 공격은 Linux 기반 NAS(Network Attached Storage) 장치에 중점을 둡니다. 배포는 일반적으로 가짜 업데이트와 ZIP 아카이브를 포함한 감염된 파일을 통해 이루어집니다.
QNAPCrypt의 진입점은 SOCKS5 프록시(전송 중 데이터 패킷을 보호하는 VPN의 대안) 인증에 결함이 있고 탐지율이 낮다는 것입니다. 시스템이 손상되면 악성코드는 피해자의 데이터를 암호화하기 전에 해커의 서버에 비트코인 지갑과 공개 RSA 키를 요청합니다.
암호화가 완료되면 몸값 정보가 .txt 파일에 남습니다. 각 피해자에게는 몸값을 지불할 수 있는 고유한 비트코인 지갑이 제공되므로 공격자가 탐지를 피할 수 있습니다.
몸값EXX
RansomEXX(Defrat777이라고도 함)는 최근 몇 년 동안 Linux 장치에서 가장 일반적인 랜섬웨어 형태 중 하나가 되었습니다. 이는 Windows 악성 코드로 시작되었지만 Linux 서버를 공격하는 데 점점 더 많이 사용되었습니다. 특히 브라질 정부 , 텍사스 교통부 , 체코 공화국 브르노 대학 병원을 대상으로 했습니다.
이러한 유형의 랜섬웨어는 "대형 사냥꾼"으로 알려져 있으며, 대규모 몸값을 확보하기 위해 대규모 조직과 정부를 표적으로 삼는 데 자주 사용됩니다. 악성 코드는 여러 엔드포인트를 공격하는 대신 서버로 직접 향하여 액세스를 제한합니다. 파일을 원본에 저장하므로 Linux 서버가 이러한 유형의 공격에 대한 주요 대상이 됩니다.
RansomEXX는 일반적으로 악성 Word 문서가 포함된 이메일을 통해 전달됩니다. 일단 열리면 트로이 목마가 사용자 시스템에 다운로드되어 파일을 암호화하고 256비트 암호화 키를 생성합니다. 그런 다음 키는 매초마다 다시 암호화됩니다.
에레보스
Erebus는 2016년 Windows 기반 랜섬웨어로 처음 발견되었습니다. 이는 2017년 한국 웹 호스팅 회사 NAYANA에 대한 세간의 이목을 끄는 공격을 위해 Linux 시스템에 대해 처음으로 사용되었습니다 . 153개의 Linux 서버와 3,400개 이상의 비즈니스 웹사이트가 영향을 받았습니다. 비트코인으로 100만 달러의 몸값을 지불한 것은 당시 지불한 수수료 중 최고 기록을 세웠습니다.
Erebus는 사용자가 악성 링크를 클릭하거나 감염된 이메일 첨부 파일을 여는 데 의존합니다. 또한 가짜 설치 프로그램과 같은 악성 소프트웨어를 통해 시스템에 액세스할 수도 있습니다.
랜섬웨어는 데이터베이스, 아카이브, 문서를 포함하여 암호화할 광범위한 파일 형식을 검색합니다. 사용된 암호화 프로세스는 세 가지 다른 암호화 시스템(RSA-2048, AES 및 RC4)을 혼합하여 사용하므로 해독하기 어렵습니다. 랜섬웨어는 운영 체제의 섀도우 볼륨 복사본도 삭제하므로 복구가 더욱 어려워집니다.
킬디스크
KillDisk는 Linux에 적용되기 전에 Windows에서 시작된 또 다른 랜섬웨어입니다. KillDisk의 Linux 버전은 다양한 64비트 암호화 키 세트를 사용하여 각 파일을 암호화합니다. 그런 다음 부트로더를 덮어쓰는 방식으로 시스템이 부팅되는 것을 방지하고 대신 비트코인으로 지불을 요구하는 전체 화면 몸값 메모를 사용자에게 표시합니다.
KillDisk의 Linux 버전은 Windows와 다릅니다. 데이터를 해독하는 데 필요한 키는 Linux 공격 중에 로컬에 저장되거나 서버로 전송되지 않습니다. 즉, 암호화 도구는 강탈이 아닌 파괴를 위해 작성되었을 가능성이 높습니다. 암호화 키가 존재하지 않으면 몸값 지불 여부에 관계없이 파일을 복구할 가능성이 거의 없습니다.
Linux 랜섬웨어로부터 보호
Linux 랜섬웨어는 특히 비즈니스 사용자에게 점점 더 큰 위협이 되고 있습니다. 랜섬웨어 공격으로부터 비즈니스를 보호하기 위해 취해야 할 조치는 다음과 같습니다.
- 정기적으로 업데이트를 설치하십시오. 모든 서버와 엔드포인트는 계속 업데이트되어야 합니다. 보안 패치와 소프트웨어 수정 사항은 항상 출시되는 즉시 설치해야 합니다.
- 직원을 위한 사이버 보안 교육 제공 . 인적 오류를 최소화하려면 모든 직원이 기초적인 수준의 사이버 보안 교육을 받는 것이 중요합니다. Avast의 사이버 보안 퀴즈는 직원의 이해를 돕고 교육을 통해 개선할 수 있는 약점을 파악하는 데 도움이 됩니다.
- 액세스 권한을 제한합니다 . 사용자 계정 권한은 정책에 따라 최소한으로 유지되어야 합니다. 모든 사람은 자신의 작업을 완료하는 데 필요한 파일과 응용 프로그램에만 액세스할 수 있습니다.
- 데이터 백업 . 공격으로 인한 잠재적 피해를 최소화하려면 데이터의 안전한 백업을 유지하는 것이 중요합니다.
- 보안 전략을 수립합니다 . 많은 공격은 네트워크에 액세스하기 위해 사람의 실수에 의존합니다. 직원 교육, 보안 소프트웨어 구현, 강력한 비밀번호, 안전한 이메일 및 엔드포인트 보안에 대한 모범 사례 구현을 포함하는 보안 전략을 구현하면 이러한 위험을 크게 줄일 수 있습니다.
- 정기적인 검사와 취약성 평가를 실시합니다 . 시스템을 정기적으로 모니터링하고 주의 깊게 평가해야 합니다. 의심스러운 활동을 식별하려면 이 프로세스의 일부로 이벤트 로그를 검토해야 합니다.
- 대응 계획을 세우십시오 . 사무실에 화재 안전 계획이 있는 것과 마찬가지로 직원이 공격 발생 시 어떻게 해야 하는지 알 수 있도록 랜섬웨어 전략도 마련되어 있어야 합니다. 피해를 최소화하고 원활한 복구를 보장하는 것이 목표입니다.
Linux 서버용 고급 바이러스 백신
Linux는 최고의 OS 보안을 제공하지만 비즈니스 데이터와 서버를 안전하게 유지하는 것만으로는 충분하지 않습니다. 전용 Linux 악성 코드 및 엔드포인트 보호로 회사를 보호하세요.
AVAST의 리눅스 백신을 확인해 보시고 지금 도입해 보십시오. 리눅스 보안의 마지막 보루입니다.
https://www.avastkorea.com/avast/business-for-linux.asp
'Avast 안티바이러스' 카테고리의 다른 글
여름철 휴가가기 전에 사이버보안을 위해 준비해야 할 AVAST 제안 (1) | 2024.06.13 |
---|---|
리눅스 서버를 악성코드로 부터 보호하는 8가지 방법 - AVAST 백신 (0) | 2024.05.16 |
AVAST 백신 AV-TEST 23 어워드에서 베스트 보호 제품으로 선정 (0) | 2024.03.26 |
AVAST 비즈니스 백신이 EDR을 품을 예정입니다. (0) | 2024.03.25 |
서버 운영시 RDP 로그인 공격 차단을 효과적으로 방어하는 AVAST (0) | 2024.03.13 |