Suggested background I. 국내보안의시대별패러다임 II. 랜섬웨어에대한국내입장 III. 랜섬웨어피해통계 IV. 랜섬웨어공격유형

INDEX

Suggested background I. 국내보안의시대별패러다임 II. 랜섬웨어에대한국내입장 III. 랜섬웨어피해통계 IV. 랜섬웨어공격유형

국내보안의시대별패러다임 전산망분리가이드 정보통신망법 전자금융거래법 개인정보보호법 정보보호산업진흥법 클라우드발전법 1990 방화벽상용화 2000 2010 UTM 상용화 랜섬웨어발견 웹방화벽상용화 차세대방화벽상용화 2017 바이러스백신프로그램상용화 이메일을통한바이러스유포 이메일악성코드의진화 타겟공격 & 개인정보유출 랜섬웨어방어상용화 인터넷통한악성코드유포 금전목적의악성코드진화 랜섬웨어전세계급증 1990 ~ 1999 2000 ~ 2009 2010 ~ 현재 ~ 미래 인프라및하드웨어부문육성소프트웨어부문육성소프트웨어부문에서인공지능환경으로변화 정부관점 전국인터넷인프라구축및보급 정부관점 중앙부처등자료의전산화추진 정부관점 4 차산업육성법준비및지원 기업관점 업무용 PC 보급 기업관점 내부업무시스템의전산화추진 기업관점 인공지능을통한업무오차율최소화 개인관점 인터넷커뮤니티활동의증가 개인관점 인터넷만을통한지식습득 개인관점 다양한종류의정보습득루트활용 시대별보안이슈시대별보안이슈시대별보안이슈 네트워크를통한비인가자의내부시스템접근등발생 보안의식부재로인한직원의자료유출사고발생 바이러스, 악성코드등을통한악위적유출발생 보안의식부재로인한직원의자료유출사고발생 지적재산권보호를위한무조건적인통제시작 금전적취득수단으로해킹공격의대상을기업으로변경 무조건적인통제에서선별적통제로

랜섬웨어에대한국내입장 과거현재 ~ 미래 ~ 랜섬웨어란?? 랜섬웨어 (ransom ware) 는몸값을뜻하는랜섬 (ransom) 과소프트웨어 (software) 의합성어로단말의주요파일이나시스템을암호화하여못쓰게한뒤금전을요구하는신종공격유형이다. 2015년 4월국내대형 IT 커뮤니티클럽을통해한국을대상으로한크립토락커 (CryptoLocker) 한글버전이발견되었고, 국내피해가급증하였다. 또한, 공격대상이 PC에서스마트폰, 태블릿 PC, 클라우드로확대되어피해가컸다. 정부발표에따르면국내랜섬웨어침해신고현황은 2014년에는거의없었던반면 2015년에 800건으로크게증가하였고, 세계적으로는피해규모가 3,700억원이상에달한다. 공격은주로보안에취약한웹사이트광고서버의권한을탈취하여악성코드를유포하는방식이다. 기존에는 PC의그림파일, 문서등을암호화하고, 비트코인 (Bitcoin) 등금전을요구하는방법으로공격하였으나 2016 국가정보보호백서발취

랜섬웨어피해통계 16 년국내랜섬웨어침해종류 15~16 년랜섬웨어침해신고현황 60.81% 8.11% 6.61% 6.46% 5.71% 4.20% 3.00% 3.00% 1.35% 15~16 년 합계 : 5933 건 매년증가추세 0.75% 국내랜섬웨어피해, 손실 16 년국내랜섬웨어침해방법 구분연도랜섬웨어감염수피해손실 랜섬웨어감염수 및피해손실 2015 년 53,000 PC 1,090 억원추정 2016 년 130.000 PC 3,000 억원추정 구분로컬거래규모비고 랜섬웨어통한 비트코인거래량 국내 100 억원이상추정국내비트코인거래량에 1.5% 해외 10 억원달러약 1 조 1000 억원 2015 년 2016 년 2017 랜섬웨어침해분석보고서

랜섬웨어공격유형 메일을통한랜섬웨어공격 메일접속 랜섬웨어다운로드 파일암호화수행 결재강요 웹을통한랜섬웨어공격 웹접속 악성코드다운로드 랜섬웨어생성 파일암호화수행 결재강요 OS 취약점을통한랜섬웨어공격 OS 취약점공격 랜섬웨어다운로드 파일암호화수행 결재강요

Ransomware Protect Solution I. 솔루션구성 II. 구성개략도 III. 주요기능 IV. 주요강점 V. 주요기술 Anti-Exploit : 예방 Anti-Ransomware : 암호화방지 Sophos Clean : 삭제 Root Cause Analysis : 추적성

솔루션구성 Cloud Version Sophos Central - Root Cause Analysis 센트럴관리페이지는멀티브라우저지원 지원운영체제 Disk 여유공간 Memory 최소사양 Windows 10 Windows 8, 8.1 Windows 7 Windows Vista 1GB 1GB Client/Agent Anti Ransomware 상용 H/W 및 S/W Console 은윈도우환경에서만동작 지원운영체제최소 DISK 공간 Memory 최소사양 Windows 10 On-Premise Version Sophos Enterprise Console Windows 8, 8.1 Windows 7 Windows Vista 1GB 1GB Client/Agent Windows XP SP3

구성개략도 Cloud Vision On-Premise Vision Sophos Lab Sophos Central (Cloud 환경 ) Sophos Management 인프라구축불필요 (Server, OS, DBMS, 백신등 ) 상용 Server, OS, DBMS 등필요 고객사운영보안장비 고객사운영보안장비 Client/Agent 설치 PC... Endpoint Advanced + Intercept-X Client/Agent 설치 PC

주요기능 Cloud Version On-Premise Version BEFORE IT REACHES DEVICE 웹보안 (Web Security) 다운로드평판 (Download Reputation) Web Control / Category-based URL Blocking 디바이스제어 (Device Control (e.g. USB)) 어플리케이션제어 (Application Control) PREVENT 브라우저취약점공격방어 (Browser Exploit Prevention) BEFORE IT RUNS ON DEVICE 파일검사기반안티바이러스 (Anti-Malware File Scanning) 실시간보호 (Live Protection) 실행이전행동기반분석 / 호스트 IPS (Pre-execution Behavior Analysis / HIPS) PUA 차단 (Potentially Unwanted Application (PUA) Blocking) DETECT RESPOND STOP RUNNING THREAT INVESTIGATE AND REMOVE 취약점공격방어 (Exploit Prevention) 실시간행동기반분석 / 호스트IPS (Runtime Behavior Analysis / HIPS) 악의적인트래픽차단 (Malicious Traffic Detection (MTD)) 안티랜섬웨어 (Cryptoguard Ransomware Protection) 악성코드자동제거 (Automated Malware Removal) Synchronized Security Heartbeat 원인상세분석 (Root Cause Analysis) Sophos Clean

주요강점 Cloud Vision On-Premise Vision Anti-Exploit ( 예방 ) Anti-Exploit ( 예방 ) Anti-Ransomware ( 암호화방지 ) Root Cause Analysis ( 증적확인및리포팅 ) Anti-Ransomware ( 암호화방지 ) Anti-Virus ( 백신 ) Sophos Clean ( 삭제 ) Cost Down Sophos Clean ( 삭제 ) Device/App Control ( 에이전트통제 )

주요기술 Anti-Exploit : 예방기술 웹브라우저이용 랜섬웨어방어솔루션설치상태랜섬웨어방어솔루션 Exploit Code 차단 Vendor Total Code Memory Sophos 23 6 17 ESET 1 0 1 Kaspersky 2 1 1 McAfee 3 1 2 차단불가 안티바이러스 설치상태 Symantec 3 1 2 Trend Micro 3 0 3 Webroot 0 0 0 악성웹사이트접근 CylancePROTECT 2 0 2 Microsoft 12 5 7 Exploit Code 삽입 악성웹사이트 C&C Server 조정 Malwarebytes 9 3 6 Palo Alto Networks 13 4 9 CrowdStrike 3 3 0

주요기술 Anti-Ransomware : 암호화방지기술 암호화대상파일백업 암호화진행파일백업 랜섬웨어방어설치 랜섬웨어감염상태 홍길동 암호화시도차단 ( 단, 64bit 만차단가능 ) 홍길동 PC 저장파일암호화시도 임꺽정 랜섬웨어방어솔루션 PREPARATION TRIGGERING GAIN CONTROL POST PAYLOAD DROP Heap Spray Memory Use after Corruption Free Stack Pivot ROP /UaF Call OS function In- Memory (Diskless) On Disk Anti-virus Ransomwar e Activity 랜섬웨어방어솔루션 안티바이러스 Signatureless - 파일복원 - Exploit 차단 - 타사백신과의충돌 - 통신차단

주요기술 Sophos Clean : 랜섬웨어파일제거기술 레지스트리 및파일등제거 비 / 악성 프로그램구분 예약스케줄링 시스템검사 멀웨어제거 자동 / 수동실행 대조군통한 신뢰성확보

주요기술 Cloud Version - Root Cause Analysis : 증적확인및리포팅 위협원인분석 (Root Cause Analysis) 손상된자산 보안에대처하는태도 프로세스 / 위협 / 레지스트리수준의자동보고서 손상된비즈니스문스, 실행파일, 라이브러리와 히스토리컬리포팅을토대로보안권유사항마련 90 일간의진행 / 처리상황기록 (Historical reporting) 파일들에대한전체목록 미래의공격을예방하기위한조치를제공 어떤자산에영향을끼쳤는지에대한상세한시각적정보제공 위협에노출될수있는기기 ( 모바일등..) 혹은네트워크리소스 (IP 등..) 컴플라이언스 ( 규정준수 ) 상태에대한풍부한리포팅제공

I. 경쟁사비교 II. 경쟁사단점 Comparison

경쟁사비교 구분 Sophos A 사제품 B 사제품 C 사제품 D 사제품 ( 백신 ) 구현기술행위기반기술행위판단기술 가상영역 실시간백업 프로세스판단기술 시그니처기반기술 기술풀이 모든행위 감시 / 추적 / 제한 사용자행위 유 / 무로판단 보안영역으로의 데이터자동백업 프로세스화이트 / 블랙리스트 비교패턴방식 기능범위 예방, 차단, 삭제, 복구 차단백업차단삭제

경쟁사단점 A 사 : 사용자행위판단 Human Interface 를통해실행하는명령을주는랜섬웨어는차단이불가 실행시레지스트리등에남은잔재파일은또따른해킹이용의백도어역활 B 사 : 데이터백업 디스크공간을확보해야함으로비용에증가발생 디스크손상시암호화영역접근불가 문제의요소인랜섬웨어는실질적은대응을하지않음 C 사 : 프로세스제어 D 사 : 시그니처 Java.exe Java.exe 프로세스명이같을경우정상 파일인지랜섬웨어인지구분 자체불가능 지속적인업데이트를수동으로 하여야함 a.exe b.exe c.exe d.exe e.exe f.exe g.exe h.exe i.exe j.exe k.exe l.exe m.exe n.exe o.exe p.exe q.exe r.exe s.exe t.exe u.exe v.exe w.exe x.exe 업무에사용되는모든 프로세스를등록하여야함 능동방어가아니며사고발생 후의대응만가능함

Demo I. Cloud Version Ransim Test Ransomware Test II. On-Premise Version Ransim Test

감사합니다 작성자 : 엘림넷 정보기술사업팀 최 용규 차장 발표일 : 2017. 07. 21 소재지 : 서울시 서대문구 충정로3가 32-11 엘림넷빌딩 6층~7층

Anti-Exploit : Vendor 별지원 Sophos Intercept X ESET Endpoint Security Kaspersky Endpoint Security McAfee Endpoint Security Symantec Endpoint Protection Trend Micro OfficeScan Webroot Endpoint Protection CylancePROTECT Microsoft EMET Malwarebytes Anti-Exploit Palo Alto Networks Traps CrowdStrike Falcon Enforce Data Execution Prevention (DEP) Prevents abuse of buffer overflows Mandatory Address Space Layout Randomization (ASLR) Prevents predictable code locations 1 1 Bottom Up ASLR Improved code location randomization Null Page (Null Dereference Protection) Stops exploits that jump via page 0 Heap Spray Allocation Pre-allocated common memory areas to block example attacks Dynamic Heap Spray Stops attacks that spray suspicious sequences on the heap 2 Stack Pivot Stops abuse of the stack pointer Stack Exec (MemProt) Stops attackers code on the stack Stack-based ROP Mitigations (Caller) Stops standard Return-Oriented Programming attacks 3 1 Branch-based ROP Mitigations (Hardware Augmented) Stops advanced Return-Oriented Programming attacks Structured Exception Handler Overwrite Protection (SEHOP) Stops abuse of the exception handler 4 2 Import Address Table Filtering (IAF) (Hardware Augmented) Stops attackers that lookup API addresses in the IAT EAF EAF+ 1. Windows 에서제공하는 ASLR 기능을기반으로 Windows Vista 및최신버전의 Windows 에서만사용할수있습니다. 2. 32 비트 NOP 썰매및다형성 NOP 썰매만해당 : 플래시벡터힙스프레이가감지되지않고 Windows 의 64 비트버전이아님. 3. 64 비트버전의 Windows 가아닌 WinExec [] 에서만 32 비트 ROP 완화. 4. Windows 에서제공하는 SEHOP 기능을기반으로 Windows Vista 서비스팩 1 및최신버전의 Windows 에서만사용할수있습니다. 5. 폴더및하위프로세스를기반으로하는사람이정의한제한사항. 높은유지보수가아니라행동기반

Anti-Exploit : Vendor 별지원 Sophos Intercept X ESET Endpoint Security Kaspersky Endpoint Security McAfee Endpoint Security Symantec Endpoint Protection Trend Micro OfficeScan Webroot Endpoint Protection CylancePROTECT Microsoft EMET Malwarebytes Anti-Exploit Palo Alto Networks Traps CrowdStrike Falcon Load Library Prevents loading of libraries from UNC paths Reflective DLL Injection Prevents loading of a library from memory into a host process VBScript God Mode Prevents abuse of VBScript in IE to execute malicious code 5 WoW64 Stops attacks that address 64-bit function from WoW64 process Syscall Stops attackers that attempt to bypass security hooks Hollow process Stops attacks that use legitimate processes to hide the hostile code 2 DLL Hijacking Gives priority to system libraries for downloaded applications Application Lockdown Stops logic-flaw attacks that bypass mitigations 1 Java Lockdown Prevents attacks that abuse Java to launch Windows executables Squiblydoo AppLocker Bypass Prevents regsvr32 from running remote scripts and code CVE-2013-5331 & CVE-2014-4113 via Metasploit In-memory payloads: Meterpreter & Mimikatz 2 1. Windows 에서제공하는 ASLR 기능을기반으로 Windows Vista 및최신버전의 Windows 에서만사용할수있습니다. 2. 32 비트 NOP 썰매및다형성 NOP 썰매만해당 : 플래시벡터힙스프레이가감지되지않고 Windows 의 64 비트버전이아님. 3. 64 비트버전의 Windows 가아닌 WinExec [] 에서만 32 비트 ROP 완화. 4. Windows 에서제공하는 SEHOP 기능을기반으로 Windows Vista 서비스팩 1 및최신버전의 Windows 에서만사용할수있습니다. 5. 폴더및하위프로세스를기반으로하는사람이정의한제한사항. 높은유지보수가아니라행동기반