Ransomware 백서 랜섬웨어긴급대처 2016 년 4 월
1. 랜섬웨어최신동향...3 1.2 랜섬웨어최신동향...3 1.2 국내외랜섬웨어피해사례... 4 2. 랜섬웨어개요... 5 2.1 랜섬웨어공격과정... 5 2.2 랜섬웨어주요감염경로...6 2.3 랜섬웨어의위협과피해...7 2.4 랜섬웨어의종류...7 3. 랜섬웨어방어대책...9 3.1 기업이수행해야하는랜섬웨어방어대책...9 3.2 트렌드마이크로랜섬웨어감염대책...11 3.3 트렌드마이크로제품별랜섬웨어대책...14 4. 트렌드마이크로소개...20 2 Page
I. 랜섬웨어최신동향 랜섬웨어 란사용자의자산에대한접근을차단한후, 해제를빌미로금전적인대가를요구하는불법악성코드입니다. 감염된기기의시스템또는데이터를 납치 하여읽을수없는형태로암호화한뒤, 몸값 (Ransom) 을지불한경우에만복호화를위한비밀번호를제공받을수있습니다. 과거에는개인인터넷사용자가주공격대상이었지만, 최근 2년동안기업피해자의수가크게증가하고있습니다. 1.1 랜섬웨어최신동향 트렌드마이크로의클라우드베이스보안기술인프라인 클라우드보안센터 (Smart Protection Network) 의통계에따르면, 2015년랜섬웨어의공격을받은기업피해자는 2014년도와비교하여약 2.2배늘어난수치를보였으며, 특정지역에한정된것이아닌전세계적으로랜섬웨어피해자가빠르게확산되고있습니다. 40,000 30,000 31,900 20,000 14,400 10,000 0 2014 2015 전세계랜섬웨어피해기업수 2015년국내법인이용자로부터수집한랜섬웨어감염피해신고는 2,600건이상으로 (2015년 3월 ~12월, 한국랜섬웨어침해대응센터 ), 랜섬웨어의위협은이미국내에서도시급한대책이필요한것으로판단되고있습니다. 랜섬웨어공격 29.3% APT 공격 29.3% 개인정보유출사고 15.3% 모바일보안 18.7% 전자금융사기 4.0% 시스템웹애플리케이션에서발견되는새로운취약점공격 14.7% < 출처 : 월간네트워크타임즈 > 3 Page 2016 년가장치명적인사이버위협 1 위, 랜섬웨어
1.2 국내외랜섬웨어피해사례 2015 년이후로국내외에서보도ㆍ공표된주요랜섬웨어관련법인피해사례는다음과같습니다. 시기국가업종피해내용 2015년 4월 한국 웹사이트 ㆍ커뮤니티웹사이트를통한랜섬웨어악성코드유포 ㆍ커뮤니티회원최대 1만명랜섬웨어에감염 최초로확인된한글판랜섬웨어 2015년 7월 일본 상업 ㆍ사내 PC 2대감염, 사내서버데이터암호화 ㆍ악성웹사이트접속에의한 Crypto-Locker 랜섬웨어 감염으로추정 2015년 11월 일본 N/A ㆍ훗카이도 14세중학생이랜섬웨어제작도구를입수하여 채팅어플을통해판매 젊은층에서랜섬웨어를쉽게제작및배포 2016년 1월 이스라엘 전력회사 ㆍ직원 PC 랜섬웨어감염, 네트워크전체로확산하여다수의 PC 랜섬웨어확산 ㆍ감염 PC 사용불가로업무에영향 중요인프라기관이랜섬웨어감염 2016년 2월 미국 의료기관 ㆍ병원 PC가랜섬웨어에감염되어의료업무마비 ㆍ전체시스템복구를위해 $17,000달러지불 랜섬웨어몸값지불발표첫사례 2016년 3월 독일 의료기관 ㆍ여러의료기관에서랜섬웨어감염 ㆍ정보시스템접근불가로 High Risk 수술연기 랜섬웨어감염이인명에영향을미칠수있음을보여준사례 ㆍ또다른병원에서, 메일통한랜섬웨어감염ㆍ서버 1 대에서랜섬웨어가발견된시점에서네트워크상의모든서버 (199 대 ) 를종료하여전체에미친영향은크지않음 신속한대응이감염피해최소화할수있음을나타낸사례 4 Page
2. 랜섬웨어개요 2.1 랜섬웨어공격과정 사용자 변조사이트 / 악성광고등으로유도 취약점공격사이트 악성코드 사용자 취약점공격으로랜섬웨어감염 클릭시공격 스팸 + 첨부파일 랜섬웨어감염과정 1 악성코드침입 이메일 /Web 통한악성코드침입, Office 매크로등취약점공격 2 프로그램실행 랜섬웨어설치및설정, 백업데이터삭제 3 암호화준비 외부 C&C 서버와의통신, 암호화키다운로드및암호화준비 4 암호화실행 특정파일, 전체 HDD, 공유폴더등 5 몸값요구 데이터복호화위한금액지불요구화면표시 5 Page
2.2 랜섬웨어주요감염경로 웹사이트 사용자 사용자컴퓨터프로그램의취약점을공격하여감염 악성코드 취약점공격사이트 정규웹사이트의불법광고등을통해취약점공격사이트 (EK 사이트 ) 로연결되어랜섬웨어를감염시킵니다. 인터넷에서사용하는 Flash, Java 등의여러응용프로그램중취약점업데이트가되지않은프로그램이있을경우, 취약점공격사이트를접속하는것만으로도사용자가모르는사이랜섬웨어에감염될수있습니다. 스팸메일 악성프로그램이포함된스팸메일을통해침입합니다. 악성코드를첨부파일로위장하여침입하는경우뿐만아니라, 일반첨부파일을실행시외부사이트에서악성코드를다운로드하여침투하는경우도존재합니다. 2015년이후랜섬웨어직접침입공격에서매크로형악성프로그램또는자바스크립트파일이사용되는사례도증가하고있습니다. 모든경우, 메일수신자가첨부파일을열어실행할때감염되었습니다. 랜섬웨어스팸메일예 6 Page
2.3 랜섬웨어의위협과피해 감염된컴퓨터는피해자가조작할수없도록암호화된다. 감염된컴퓨터내또는네트워크공유파일이암호화되어사용할수없다. 랜섬웨어바이러스를제거해도, 파일암호화는유지되기때문에사용할수없다.. 컴퓨터또는중요데이터를이용할수없게되어, 결과적으로기업의업무가정상적으로이루어지지않는다. 공격자가요구하는몸값을지불하면금전적인피해로이어지며, 돈을지불하더라도시스템과데이터의 100% 정상복구를보장하지않는다. 2.4 랜섬웨어의종류화면잠금형랜섬웨어 화면잠금및응용프로그램강제종료등의수법으로컴퓨터를조작할수없게하는랜섬웨어입니다. 이경우, 랜섬웨어바이러스제거시컴퓨터를정상적으로이용할수있습니다. 경찰등법집행기관을사칭하여사용자의인터넷부정행위에대한벌금등의명목으로돈을요구하는 폴리스랜섬웨어 도이에포함됩니다. 폴리스랜섬웨어 (TROJ_REVETON) 의몸값요구화면예 7 Page
파일암호화형랜섬웨어 감염된컴퓨터의데이터및네트워크로공유된데이터를암호화하여사용할수없도록하는랜섬웨어입니다. 랜섬웨어바이러스자체를치료해도데이터는암호화되어있기때문에 화면잠금형랜섬웨어 보다피해가크다는것이특징입니다. 또한, 암호화이후랜섬웨어바이러스의활동이필요하지않기때문에보안업체등의조사를피하기위해파일의흔적을스스로지우는활동등도발견되고있습니다. 초기파일암호화형랜섬웨어는암호화및복호화코드를함께가지고있었기때문에, 코드분석을통해암호를해독하여데이터복원이가능한경우가있었습니다. 하지만, 2014년에등장한 CryptoLocker (TROJ_CRYLOCK 등 ) 이후암호화코드를인터넷불법사이트에서생성및저장하는방법이이용되기시작했습니다. 암호화코드가지속적으로변경되기때문에공격자에게돈을지불하지않고암호를해제하는것이매우어려워지고있습니다. 암호화형랜섬웨어 (TROJ_CRYPWALL) 몸값요구화면예 또한, 2015년이후감염된컴퓨터의데이터뿐만이아닌, 네트워크공유데이터를함께암호화하는랜섬웨어가확산되면서, 기업의피해가증가하고있습니다. 2015년 9월에는 암호화된파일의내용이외부에공개되는것을원하지않는다면돈을지불하라 는새로운수법의랜섬웨어인 Ransom_CRYPCHIM.A가등장하였으며, 앞으로도랜섬웨어는다양한활동으로변화될것으로예측되기때문에, 주의가필요합니다. 8 Page
3. 랜섬웨어방어대책 3.1 기업이수행해야하는랜섬웨어방어대책 기업의랜섬웨어대책은크게두가지로나눌수있습니다. 하나는랜섬웨어의침입과감염을사전에방지하는것이며, 다른하나는랜섬웨어가감염될경우, 피해를최소화하는것입니다. 랜섬웨어침입및감염사전방지대책심층방어도입 엔드포인트백신프로그램만을유지하는것은최소한의대책이며, 다양한대응기술을활용하는다층방어가필요합니다. 랜섬웨어의침입경로인게이트웨이및네트워크보안과전자메일또는웹사이트를통한공격에대응하는방안을함께도입해야합니다. Web 을통한감염차단 Web 게이트웨이 인터넷 취약점공격사이트 클라이언트단말 스팸공격 메일게이트웨이 메일을통한감염차단 엔드포인트감염차단 랜섬웨어다층방어 랜섬웨어특유의행동을파악하는동작모니터링기술과알려지지않은프로그램의실행을제어하는기술 (* 모든알려지지않은프로그램을제어하는것은아닙니다 ), 침입경로가되는전자메일첨부파일을분석, 감지및차단하는샌드박스기술은높은방어효과가확인되고있습니다. 9 Page
취약점대책최근웹을통한공격을살펴보았을때, 엔드포인트취약점대책은매우중요한요인입니다. 정규사이트오염으로발단되는웹을통한침입은거의모든경우이미공개된취약점을이용한공격입니다. 이경우, 취약점에대한보안업데이트를실행하는것만으로 100% 예방할수있습니다. 또한, 업무사정등으로인해일정기간업데이트를할수없거나, 제로데이취약점발생등의경우에대비하여취약점공격을완화할수있는기술대책의도입도검토해야합니다. 직원보안교육기술적인방어이전에, 직원대상의보안교육도중요합니다. 기술적인대책도운영이뒷받침되어야충분한효과를발휘할수있습니다. 또한, 첨부파일을무분별하게열어보지않도록직원교육을실시하여, 메일을통한랜섬웨어공격을통한불필요한감염위협을감소시킬수있습니다. 랜섬웨어감염시피해를최소화 어떤위협에대해서도 100% 의방어는없습니다. 위와같은보안정책을적용하고있더라도, 침입을전제 한대책을강구해야합니다. 정기적인백업파일암호화의피해를줄이기위해가장효과적인방법은 백업 입니다. 중요한서버의파일에대한정기적인백업정책을다시확인해보실것을제안드립니다. 최근출현하는랜섬웨어의경우, 윈도우의섀도복사본을삭제하는기능을기본적으로가지고있습니다. 따라서, 자동백업이아닌, 별도디스크에데이터를백업하는것을권장합니다. 관리자권한운영랜섬웨어는감염단말의관리자권한을이용하여활동합니다. 이때, 공유폴더에파일편집이가능한권한을가지고있는경우, 파일을암호화할수있습니다. 중요한정보가포함된폴더는접근권한과편집 / 쓰기권한을제한하여, 중요파일의암호화피해위험을감소할수있습니다. 관리자권한운영을위해어떤데이터가어디에저장되어있는지등에대한정보및중요도에따른리스크평가등의지속적인자산관리가중요합니다사용자단위및그룹 ( 소속부서및권한수준 ) 의적절한제한은내부범행등의대책에도전제가되는것으로, 이를검토하여운영해야합니다. 10 Page
3.2 트렌드마이크로랜섬웨어감염대책 웹을통한랜섬웨어감염대책웹평판 (Web Reputation System) - 웹위험도를평가하여랜섬웨어에감염된악성사이트접근을차단합니다. - 정규사이트가랜섬웨어에감염된경우, 불법광고등을통한취약점공격사이트로의유입을차단합니다. - 브라우저를통한비 ( 非 ) HTTP 통신을모두감시하여랜섬웨어통신을차단합니다. - 특히랜섬웨어바이러스침투이후, 바이러스가불명확한서버로접속을시도할시이를차단합니다. 1 악성프로그램다운로드 악성파일다운로드사이트 2 패턴매칭의결과부정인지파악 3 중계서버를통해평판데이터베이스문의및평가 클라이언트단말 중계서버 (Smart Protection Server) 평판데이터베이스 WRS 개념도 파일평판 (File Reputation System) 웹에서다운로드 (drive-by-download) 된파일을통해침입하는랜섬웨어를탐지하고차단합니다. 11 Page
메일을통한감염대책 이메일평판 (Email Reputation System) 이메일위험도를평가하여랜섬웨어를확산시키는악성스팸의수신을차단합니다. 랜섬웨어를첨부한메일 Email 평판 Web 평판 샌드박스 공격자메일서버 클라이언트단말 ERS 개념도 파일평판 이메일에랜섬웨어바이러스가첨부되어있는경우, 이를감지하여수신을차단합니다. 샌드박스분석 샌드박스에의한동적분석으로, 첨부파일에포함된랜섬웨어바이러스를감지하여수신을차단합니다. 탐지보고서 알수없는첨부파일 (MS Office / PDF / EXE 등 ) 샌드박스분석 샌드박스개념도 차단 12 Page
엔드포인트감염대책 파일평판 최신위협정보를바탕으로컴퓨터에침입한랜섬웨어를감지합니다. 1 악성프로그램다운로드 악성파일다운로드사이트 2 패턴매칭의결과부정인지파악 3 중계서버를통해평판데이터베이스문의및평가 클라이언트단말 중계서버 (Smart Protection Server) 평판데이터베이스 엔드포인트에서 FRS 의개념도 알려지지않은프로그램실행제어 인터넷에서다운로드된파일의출처가불명확한경우, 파일실행을중단합니다. 동작모니터링 - 랜섬웨어바이러스의수상한행동을파악하여프로그램실행을중단합니다. - 랜섬웨어특유의행동을규칙화하여침입에대응합니다. 13 Page
3.3 트렌드마이크로제품별랜섬웨어대책 제품명제품개요랜섬웨어대책 Deep Discovery Email Inspector 이메일샌드박스기능을활용하여알려지지않은랜섬웨어까지방지하는이메일보안제품 ㆍ이메일을통한랜섬웨어침입차단 Deep Discovery Inspector 네트워크스위치를통과하는의심스러운통신을감시하는네트워크센서 ㆍ랜섬웨어침입감시ㆍ C&C 통신동작모니터링 오피스스캔 클라이언트단말기를보호하는포괄적인엔드포인트보안제품 ㆍ알려지지않은랜섬웨어삭제ㆍ차단ㆍ의심스러운네트워크트래픽모니터링 14 Page
Deep Discovery Email Inspector 최근랜섬웨어공격의 90% 이상은이메일을통한악성첨부파일또는 URL 링크연결로발생합니다. Deep Discovery Email Inspector는기존이메일또는엔드포인트보안이탐지하지못하는멀웨어탐지엔진, URL 분석, 샌드박싱기술을활용하여악성코드에감염된이메일을감지하여차단또는격리합니다. MTA 모드 MTA 모드 안티바이러스 / 안티스팸게이트웨이 BCC 모드 BCC 모드 안티바이러스 / 안티스팸게이트웨이 PC 메일서버 Deep Discovery 메일 PC 메일서버 메일 Email Inspector BCC를통해전송 Deep Discovery Email Inspector 시스템구성도 열지않는다 연다 표적형공격메일이라면 악성첨부파일이나링크를통해정보유출, 표적형공격으로이어질수있다. 고객메일이라면 방치해두면클레임이들어올수있다. 보내는사람 : 고객홍길동받는사람 : 영업담당자제목 : 제품불량에대해 비밀번호가걸린압축파일분석에도대응합니다. zip 불량리스트.zip ATSE 와커스텀샌드박스를통한분석을실시합니다. 담당자님께 : 귀사의제품을이용하고있습니다. 도입한 건으로, 바로대응부탁드립니다. 불량관련파일을첨부합니다. 또한아래 URL 에서실시간으로확인할수있습니다. http://www..co.kr/ / 급하게확인해주셔야합니다. 긴급대응바랍니다. 트렌드마이크로의웹레퓨테이션기술과커스텀샌드박스를이용해악성 URL 인지확인합니다. 소셜엔지니어링수법을이용한이메일공격의예 랜섬웨어행위탐지통계 15 Page
분석화면 랜섬웨어유포웹사이트와 C&C 서버에접속하는행위탐지 MS Word, Powerpoint, Excel 문서등을암호화하기위해서문서오픈시도탐지 Deep Discovery Email Inspector 의이메일유입랜섬웨어탐지화면의예 주요기능 첨부파일분석및샌드박싱인터넷에서다운로드된파일의출처가불명확한경우, 파일실행을중단합니다. URL 분석및샌드박싱첨부된문서내의 URL을포함하여이메일본문및제목에포함된 URL을웹레퓨테이션검사를진행합니다. URL 연결최종컨텐츠를스캔및샌드박싱하여리다이렉트, 지능형멀웨어, 익스플로잇, drive-by-download를검사합니다. EMAIL 정책관리경고심각도수준에따라악성이메일의격리, 삭제, 태그하여전달등다양한옵션을설정할수있습니다. 또한, 첨부파일형태에따라이메일샌드박스진행여부를맞춤설정할수있습니다. 실시간이메일경고설정을통해알려진 / 알려지지않은위협의탐지를관리자에게즉시알립니다. 위협감지추가위협분석을위한세부샌드박싱탐지가가능합니다. 16 Page
Deep Discovery Inspector 정적분석, 동적분석, 행위탐지의 3가지방법을사용하여위협을다각도에서모니터링하기때문에, 알려진랜섬웨어뿐만아니라, 알려지지않은랜섬웨어도탐지할수있습니다. 주요분석및탐지 알려진랜섬웨어전세계에서수집한악성코드데이터베이스를활용하여빠르게차단합니다. 알려지지않은랜섬웨어사용자환경과유사한맞춤형샌드박스를제공하여다음과같은랜섬웨어의악성행위를탐지합니다. - 실행가능파일 Drop 및실행 행위탐지 - 자동실행을위한 Autorun Registry 등록 행위탐지 - 암호화대상다량의오피스파일및아웃룩파일접근 행위탐지 - 랜섬웨어와관련된 행위탐지 - C&C 서버로의 Callback 행위탐지 랜섬웨어실행시 실행가능파일 Drop 및실행 행위탐지 랜섬웨어실행시 암호화대상다량의오피스파일및아웃룩파일접근 행위탐지 17 Page
오피스스캔 랜섬웨어위협에대비하여행동유형의규칙성을파악하였으며, 랜섬웨어행동유형이포착되었을때행위기반모니터링기술로랜섬웨어의실행을강제종료합니다. 오피스스캔기능활성화 문서암호화방지기능 오피스어플리케이션실행 스팸메일열람 악성코드설치 멀웨어실행 랜섬웨어프로세스차단 문서암호화방지기능 - 문서를편집하려는어플리케이션의경로와디지털서명등을확인하여신뢰성확인합니다. - 파일변경및삭제행위임계치를분석하여이상징후발견시파일변경시도강제중지합니다. 동작모니터링설정 - 문서암호화방지기능 (ADC-Access Document Control) 을활성화합니다. - 문서를편집하려하는어플리케이션의경로와디지털서명등을확인하여애플리케이션신뢰성확인합니다. - 파일의변경및삭제행위임계치를분석힙ㄴ ; 디 / ( 예 : 10초간 3회이상변경및삭제를진행하는경우 ) - 랜섬웨어의심행위가탐지되는경우오피스스캔에이전트가문서암호화방지기능 (ADC) 이악성행위중지합니다. 18 Page
랜섬웨어프로세스실행방지 - 랜섬웨어숙주파일실행시진행되는일련의공통된프로세스를파악하여규칙화합니다. - 이러한프로세스가동작할경우소프트웨어제한정책 (Software Restriction Policy) 기능이이를탐지하여해당프로세스생성및실행을거부합니다. 랜섬웨어행위차단설정 행위차단에의해차단된사례 웹브라우저위협보호기능 - Browser Exploit Protection 기능을통해플래쉬, PDF, Java 등의취약점을통한랜섬웨어의 Drive-by-Download 감염을차단합니다. - 웹브라우저에플러그인되어취약점존재웹사이트접속시백그라운드에서발생되는랜섬웨어의백도어감염행위차단합니다. - 랜섬웨어가암호화키를다운로드받기위해접속하는 C&C 서버접근차단합니다. 19 Page
4. 트렌드마이크로소개 글로벌정보보안솔루션기업인트렌드마이크로는개인용안티바이러스백신에서부터, 기업용 APT 대응솔루션및서버, 가상화, 클라우드보안까지아우르는보안분야선두기업입니다. 일본도쿄에본사를두고, 전세계 46개국 5,500여명의위협관리전문가들이 365일 24시간다양한글로벌위협에대한보안서비스를제공하고있습니다. 6년연속전세계서버보안시장점유율 1위의위상을통해보안시장의선두적인입지를다지고있습니다 클라우드보안 네트워크보안 엔드포인트보안 6 년연속세계서버보안시장 1 위 2 년연속최고보안등급획득 매직쿼드런트엔드포인트보호부문최고평가 Other (22.7%) Trend Micro (30.3%) Vendor 5 (6.8%) Vendor 4 (7.6%) Vendor 3 (12.4%) Vendor 2 (20.2%) 정보유출탐지시스템테스트 AV-Test 엔드포인트내구성테스트최고점 IDC, 서버보안 : 가상화및클라우드보안솔루션 2016 년 1 월 2015 NSS Labs 정보유출탐지시스템테스트 트렌드마이크로블로그, 2015년 1월 http://www.av-test.org (2014년 1월 2015년 8월테스트결과, Win XP,7, 8 시스템기반기업솔루션 ) 트렌드마이크로클라우드보안센터 (Smart Protection Network) 실시간위협인텔리전스시스템인트렌드마이크로클라우드보안센터는, 전세계적으로수집되는수백만개의정보를빅데이터분석을통해최신위협에대한정보를가장빠르게제공하여대응합니다. 트렌드마이크로의보안전제품은클라우드보안센터에서제공하는악성 IP 주소, 웹주소, C&C 호스트, 파일에숨겨진악성코드, 최신제로데이악성코드및익스플로잇정보를지속적으로업데이트하여사용자의컴퓨터를보호합니다. 전세계위협정보수집 위협정보수집 위협탐지및분석 클라우드기반솔루션으로빠른위협분석 선제적차단 20 Page 위협정보수집위협탐지및분석선제적차단 1 글로벌위협탐지네트워크 2 빅데이터분석 3 글로벌위협인텔리전스를통해실시간보호 광범위하고강력한글로벌센서네트워크를통해더많은위협데이터를수집합니다. 정교하게제작된자동맞춤형데이터마이닝도구와위협인텔리전스전문가들이새로운위협을빠르게탐지ㆍ분석합니다. 새로운위협을신속하게차단하고공격으로인한위험을최소화힙니다.
글로벌보안시장 1 등기업 SERVER SECURITY MAR K ET SH ARE 서버보안 1 위 GLOBAL CLOUD SECURITY MAR K ET SH ARE 클라우드보안 1 위 VIRTUALIZATION SECURITY MARKET LEADER 가상화보안 1 위 Others Trend Micro Others Trend Micro Company A Others Trend Micro Company A Company D Company B Company I Company B Company C Company B Company A Company I Company H Company G Company F Company D Company E Company C Company H Company G Company F Company E Company D Company C 21 Page
트렌드마이크로 ( 우 06181) 서울특별시강남구테헤란로 522 6층 ( 대치동홍우빌딩 ) TEL. 02-561-0990 FAX. 02-561-0660 www.trendmicro.co.kr 보고서문의 : pr@trendmicro.co.kr 영업문의 : sales@trendmicro.co.kr 기술문의 : support@trendmicro.co.kr