머리아픈 “랜섬웨어“ 클라우드 기반 인텔리전스 서비스를 이용한 대응 전략

㈜세인트시큐리티 대표이사 김기홍

#ransomware

#ransomware 네이버로 ‘랜섬웨어‘ 검색했더니… 랜섬웨어 치료, 예방, 파일 복구 관련 글 도배

#ransomware 클리앙 ‘랜섬웨어‘ 관련 정보 공유 게시판

#ransomware 트위터로 본 ‘랜섬웨어’

#ransomware

ransom + ware

#ransomware

Ransomware

is a type of malware that restricts access to a computer system that it infects in some way, and demands that the user pay a ransom to the operators of the malware to remove the restriction.

[wikipedia 제공]

#ransomware 파일 암호화 및 금전 요구

0

200

400

600

800

1000

1200

1400

3월 4월 5월 6월 7월 8월 9월 10월 월별 합계

온라인 신고 전화 신고 메일 신고 합계

#ransomware 2015년 3월~10월 월별 침해신고 현황

[랜섬웨어침해대응센터]

제가 한번 걸려 보겠습니다!

랜섬웨어 감염 후, 돈을 내면 인질 삼은 데이터를 풀어줄까?

랜섬웨어, 어떻게 대응해야 할까?

클라우드 기반 인텔리전스 서비스

안티 바이러스 방어의 한계

16 Days

행위 분석에서 답을 찾다!

디버거 탐지

CPU 탐지

가상 환경 탐지

Hooks탐지

Sand boxie 탐지

Wine 탐지

버츄얼 박스 탐지

Vm ware 탐지

QEMU 탐지

Real PC Hyper-V QEMU VirtualBox VMware

악성코드가 가상환경을 우회하는 기술

9가지 분류, 46가지 항목 중

가상환경으로 탐지되는 항목들

행위 분석에서 답을 찾다!

행위 분석에서 답을 찾다!

malwares.com 태그 검색

#ransomware

malwares.com 행위 분석

malwares.com 을 통한 랜섬웨어 감염 행위 확인

빅데이터 기반 분석 플랫폼

기분석 파일인가?

프로세스 차단

완료

N

Y

Y

프로세스, 파일 I/O hash 정보 조회

악성 파일 인가? N

malwares.com에 파일 업로드

파일 정보 요청 분석결과 정보가

존재하는가?

Agent

*

N

Y

악성 파일 차단 흐름도 (malwares.com+Agent)

다양한 악성코드 유포 주소를 수집하여 대응 할 수 있어야 함. 같은 바이너리를 계속해서 배포함.

빅데이터 기반 분석 플랫폼

동일한 악성 파일을 배포하는 모든 유포지 차단 가능

빅데이터 기반 분석 플랫폼

행위분석을 통해 나온 연관정보

T1

PC Agent 설치

T2 T3 T4

malwares.com 파일 업로드

T5

분석결과 요청

T7 T8 T6

분석 결과 클라우드 DB 저장

프로세스, 파일 I/O hash 추출

기분석 파일인지 hash 조회

분석 완료

자동 분석 시작

분석 결과 정보 수신

악성 프로세스, 파일 I.O 차단

Agent

malwares.com

Agent malwares.com 서비스

파일정보 리턴

빅데이터 기반 분석 플랫폼

Agent / malwares.com 동작 타임라인

시작 PC 모니터링 정보 검색 분석 요청 분석 진행 분석 결과 저장

분석 결과 공유

차단 및 확산방지

대응 시나리오 1

Sensor Manager

Agent

1 내부 사용자가 인터넷을 통해 악성코드 다운로드

2 내부 사용자가 다운로드 받은 악성코드를 실시간 수집

3 악성코드 정보 수집/전송

4 악성코드 AV진단/ 정적/동적 분석 수행

5 악성코드 분석 결과 전달 6 차단정책 업데이트

7 감염 악성코드 제거 및 치료

신규 감염 PC 탐지/치료 흐름도

대응 시나리오 2

Sensor Manager

Agent

1 감염 PC에서 의심 프로세스 탐지

2 의심 프로세스 전송

3 악성코드 정보 수집/전송

4 악성코드 AV진단/ 정적/동적 분석 수행

5 악성코드 분석 결과 전달

6 감염 악성코드 제거 및 치료

기 감염 PC 탐지/치료 흐름도

대응 시나리오 3

Sensor Manager

Agent

1 감염 PC에서 악성 URL 접속

2 Sensor 에서 악성 URL 접속 감지

3 악성 URL 탐지 정보 수신

4 악성URL 분석

5 악성 URL 분석 결과 전달

7 감염 악성코드 제거 및 치료

6 차단정책 업데이트

기 감염 PC 외부 통신시 탐지/치료 흐름도 (패턴 미 존재 시)

대응 시나리오 4

Sensor Manager

Agent

1 감염 PC에서 악성 URL 접속

2 Sensor 에서 악성 URL 접속 감지

3 차단

4 악성URL 접속 경고 알람

차단

기 감염 PC 외부 통신시 탐지/치료 흐름도 (패턴 미 존재 시)

공격자들은 랜섬웨어로 인해 약 3억2500만 달러 (약 3700억 원) 이상 수익을 얻은 것으로 나타났다. 또한 40만6천887번의 크립토월을 악용한 감염시도가 이뤄졌으며, 이와 관련 4천46개의 악성코드 샘플이 탐지됐다. 공격자가 감염된 시스템에 명령을 내리고, 데이터를 송수신하기 위해 사용된 C&C서버 URL은 839개로 집계됐다.

랜섬웨어 피해 현황

[2015 사이버위협연합(CTA)제공]

A/V 탐지 패턴 적용 & 제로데이 패치 적용

랜섬웨어 초기 발생

피해 정도

클라우드 시스템 분석 완료

클라우드 시스템 최초 보고

일반적인 경우

클라우드 시스템 적용한 경우

클라우드 기반 인텔리전스 서비스 효과!

클라우드 시스템 적용한 경우, 평균 1.5일 (34시간) 빠른 대응 가능 및 피해 최소화!

피해 정도

[일반적인 경우와 클라우드 시스템 적용한 경우 피해 비교]

클라우드 기반 인텔리전스 서비스 효과!

• 랜섬웨어 관련 수집 샘플 개수(모바일 포함) : 2200 여종

• A/V 분석 보다 먼저 탐지된 행위 분석 탐지 개수 : 1750 여종

• A/V 분석 보다 단축된 시간 : 약 34시간

• API+WEB 합산 R/C (참조횟수) : 76,000 건

약 638 억의 간접 피해 차단

malwares.com 기준, 한국형 데이터로 바꾸면….

랜섬웨어 피해 예방을 위한 7대 보안 수칙

1. 백신 소프트웨어를 설치하고, 엔진 버전을 최신 버전으로 유지

2. 운영체제, 브라우저 및 주요 애플리케이션의 최신 보안 업데이트 적용

3. 발신자가 명확하지 않은 이메일에 포함된 의심스러운 파일 실행 자제

4. 보안이 취약한 웹사이트 방문 자제

5. 업무 및 기밀 문서, 각종 이미지 등 주요 파일의 주기적인 백업

6. 중요 파일을 PC외에 외부 저장 장치를 이용한 2차 백업

7. 중요 문서에 대해서 ‘읽기 전용’ 설정

보안? 일반인들에게는 어려운 단어

[한국인터넷진흥원(KISA)제공]

APT 공격 예방을 위한 10가지 방어 수칙

보안? 일반인들에게는 어려운 단어

랜섬웨어 피해 예방을 위한 7+1대 보안 수칙

1. 백신 소프트웨어를 설치하고, 엔진 버전을 최신 버전으로 유지

2. 운영체제, 브라우저 및 주요 애플리케이션의 최신 보안 업데이트 적용

3. 발신자가 명확하지 않은 이메일에 포함된 의심스러운 파일 실행 자제

4. 보안이 취약한 웹사이트 방문 자제

5. 업무 및 기밀 문서, 각종 이미지 등 주요 파일의 주기적인 백업

6. 중요 파일을 PC외에 외부 저장 장치를 이용한 2차 백업

7. 중요 문서에 대해서 ‘읽기 전용’ 설정

8. 백신 또는 설치된 보안 제품을 더욱 강화해 주고 보완해 줄 수 있는 소프트웨어 + 지식 활용 하기!

어려운 보안 'NO'...쉬운 방법이 필요하다!

보안을 보완하다. 새로운 접근