랜섬웨어 예방법 소개2016년 1월 27일

한국트렌드마이크로

엔드포인트&네트워크에서의

Ransomware 대응

백신 탐지 방식의 한계와 예방 방법

3

• 기존백신탐지방식의한계

– 제작자가 다양한 패커를 이용하여 악성코드 파일을 지속적으로 수정

– 익명성이 보장된 토르(TOR) 등을 이용하여 유포자와 제작자들이 은밀하게 커뮤니케이션하여

랜섬웨어 변종 개발 정보를 공유

– 제작자는 진단율을 낮추기 위해 기존 악성코드들보다 더 치밀하고 향상된 은닉성과 공격방식을

연구하고 반영

– 피해가 발생한 후에 샘플이 수집되어 백신 시그너쳐에 반영

– 백신의 시그너쳐 업데이트 방식의 진단으로는 대응이 늦을 수 밖에 없다?

• 예방이 최선

– RSA-2048 공개키 암호화 방식으로서 수퍼컴퓨터로도 해독 시간이 수 년 이상 소요

– 중요 데이터 백업

– 웹브라우져, 플래시 플레이어, PDF리더, 오피스, HWP 등의 소프트웨어 보안 패치 업데이트

– 백신 최신 업데이트 유지

– 불필요한 공유 해제

– 악성 웹사이트 접속 차단 정책

– 행위 기반으로 크립토락커를 탐지하고 차단하는 방식 필요

4

랜섬웨어 보안 및 대응

메일 서버

3. 이메일 보안

- 이메일 첨부파일을 통해 유입되는 악성코드 탐지 및 차단

- 이메일 본문에 포함된 악성 URL 링크 탐지 및 차단

Internet

PC

FW

1. Endpoint / PC 보안

- Antivirus 백신 S/W (패턴/시그니처 기반)

- 악성 웹사이트 접속 차단

- 행위기반 분석을 통한 신/변종 악성코드 탐지/차단

2. 네트워크 보안

- 악성코드 유입 및 C&C 서버 접속 과정에 대한보안 위협정보

- 행위기반 분석을 통한 신/변종 악성코드 탐지

5

트렌드마이크로 대응 솔루션

메일 서버

3. 이메일 보안

Deep Discovery Email Inspector스팸 필터와 메일 서버 사이에 위치하여 유입되는 첨부 파일및 URL에 포함된 악성코드 탐지 및 차단, 격리

Internet

PC

FW

1. Endpoint / PC 보안

OfficeScan안티멀웨어 백신으로 행위 기반 모니터링 기능을 통해신/변종 랜섬웨어 대응 가능

2. 네트워크 보안

Deep Discovery Inspector + Analyzer네트워크를 통해 유입되는 파일 및 네트워크 통신에 대해 정적/동적 분석을 통한 악성코드 탐지 및C&C 서버 통신 차단

#1 in protection and

performance

개인용 백신 APT 솔루션

Deep Discovery맥시멈 시큐리티

랜섬웨어 예방 가능한 트렌드마이크로 제품군

6

#1 in protection and

performance

기업용 백신

오피스스캔

랜섬웨어 대응 방안- 엔드포인트

OfficeScanfor Windows

8

트렌드마이크로 대응 솔루션 – Endpoint

메일 서버

Internet

PC

FW

1. Endpoint / PC 보안

OfficeScan안티멀웨어 백신으로 행위 기반 모니터링 기능을 통해신/변종 랜섬웨어 대응 가능

• 기존 백신의 한계

– 해커들은 다양한 패커를 이용하여 악성코드 파일을 끊임없이 수정하여 변종을 생산

– 수 많은 변종 생산으로 백신 제품들의 시그니처 탐지 비율 최소화

– 랜섬웨어를 통해 익명으로 금전적 이득 취득이 확인되어 더 많은 해커들이 악성코드 제작에 참여

– 관련 악성코드에 대한 소스 코드 판매, 공유 등으로 기존 악성코드를 수정하는 방식이 아닌

새로운 악성코드 생산 확률 증가

– 백신은 피해 발생 후 관련 샘플 분석을 통해 패턴에 업데이트하는 사후 수동적 방식

– 이미 랜섬웨어에 감영되어 모든 데이터가 감염된 이후에 패턴 업데이트는 무의미

• 오피스스캔의 대응 방법– 트렌드마이크로는 랜섬웨어의 행동 유형을

수년 간 면밀히 분석하여 그 규칙성을 파악함

– 랜섬웨어가 데이터를 암호화하기 위해

실행하는 서비스를 행위 기반 모니터링 기술을

통해 파악하여 해당 서비스를 강제 종료시킴으로써

데이터 암호화 피해 방지

왜 OfficeScan 만이 가능한가?

9

• 특장점– 전세계 서버 보안 점유율 1위 제품

– 행위기반 모니터링 기능으로 랜섬웨어 예방

– 무상 중앙관리서버 (약 1백만원 예산 절감 효과)

– 저용량 패턴 DB (업데이트 시간 단축) 및 실시간 위협 감지

– MS Windows 2000 유료 지원 서비스

– 다양한 플러그인 (IDF, VDI, DLP, Mac)

– 다양한 PoS 플랫폼 지원

• 국내 고객사 현황– 현대기아자동차 그룹 15개 계열사 표준 서버 백신 (현대자동차, 기아자동차, 현대모비스 등)

– SK 그룹 20여개 계열사 표준 서버 백신 (텔레콤 계열사 제외)

– 롯데 그룹 14개 계열사 서버 및 데스크탑 표준 백신

– 포스코, 동부CNI, 홈플러스 등 표준 서버 백신

– 국내 경쟁사들과의 과도한 경쟁을 피하기 위해 서버 및 메일 보안 시장에 집중

트렌드마이크로 대표 백신

10

OfficeScan 소개

• 문서 암호화 방지 기능 (Access Document Control)

– 문서를 편집하려는 어플리케이션의 경로와

디지털 서명 등을 확인하여 신뢰성 확인

– 파일 변경 및 삭제 행위 임계치를 분석하여

이상 징후 발견 시 파일 변경 시도 강제 중지

• 랜섬웨어 프로세스 실행 방지– 트렌드마이크로는 랜섬웨어 숙주 파일 실행 시

특정 폴더 경로들에 특정 명칭의 프로세스를

생성하고 실행하는 몇 가지 공통된 행위가 있음을

수 많은 샘플 분석을 통해 발견하고 이를 규칙화함

– 위와 같은 프로세스가 동작할 경우 오피스스캔의 Software Restriction Policy (SRP – 소프트웨어

제한 정책) 기능이 이를 탐지하여 해당 프로세스 생성 및 실행을 거부시킴

• 웹 브라우저 위협 보호 기능– Browser Exploit Protection 기능을 통해 플래쉬, PDF, Java 등의 취약점을 통한 랜섬웨어의

Drive-by-Download 감염을 차단

– 웹브라우저에 플러그인되어 취약점 존재 웹사이트 접속 시 백그라운드에서 발생되는 랜섬웨어의

백도어 감염 행위 차단

– 랜섬웨어가 암호화키를 다운로드 받기 위해 접속하는 C&C 서버 접근 차단

OfficeScan 랜섬웨어 대응 기술

11

OfficeScan –문서 암호화 방지 기능 & 랜섬웨어프로세스 실행 방지

20

1

• 중앙 관리 콘솔에서의랜섬웨어 차단 정책 적용

• 시그너쳐에 포함되지 않은랜섬웨어의 행위 포착 및차단

OfficeScan –웹브라우져 위협 보호 기능

13

1

• OfficeScan 팝업 경고 • 접속시도한 유해 웹사이트 접근을 차단

• 상세 로그 확인

OfficeScan 랜섬웨어 대응 기술

14

C&C 콜백 주소악성 웹사이트

• 웹브라우져의 유해스크립트 차단(BES)

• 랜섬웨어의

문서 암호화 방지(ADC) • 랜섬웨어 프로세스

생성 및 실행 방지(SRP)

• 랜섬웨어 웹사이트 접속 차단 (WRS)

• 랜섬웨어의 C&C 콜백 통신 차단

오피스스캔

랜섬웨어 대응 방안- 네트워크 & 이메일

Deep DiscoveryInspectorAnalyzerEmail Inspector

16

트렌드마이크로 대응 솔루션

메일 서버

3. 이메일 보안

Deep Discovery Email Inspector스팸 필터와 메일 서버 사이에 위치하여 유입되는 첨부 파일및 URL에 포함된 악성코드 탐지 및 차단, 격리

Internet

PC

FW

2. 네트워크 보안

Deep Discovery Inspector + Analyzer네트워크를 통해 유입되는 파일 및 네트워크 통신에 대해 정적/동적 분석을 통한 악성코드 탐지 및C&C 서버 통신 차단

왜 네트워크 및 이메일 솔루션이 필요한가?

17

Dynamic

INSTALLATION

Infection

UPON ENTRY

Exposure

SOURCE

Clean-up

PAYLOAD

For DLLFor DLL최초감염경로=

웹 or 메일

• 특장점– 소프트웨어와 하드웨어 일체형의 Appliance 형태

– Windows, Mac, 모바일 등 다양한 OS 지원

– 맞춤형 Sandbox 제공 (총 3개 Category)

– 모든 포트와 다양한 파일 포맷 지원

– 미국의 공신력 있는 인증 기관인 NSS Lab에서 2년 연속 추천 제품 선정

• 국내 고객사 현황– 행정안전부, 교육부, 산업자원부, 미래창조과학부, 국방부 등 9개 정부 중앙 부처

– 서울특별시, 5개 광역시, 9개 도청 등 총 16개 시도 지자체

– 한국지역정보개발원 등 행정안전부 산하 25개 기관

– 16개 시도 교육청, 10개 국립대 및 19개 교육부 산하 기관

– 산업자원부 산하 10개 기관

– KB 국민은행, KEB 외환은행, KDB 산업은행, BC 카드, 미래에셋증권, 교보증권 등 각종 금융기관

– 네이버, 문화방송, 현대백화점, 이랜드, 잡코리아 등 기업체

랜섬웨어 및 APT 탐지, 분석, 차단 솔루션

18

Deep Discovery 소개

Deep Discovery 구성도

19

• Deep Discovery Inspector (네트워크 탐지)

• Deep Discovery Analyzer (네트워크 분석)

• Deep Discovery Email Inspector (이메일 탐지 및 분석)

• 알려진 랜섬웨어에 대한 시그니처 방식 탐지

– 가장 기본인 동적 분석은 물론 시그니처 방식을 함께 사용하여 분석 소요 시간 절감

– 시그니처 방식을 사용하면, Sandbox 분석 대상 파일이 크게 줄어들어 효과적인 운영 가능

• 알려지지 않은 랜섬웨어에 대한 동적 행위 분석 탐지

– 사용자 환경을 고려하여 임의적인 구성이 가능한 Sandbox를 제공

– 이 Sandbox 분석을 통해 다음과 같은 랜섬웨어의 악성 행위 탐지

√ “실행 가능 파일 Drop 및 실행” 행위 탐지

√ “자동 실행을 위한 Autorun Registry 등록” 행위 탐지

√ “암호화 대상 다량의 오피스 파일 및 아웃룩 파일 접근” 행위 탐지

√ “랜섬웨어와 관련된” 행위 탐지

√ “C&C 서버로의 Callback” 행위 탐지

– 이메일 솔루션인 Email Inspector의 경우 탐지는 물론, 차단, 격리 가능

20

Deep Discovery 랜섬웨어대응기술

1. 알려진 랜섬웨어에 대한 시그너쳐 방식으로 탐지

21

Deep Discovery에서의 랜섬웨어 탐지/분석

• 해당탐지명ANDROIDOS_LOCKER,BAT_CRYPTOR,BAT_CRYPVAULT,CRILOCK,CRYPCTB,CRYPDEF,CRYPSHED,CRYPTESLA,

CRYPTFILE,JS_DOWNCRYPT,KRYPTOVOR,MATSNU,PE_VIRLOCK,PHP_CRYPWEB,RANSOM,REVETON,SYNOLOCK,

TROJ_ACCDFISA,TROJ_CRIBIT,TROJ_CRITOLOCK,TROJ_CRYPAURA,TROJ_CRYPDIRT,TROJ_CRYPFORT,

TROJ_CRYPMLOCK,TROJ_CRYPOLLO,TROJ_CRYPTCOIN,TROJ_CRYPTED,TROJ_CRYPTLOCK,TROJ_CRYPTOP,

TROJ_CRYPTORBIT,TROJ_CRYPTOX,TROJ_CRYPTROLF,TROJ_CRYPTTOR,TROJ_CRYPWALL,TROJ_GULCRYPT,

TROJ_KOLLAH,TROJ_KOVTER,TROJ_PGPCODER,TROJ_POSHCODER,VBUZKY

• 알려진랜섬웨어탐지–스마트필터통한랜섬웨어에대한위협가시성제공

2. 알려지지 않은 랜섬웨어에 대한 동적 행위 분석 탐지

22

Deep Discovery에서의 랜섬웨어 탐지/분석

랜섬웨어실행시 “실행가능파일 Drop 및실행” 행위탐지

랜섬웨어실행시 “자동실행을위한Autorun Registry 등록” 탐지

2. 알려지지 않은 랜섬웨어에 대한 동적 행위 분석 탐지

23

Deep Discovery에서의 랜섬웨어 탐지/분석

랜섬웨어실행시 “암호화대상다량의오피스파일및아웃룩파일접근” 행위탐지

랜섬웨어실행시 “C&C 서버로의 callback” 행위탐지

24

NSS Labs 인증 및 추천 제품

2015년 8월 NSS Labs BDS Report

랜섬웨어 대응 방안- 정리

26

우리 회사의 랜섬웨어 대비 상태는?

실행파일 첨부 이메일 차단 정책?

이메일 첨부파일 및 URL 행위분석?

네트워크 기반 행위분석 탐지?

취약웹사이트 및 C&C 접근 차단 백신 사용?

알려지지 않은 랜섬웨어를 행위기반으로 차단하는 백신 사용?

27

랜섬웨어 대응 정리

Sandbox Analysis Network

Endpoint

GateWay & Messaging

랜섬웨어에 대비한 사용자 교육 및 훈련 중요 데이터 백업 백신 프로그램의 최신 패턴 업데이트 윈도우 UAC(사용자 계정 컨트롤)의 권한 최

소화 소셜 엔지니어링 공격과 이메일을 통한 공

격 위험성을 인지 윈도우 패치 및 소프트웨어 업데이트 웹브라우져에서의 Flash 플러그인 해제 P2P 사용 금지 이메일 송신자의 정합성 확인

ANTI-SPAM *.exe, *.scr, *.js, *.htm 등의 실행형 첨부파일은 악성유

무에 관계없이 차단 또는 삭제

이메일 첨부파일 & URL 행위분석 – Deep Discovery Email Inspector 샌드박스 기반으로 이메일의 첨부파일과 URL을 행위분

석하여 랜섬웨어를 탐지하고 자동으로 차단

엔드포인트 – OfficeScan Corporate Edition 최신 패턴을 통해 알려진 랜섬웨어 진단 및 삭제 동작모니터링 - 랜섬웨어 방지 기능 ADC – 특정 시간 동안 임계치 이상의 문서 편집 행위

포착 시 이를 중지시키고, 숙주 파일 격리 SRP – 특정 폴더에 생성되는 랜섬웨어 프로그램의

프로세스를 강제 중지시키고, 숙주 파일 격리 WRS - 악성 웹사이트 접속 차단 C&C 콜백 차단 유해스크립트 차단 기능으로 플래시 취약컨텐츠

다운로드 차단

샌드박스 분석 – Deep Discovery Analyzer• DDI로부터 수집된 의심파일과 URL을

샌드박스 기반으로 행위 분석

이메일, 네트워크, 엔드포인트 영역에서의 전방위 대응

Green = 알려지지 않은 변종에 대한 대비Red = 알려진 랜섬웨어 대응

네트워크 – Deep Discovery Inspector WRS – 알려진 랜섬웨어 웹사이트 접속 여부

탐지 ATSE – 랜섬웨어 탐지 엔진 DDI NCIE – 랜섬웨어 탐지 룰 DDAN Sandbox – 샌드박스 기반으로 알려지

지 않은 랜섬웨어를 탐지

1/29/2016 28Confidential | Copyright 2012 Trend Micro Inc.

감 사 합 니 다