Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
랜섬웨어 예방법 소개2016년 1월 27일
한국트렌드마이크로
엔드포인트&네트워크에서의
Ransomware 대응
백신 탐지 방식의 한계와 예방 방법
3
• 기존백신탐지방식의한계
– 제작자가 다양한 패커를 이용하여 악성코드 파일을 지속적으로 수정
– 익명성이 보장된 토르(TOR) 등을 이용하여 유포자와 제작자들이 은밀하게 커뮤니케이션하여
랜섬웨어 변종 개발 정보를 공유
– 제작자는 진단율을 낮추기 위해 기존 악성코드들보다 더 치밀하고 향상된 은닉성과 공격방식을
연구하고 반영
– 피해가 발생한 후에 샘플이 수집되어 백신 시그너쳐에 반영
– 백신의 시그너쳐 업데이트 방식의 진단으로는 대응이 늦을 수 밖에 없다?
• 예방이 최선
– RSA-2048 공개키 암호화 방식으로서 수퍼컴퓨터로도 해독 시간이 수 년 이상 소요
– 중요 데이터 백업
– 웹브라우져, 플래시 플레이어, PDF리더, 오피스, HWP 등의 소프트웨어 보안 패치 업데이트
– 백신 최신 업데이트 유지
– 불필요한 공유 해제
– 악성 웹사이트 접속 차단 정책
– 행위 기반으로 크립토락커를 탐지하고 차단하는 방식 필요
4
랜섬웨어 보안 및 대응
메일 서버
3. 이메일 보안
- 이메일 첨부파일을 통해 유입되는 악성코드 탐지 및 차단
- 이메일 본문에 포함된 악성 URL 링크 탐지 및 차단
Internet
PC
FW
1. Endpoint / PC 보안
- Antivirus 백신 S/W (패턴/시그니처 기반)
- 악성 웹사이트 접속 차단
- 행위기반 분석을 통한 신/변종 악성코드 탐지/차단
2. 네트워크 보안
- 악성코드 유입 및 C&C 서버 접속 과정에 대한보안 위협정보
- 행위기반 분석을 통한 신/변종 악성코드 탐지
5
트렌드마이크로 대응 솔루션
메일 서버
3. 이메일 보안
Deep Discovery Email Inspector스팸 필터와 메일 서버 사이에 위치하여 유입되는 첨부 파일및 URL에 포함된 악성코드 탐지 및 차단, 격리
Internet
PC
FW
1. Endpoint / PC 보안
OfficeScan안티멀웨어 백신으로 행위 기반 모니터링 기능을 통해신/변종 랜섬웨어 대응 가능
2. 네트워크 보안
Deep Discovery Inspector + Analyzer네트워크를 통해 유입되는 파일 및 네트워크 통신에 대해 정적/동적 분석을 통한 악성코드 탐지 및C&C 서버 통신 차단
#1 in protection and
performance
개인용 백신 APT 솔루션
Deep Discovery맥시멈 시큐리티
랜섬웨어 예방 가능한 트렌드마이크로 제품군
6
#1 in protection and
performance
기업용 백신
오피스스캔
랜섬웨어 대응 방안- 엔드포인트
OfficeScanfor Windows
8
트렌드마이크로 대응 솔루션 – Endpoint
메일 서버
Internet
PC
FW
1. Endpoint / PC 보안
OfficeScan안티멀웨어 백신으로 행위 기반 모니터링 기능을 통해신/변종 랜섬웨어 대응 가능
• 기존 백신의 한계
– 해커들은 다양한 패커를 이용하여 악성코드 파일을 끊임없이 수정하여 변종을 생산
– 수 많은 변종 생산으로 백신 제품들의 시그니처 탐지 비율 최소화
– 랜섬웨어를 통해 익명으로 금전적 이득 취득이 확인되어 더 많은 해커들이 악성코드 제작에 참여
– 관련 악성코드에 대한 소스 코드 판매, 공유 등으로 기존 악성코드를 수정하는 방식이 아닌
새로운 악성코드 생산 확률 증가
– 백신은 피해 발생 후 관련 샘플 분석을 통해 패턴에 업데이트하는 사후 수동적 방식
– 이미 랜섬웨어에 감영되어 모든 데이터가 감염된 이후에 패턴 업데이트는 무의미
• 오피스스캔의 대응 방법– 트렌드마이크로는 랜섬웨어의 행동 유형을
수년 간 면밀히 분석하여 그 규칙성을 파악함
– 랜섬웨어가 데이터를 암호화하기 위해
실행하는 서비스를 행위 기반 모니터링 기술을
통해 파악하여 해당 서비스를 강제 종료시킴으로써
데이터 암호화 피해 방지
왜 OfficeScan 만이 가능한가?
9
• 특장점– 전세계 서버 보안 점유율 1위 제품
– 행위기반 모니터링 기능으로 랜섬웨어 예방
– 무상 중앙관리서버 (약 1백만원 예산 절감 효과)
– 저용량 패턴 DB (업데이트 시간 단축) 및 실시간 위협 감지
– MS Windows 2000 유료 지원 서비스
– 다양한 플러그인 (IDF, VDI, DLP, Mac)
– 다양한 PoS 플랫폼 지원
• 국내 고객사 현황– 현대기아자동차 그룹 15개 계열사 표준 서버 백신 (현대자동차, 기아자동차, 현대모비스 등)
– SK 그룹 20여개 계열사 표준 서버 백신 (텔레콤 계열사 제외)
– 롯데 그룹 14개 계열사 서버 및 데스크탑 표준 백신
– 포스코, 동부CNI, 홈플러스 등 표준 서버 백신
– 국내 경쟁사들과의 과도한 경쟁을 피하기 위해 서버 및 메일 보안 시장에 집중
트렌드마이크로 대표 백신
10
OfficeScan 소개
• 문서 암호화 방지 기능 (Access Document Control)
– 문서를 편집하려는 어플리케이션의 경로와
디지털 서명 등을 확인하여 신뢰성 확인
– 파일 변경 및 삭제 행위 임계치를 분석하여
이상 징후 발견 시 파일 변경 시도 강제 중지
• 랜섬웨어 프로세스 실행 방지– 트렌드마이크로는 랜섬웨어 숙주 파일 실행 시
특정 폴더 경로들에 특정 명칭의 프로세스를
생성하고 실행하는 몇 가지 공통된 행위가 있음을
수 많은 샘플 분석을 통해 발견하고 이를 규칙화함
– 위와 같은 프로세스가 동작할 경우 오피스스캔의 Software Restriction Policy (SRP – 소프트웨어
제한 정책) 기능이 이를 탐지하여 해당 프로세스 생성 및 실행을 거부시킴
• 웹 브라우저 위협 보호 기능– Browser Exploit Protection 기능을 통해 플래쉬, PDF, Java 등의 취약점을 통한 랜섬웨어의
Drive-by-Download 감염을 차단
– 웹브라우저에 플러그인되어 취약점 존재 웹사이트 접속 시 백그라운드에서 발생되는 랜섬웨어의
백도어 감염 행위 차단
– 랜섬웨어가 암호화키를 다운로드 받기 위해 접속하는 C&C 서버 접근 차단
OfficeScan 랜섬웨어 대응 기술
11
OfficeScan –문서 암호화 방지 기능 & 랜섬웨어프로세스 실행 방지
20
1
• 중앙 관리 콘솔에서의랜섬웨어 차단 정책 적용
• 시그너쳐에 포함되지 않은랜섬웨어의 행위 포착 및차단
OfficeScan –웹브라우져 위협 보호 기능
13
1
• OfficeScan 팝업 경고 • 접속시도한 유해 웹사이트 접근을 차단
• 상세 로그 확인
OfficeScan 랜섬웨어 대응 기술
14
C&C 콜백 주소악성 웹사이트
• 웹브라우져의 유해스크립트 차단(BES)
• 랜섬웨어의
문서 암호화 방지(ADC) • 랜섬웨어 프로세스
생성 및 실행 방지(SRP)
• 랜섬웨어 웹사이트 접속 차단 (WRS)
• 랜섬웨어의 C&C 콜백 통신 차단
오피스스캔
랜섬웨어 대응 방안- 네트워크 & 이메일
Deep DiscoveryInspectorAnalyzerEmail Inspector
16
트렌드마이크로 대응 솔루션
메일 서버
3. 이메일 보안
Deep Discovery Email Inspector스팸 필터와 메일 서버 사이에 위치하여 유입되는 첨부 파일및 URL에 포함된 악성코드 탐지 및 차단, 격리
Internet
PC
FW
2. 네트워크 보안
Deep Discovery Inspector + Analyzer네트워크를 통해 유입되는 파일 및 네트워크 통신에 대해 정적/동적 분석을 통한 악성코드 탐지 및C&C 서버 통신 차단
왜 네트워크 및 이메일 솔루션이 필요한가?
17
Dynamic
INSTALLATION
Infection
UPON ENTRY
Exposure
SOURCE
Clean-up
PAYLOAD
For DLLFor DLL최초감염경로=
웹 or 메일
• 특장점– 소프트웨어와 하드웨어 일체형의 Appliance 형태
– Windows, Mac, 모바일 등 다양한 OS 지원
– 맞춤형 Sandbox 제공 (총 3개 Category)
– 모든 포트와 다양한 파일 포맷 지원
– 미국의 공신력 있는 인증 기관인 NSS Lab에서 2년 연속 추천 제품 선정
• 국내 고객사 현황– 행정안전부, 교육부, 산업자원부, 미래창조과학부, 국방부 등 9개 정부 중앙 부처
– 서울특별시, 5개 광역시, 9개 도청 등 총 16개 시도 지자체
– 한국지역정보개발원 등 행정안전부 산하 25개 기관
– 16개 시도 교육청, 10개 국립대 및 19개 교육부 산하 기관
– 산업자원부 산하 10개 기관
– KB 국민은행, KEB 외환은행, KDB 산업은행, BC 카드, 미래에셋증권, 교보증권 등 각종 금융기관
– 네이버, 문화방송, 현대백화점, 이랜드, 잡코리아 등 기업체
랜섬웨어 및 APT 탐지, 분석, 차단 솔루션
18
Deep Discovery 소개
Deep Discovery 구성도
19
• Deep Discovery Inspector (네트워크 탐지)
• Deep Discovery Analyzer (네트워크 분석)
• Deep Discovery Email Inspector (이메일 탐지 및 분석)
• 알려진 랜섬웨어에 대한 시그니처 방식 탐지
– 가장 기본인 동적 분석은 물론 시그니처 방식을 함께 사용하여 분석 소요 시간 절감
– 시그니처 방식을 사용하면, Sandbox 분석 대상 파일이 크게 줄어들어 효과적인 운영 가능
• 알려지지 않은 랜섬웨어에 대한 동적 행위 분석 탐지
– 사용자 환경을 고려하여 임의적인 구성이 가능한 Sandbox를 제공
– 이 Sandbox 분석을 통해 다음과 같은 랜섬웨어의 악성 행위 탐지
√ “실행 가능 파일 Drop 및 실행” 행위 탐지
√ “자동 실행을 위한 Autorun Registry 등록” 행위 탐지
√ “암호화 대상 다량의 오피스 파일 및 아웃룩 파일 접근” 행위 탐지
√ “랜섬웨어와 관련된” 행위 탐지
√ “C&C 서버로의 Callback” 행위 탐지
– 이메일 솔루션인 Email Inspector의 경우 탐지는 물론, 차단, 격리 가능
20
Deep Discovery 랜섬웨어대응기술
1. 알려진 랜섬웨어에 대한 시그너쳐 방식으로 탐지
21
Deep Discovery에서의 랜섬웨어 탐지/분석
• 해당탐지명ANDROIDOS_LOCKER,BAT_CRYPTOR,BAT_CRYPVAULT,CRILOCK,CRYPCTB,CRYPDEF,CRYPSHED,CRYPTESLA,
CRYPTFILE,JS_DOWNCRYPT,KRYPTOVOR,MATSNU,PE_VIRLOCK,PHP_CRYPWEB,RANSOM,REVETON,SYNOLOCK,
TROJ_ACCDFISA,TROJ_CRIBIT,TROJ_CRITOLOCK,TROJ_CRYPAURA,TROJ_CRYPDIRT,TROJ_CRYPFORT,
TROJ_CRYPMLOCK,TROJ_CRYPOLLO,TROJ_CRYPTCOIN,TROJ_CRYPTED,TROJ_CRYPTLOCK,TROJ_CRYPTOP,
TROJ_CRYPTORBIT,TROJ_CRYPTOX,TROJ_CRYPTROLF,TROJ_CRYPTTOR,TROJ_CRYPWALL,TROJ_GULCRYPT,
TROJ_KOLLAH,TROJ_KOVTER,TROJ_PGPCODER,TROJ_POSHCODER,VBUZKY
• 알려진랜섬웨어탐지–스마트필터통한랜섬웨어에대한위협가시성제공
2. 알려지지 않은 랜섬웨어에 대한 동적 행위 분석 탐지
22
Deep Discovery에서의 랜섬웨어 탐지/분석
랜섬웨어실행시 “실행가능파일 Drop 및실행” 행위탐지
랜섬웨어실행시 “자동실행을위한Autorun Registry 등록” 탐지
2. 알려지지 않은 랜섬웨어에 대한 동적 행위 분석 탐지
23
Deep Discovery에서의 랜섬웨어 탐지/분석
랜섬웨어실행시 “암호화대상다량의오피스파일및아웃룩파일접근” 행위탐지
랜섬웨어실행시 “C&C 서버로의 callback” 행위탐지
24
NSS Labs 인증 및 추천 제품
2015년 8월 NSS Labs BDS Report
랜섬웨어 대응 방안- 정리
26
우리 회사의 랜섬웨어 대비 상태는?
실행파일 첨부 이메일 차단 정책?
이메일 첨부파일 및 URL 행위분석?
네트워크 기반 행위분석 탐지?
취약웹사이트 및 C&C 접근 차단 백신 사용?
알려지지 않은 랜섬웨어를 행위기반으로 차단하는 백신 사용?
27
랜섬웨어 대응 정리
Sandbox Analysis Network
Endpoint
GateWay & Messaging
랜섬웨어에 대비한 사용자 교육 및 훈련 중요 데이터 백업 백신 프로그램의 최신 패턴 업데이트 윈도우 UAC(사용자 계정 컨트롤)의 권한 최
소화 소셜 엔지니어링 공격과 이메일을 통한 공
격 위험성을 인지 윈도우 패치 및 소프트웨어 업데이트 웹브라우져에서의 Flash 플러그인 해제 P2P 사용 금지 이메일 송신자의 정합성 확인
ANTI-SPAM *.exe, *.scr, *.js, *.htm 등의 실행형 첨부파일은 악성유
무에 관계없이 차단 또는 삭제
이메일 첨부파일 & URL 행위분석 – Deep Discovery Email Inspector 샌드박스 기반으로 이메일의 첨부파일과 URL을 행위분
석하여 랜섬웨어를 탐지하고 자동으로 차단
엔드포인트 – OfficeScan Corporate Edition 최신 패턴을 통해 알려진 랜섬웨어 진단 및 삭제 동작모니터링 - 랜섬웨어 방지 기능 ADC – 특정 시간 동안 임계치 이상의 문서 편집 행위
포착 시 이를 중지시키고, 숙주 파일 격리 SRP – 특정 폴더에 생성되는 랜섬웨어 프로그램의
프로세스를 강제 중지시키고, 숙주 파일 격리 WRS - 악성 웹사이트 접속 차단 C&C 콜백 차단 유해스크립트 차단 기능으로 플래시 취약컨텐츠
다운로드 차단
샌드박스 분석 – Deep Discovery Analyzer• DDI로부터 수집된 의심파일과 URL을
샌드박스 기반으로 행위 분석
이메일, 네트워크, 엔드포인트 영역에서의 전방위 대응
Green = 알려지지 않은 변종에 대한 대비Red = 알려진 랜섬웨어 대응
네트워크 – Deep Discovery Inspector WRS – 알려진 랜섬웨어 웹사이트 접속 여부
탐지 ATSE – 랜섬웨어 탐지 엔진 DDI NCIE – 랜섬웨어 탐지 룰 DDAN Sandbox – 샌드박스 기반으로 알려지
지 않은 랜섬웨어를 탐지
1/29/2016 28Confidential | Copyright 2012 Trend Micro Inc.
감 사 합 니 다