랜섬웨어가 ‘먹히는’ 이유 제3탄: 네트워크 확산

게시일: 2016-10-19 l 작성자: Trend Micro

본 포스팅은 랜섬웨어가 개인과 기업을 공격하기 위해 사용하는 여러 기술과 그 영향을 살펴보기 위한 시리즈의 3번째 게시글 입니다.
랜섬웨어의 위협을 최소화하고, 공격에 대응하기 위한 최선의 방법은 기업 네트워크의 다양한 요소들(게이트웨이, 엔드포인트, 네트워크, 서버)에 다층 보안 설계를 적용하는 것입니다.

랜섬웨어 시리즈의 이전 게시글은 하단 링크를 통해 확인하실 수 있습니다.




랜섬웨어는 수백만 명의 피해자를 배출하며 수백만 달러의 수익을 올렸습니다. 시리즈 이전 게시글에서는 랜섬웨어의 침투 지점과 암호화 행위에 대한 내용을 다루었습니다. 이번 게시글에서는 랜섬웨어의 네트워크 통신과 이를 방어하기 위한 해결책에 대해 이야기할 예정입니다.

랜섬웨어의 네트워크 활동은 기관 내 악성 행위를 초기에 탐지할 수 있는 신호가 됩니다. 따라서 네트워크 통신을 검사하는 것은 매우 유용합니다. 이는 반대로 말하면, 네트워크에 대한 정확한 가시성 없을 경우, 기존 게이트웨이 솔루션으로 탐지하지 못하는 허가되지 않은 기기 또는 허가되지 않은 제3자의 접근을 통한 랜섬웨어 감염이 이루어질 수 있다는 것을 의미합니다.

기관의 네트워크가 랜섬웨어에 감염될 경우 다음 2가지 역할을 수행하게 됩니다:

  • 커뮤니케이션 릴레이
  • 감염 숙주로서 다른 시스템 및 서버에 랜섬웨어 확산

역할 #1: 통신과 제어

랜섬웨어 공격에서 가장 중요한 네트워크 통신은 공격자의 C&C(command-and-control) 서버와 통신을 통한 암호화 키를 전송받는 것입니다.

암호화 키는 피해자 기기의 파일을 암호화하기 위해 C&C 서버로부터 전송됩니다. 통신이 연결될 경우, 대부분의 랜섬웨어 패밀리는 C&C 서버로부터 퍼블릭 키(public key)를 받아 파일을 암호화합니다. 이에 따른 프라이빗 키(private key)는 공격자가 소유합니다. 퍼블릭 키는 언제든지 변경될 수 있으며, 멀웨어의 코드에서 키를 찾아낼 수 없습니다.

만약 C&C 서버와의 통신이 이루어질 수 없다면 어떻게 될까요? CryptoWall과 같은 대부분의 랜섬웨어 패밀리는 파일을 암호화할 수 없게 됩니다. 하지만, 이러한 통신 없이도 암호화를 진행할 수 있는 랜섬웨어도 존재합니다. 예를 들어, CrypXXX는 코드 속에 디폴트 키(default key)가 내장되어 있습니다. Cerber와 그 변종은 코드에서 자체적으로 키를 생성하기 때문에 리버스 엔지니어링을 통한 복호화가 가능합니다. 신규 랜섬웨어 변종은 C&C 서버로부터 키를 전달 받는 방식을 선호합니다.

역할 #2: 확산

랜섬웨어는 또한 기관 내 네트워크 공유를 통해 확산될 수 있습니다. 감염된 시스템에서 실행될 때, 대부분의 랜섬웨어 패밀리는 로컬 하드 드라이브와 연결된 네트워크 드라이브의 파일을 암호화 합니다. 그렇기 때문에 기관 내 감염이 더욱 빠르게 이루어집니다. 하나의 로컬 시스템에서 시작된 감염은 곧 전체 기관의 시스템을 마비시킬 수 있습니다.

언급된 바와 같이 랜섬웨어는 허가되지 않은 접근을 통해 네트워크를 침입할 수 있습니다. 일례로 Crysis 랜섬웨어는 원격 데스크탑 프로토콜(Remote Desktop Protocol) 무차별 대입 공격을 사용합니다. 2016년 3월, Surprise 랜섬웨어는 시스템 감염을 위해 팀뷰어(TeamViewer) 로그인 계정을 탈취한 것으로 알려졌습니다.

트렌드마이크로의 대책

랜섬웨어가 기업 네트워크를 통해 침투하는 것을 고려했을 때, 네트워크에 대한 가시성을 확보하는 것은 위협의 영향을 최소화하고 적극적인 대응을 하기 위한 중요한 요소라고 할 수 있습니다. 트렌드마이크로의 Deep Discovery Inspector(DDI)와 같은 솔루션은 존재하는 위협 행위에 대한 완벽한 시각화를 제공하고 올바른 조치를 취합니다.

DDI는 C&C 서버로 통신하는 트래픽을 탐지하여 랜섬웨어 패밀리가 파일을 암호화 할 수 있는 가능성을 현저히 낮춥니다. 내부망에 설치하지는 DDI는 랜섬웨어가 초기 감염된 기기 이외 다른 시스템으로 확산하는 것을 탐지할 수 있습니다. 위의 기능 외에 DDI는 암호화 행위, 백업 복구 프로세스 수정, 대량 파일 수정 등을 탐지할 수 있습니다. 또한 스크립트 에뮬레이션, 제로데이 익스플로잇, 랜섬웨어 공격에 주로 사용되는 잠금보호 된 악성 파일 등을 탐지합니다.

대기업, 중소기업, 개인사용자에 무관하게, 랜섬웨어 공격을 방어하기 위한 다층 보안 설계는 중요합니다. 트렌드마이크로는 사용자와 기관이 게이트웨이, 엔드포인트, 네트워크, 서버의 모든 방면에서 보호를 받을 수 있는 솔루션을 제공합니다.


원문: Network Solutions to Ransomware – Stopping and Containing Its Spread