랜섬웨어 리캡: 더 강해진 수법과 회피 기술

게시일: 2017-05-13 l 작성자: Trend Micro

랜섬웨어 해커들은 끈질기다. 새로운 회피 기술과 프로그래밍 언어, 명명 규칙, 그리고 더 강제적인 요구로 피해자들의 주머니를 노린다.

한가지 새로운 기술은 RarSFX 실행 파일에 패키지 랜섬웨어를 관련시킨다. 지난 주에는 머신러닝을 회피하는 기능을 갖춘 SFX 파일로 포장 된 케르베르 랜섬웨어에 관해 이야기 했었다. 이번 주 에는 트렌드마이크로에서 CrptXXX (RANSOM_CROTX.A) 또한 SFX 파일로 포장되어 있음을 발견했다. 이 특정 랜섬웨어는 패키지 안에 올바른 매개 변수와 다른 구성 요소 없이는 완전히 실행될 수 없다.

CrptXXX 시스템을 감염시킨다면, 피해자는 아주 직접적인 랜섬 노트 메시지를 받게 되는데, 메시지를 따라 특정 사이트에 접속 한 후 피해자 각각의 고유 아이디를 입력하고 돈을 지불해야 한다.

더 강해진 수법

French Locker (프렌치 로커. 트렌드마이크로가 RANSOM_LELEOCK.A 로 탐지)는 개발자가 피해자들이 빨리 돈을 낼 수 있게 디자인된 전형적인 랜섬웨어다. 프렌치로커는 10분에 한 번씩 피해자의 암호화된 파일들을 하나씩 지워 나간다. 주로 악성 웹사이트나 다른 멀웨어를 통해 들어오는 프렌치로커는 피해자에게 영어와 불어 중 하나를 선택하도록 한다. 랜섬웨어는 자동시작 레지스트리를 설치하는데, 그 후 재부팅이 되고 나면 암호화가 진행된다. 암호화된 파일은 .lelele 확장명과 함께 추가된다.

그림 1. 프렌치로커 랜섬 노트 메시지

프렌치로커는 아래의 과정을 따라 스캔을 하고 이미 감염된 경우에는 그대로 종료 시켜 버린다.

  • Processhacker
  • Taskmgr
  • Wireshark
  • Chrome
  • Firefox
  • Skype

구 버전들의 업데이트

SAMSAM (삼삼. 트렌드마이크로가 RANSOM_SAMAS.I 로 탐지) 은 새로운 변수를 바탕으로 업데이트 되었다. 구 버전의 SAMSAM은 지난 2016년 병원 서버들을 대상으로 큰 풍파를 일으켰었다. 일반적인 랜섬웨어는 소셜엔지니어링, 악성 광고, 스팸메일 등을 통해 전파되는 반면 SAMSAM은 특정 의료 시설 네트워크 인프라를 타겟으로 삼았다. SAMSAM을 전파시킨 해커는 네트워크 관리 권한에 접근해 특정 대상 호스트를 정확히 집어낼 수 있다. 이런 방식으로 피해자 네트워크의 상당 부분을 차지하고 필수 시스템과 서비스를 마비시켜 버려 피해자가 돈을 지불할 수 밖에 없게끔 만든다.

아래는 SAMSAM의 가장 최신 변수지만, 발견되어 공개가 되는 순간 행동양식을 바꿔버린다.

그림 2. SAMSAM 랜섬 노트 메시지

Golang의 활용

작년 말 구글의 ‘Go 프로그래밍 언어’ 를 사용한 첫번째 랜섬웨어 사례가 발견 되었고, 그 후 하나가 더 발견 되었다. 사용되는 프로그래밍 언어와는 별개로 BrainCrypt (브레인크립트. 트렌드마이크로가 RANSOM_BRAINCRYPT 로 탐지) 는 상대적으로 일반적인 랜섬웨어다. 간략한 랜섬 웨어 노트 메시지를 통해 피해자에게 일어난 상황을 설명하고 해커에게 이메일을 보내 도록 한다.

그림 3. 브레인크립트 랜섬 노트 메시지

끊임없이 진화하는 랜섬웨어를 통해 우리는 사이버 범죄자들이 얼마나 빠르게 최신 테크놀로지와 기술을 습득하고 그들이 만든 멀웨어를 더 강력하게 만드는지 알 수 있다. 이러한 이유로 모든 사용자들은 최신 위혀 상황에 대한 경계 태세를 유지하고 최신 보안 정보를 업데이트 받아야 한다.

랜섬웨어 솔루션:

기업은 위협에 따른 위험을 최소화하기 위해 다층화와 단계별 접근법을 활용 할 수 있다. Trend Micro™ Deep Discovery™ Email Inspector, InterScan™ Web Security 등과 같은 이메일 & 웹게이트웨이 솔루션을 사용하면 엔드유저들을 랜섬웨어로부터 보호할 수 있다. 또한 Trend Micro Smart Protection Suites 는 하이파이 머신 러닝, 행동 모니터링, 어플리케이션 컨트롤, 취약점 보호 등의 기능을 제공하여 위협의 영향을 최소화 한다. Trend Micro Deep Discovery Inspector 는 네트워크상의 랜섬웨어를 탐지, 차단하고 동시에 Trend Micro Deep Security™ 는 물리적, 가상적, 클라우드 서버 전반에 걸쳐 랜섬웨어가 기업의 서버에 도달하는 것을 막는다.

소기업의 경우 Trend Micro Worry-Free Services Advanced 를 이용하면 호스트 이메일 보안을 통해 클라우드 기반의 이메일 게이트웨이 보안을 제공받을 수 있다. 엔드포인트 보안 기능 또한 행동 모니터링, 실시간 웹 레퓨테이션 등의 기능을 갖추어 랜섬웨어를 탐지 하고 차단 시킨다.

개인 사용자의 경우, Trend Micro Security 10 을 사용해 위협 요소와 관련된 악성 웹사이트, 이메일 및 파일을 차단하여 강력한 보호 기능을 제공 받을 수 있다.

사용자들은 Screen-locker 랜섬웨어를 감지하고 제거하기 위해 고안된 Trend Micro Lock Screen Ransomware Tool 과 같은 무료 도구를 이용 할 수 있다. 또한 Trend Micro Crypto-Ransomware File Devryptor Tool은 돈을 지불하지 않거나 암호 해독키를 사용하지 않고도 크립토 랜섬웨어에 감염된 파일들을 해독 할 수 있는 무료 도구다.


원문: Ransomware Recap: Tougher Tactics and Evasion Techniques