랜섬웨어 공격용 프로그램 및 첨부파일 업로드 차단 보안부문 2018-03-16 신달수 0 댓글 0 2057 어떻게 서버에 침투할까 ? 랜섬웨어는 Ransom(몸값)과 Software(소프트웨어)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 금전을 요구하는 악성 프로그램을 말하며 신뢰할 수 없는 사이트, 스팸메일, 파일공유 사이트를 통해 유포됩니다. NM4 랜섬웨어는 복잡한 알고리즘 조합으로 사용자의 파일을 암호화하는 데 중점을 두는 정교한 멀웨어 감염입니다. AES 및 RSA 암호화를 모두 사용하는 변종군에 속합니다. [ 그림. nm4 멀웨어가 실행되서 공겨한 이후에 모습 ] 감염되는 경로는 흔히 아래와 같을 것입니다. 암호화해주는 나쁜 프로그램, 멀웨어를 서버에 침투시키는 게 제일 우선이겠지요. 서버의 아이디/비번과 접근경로를 알고 정상적인 관리자로 로그인 하는 경우 그룹웨어 업로드 프로그램을 조작하거나 이용해서, 서버에 파일을 업로드 FTP 포트 및 웹서버의 보안정책등의 구멍을 찾고 그것을 이용하여 침투 이메일을 통해, 쉘(shell)을 심어서 유입 공격 대상으로 삼은 서버를 구석구석 확인하여 Hole 공격용 루트로 활용 메신저 파일 업로드를 통하여, 서버에 파일을 침투 관리자가 서버에서 작업하며, 외부 사이트 열람등으로 악성 파일 침투 그외, 어떤 유입 경로가 있을까요 ? 랜섬웨어 감염 경로 유입1. 신뢰할 수 없는 사이트 신뢰할 수 없는 사이트의 경우 단순한 홈페이지 방문만으로도 감염될 수 있으며, 드라이브 바이 다운로드(Drive-by-Download) 기법을 통해 유포됩니다. 이를 방지하기 위해서 사용하는 PC의 운영체제 및 각종 SW 보안 패치를 항상 최신으로 업데이트 하는 것이 중요합니다. 무료 게임 사이트 등은 보안 관리가 미흡한 사이트로 이용 자제를 권고합니다. ※ 드라이브 바이 다운로드는 취약한 웹사이트에 방문하였을 뿐인데 사용자 모르게 악성 스크립트가 동작하여 취약점을 유발시키는 코드를 실행하여 악성코드를 다운로드하고 실행하여 사용자의 PC를 감염시키는 기법입니다. 유입2. 스팸메일 및 스피어싱 출처가 불분명한 이메일 수신시 첨부파일 또는 메일에 URL 링크를 통해 악성코드를 유포하는 사례가 있으므로 첨부파일 실행 또는 URL 링크 클릭에 주의가 필요합니다. 최근 사용자들이 메일을 열어보도록 유도하기 위해 ‘연말정산 안내’, ‘송년회 안내’, ‘영수증 첨부’ 등과 같이 일상생활과 밀접한 내용으로 위장하고 있어 출처가 명확한 첨부파일도 바로 실행하기보다는 일단 PC에 저장 후 백신으로 검사하고 열어보는 것을 권고합니다. 유입3. 파일공유 사이트 토렌트(Torrent), 웹하드 등 P2P 사이트를 통해 동영상 등의 파일을 다운로드 받고 이를 실행할 경우, 악성코드에 감염되는 사례가 있어 이에 대한 주의가 필요합니다. 유입4. 사회관계망서비스(SNS) 최근 페이스북, 링크드인 등 사회관계망서비스(SNS)에 올라온 단축URL 및 사진을 이용하여 랜섬웨어를 유포하는 사례가 있습니다. 특히 SNS 계정 해킹을 통해 신뢰할 수 있는 사용자로 위장해 랜섬웨어를 유포할 수 있기 때문에 이에 대한 주의가 필요합니다. 서버에서 어떻게 활성화 되지? 문제는, 공격자가 허가되지 않은 루트를 통해 침투시킨 파일을 어떻게 실행 또는 활성화 하는지? 매우 궁금합니다. 조치 *.asp;*.aspx;*.vbs;*.scr;*.bat;*.htm;*.html;*.jsp; *.php;*.php3;*.php4;*.phps;*.js;*.in;*.pi;*.pif;*.wsf; *.cmd;*.com;*.cpl;*.crt;*.hta 일반적으로 알고 있는 대응방법입니다. 모든 소프트웨어는 최신 버전으로 업데이트하여 사용합니다. 백신 소프트웨어를 설치하고, 최신 버전으로 업데이트 합니다. 출처가 불명확한 이메일과 URL 링크는 실행하지 않습니다. 파일 공유 사이트 등에서 파일 다운로드 및 실행에 주의해야 합니다. 중요 자료는 정기적으로 백업합니다.