2018.04.03

11가지 형태로 진화하는 랜섬웨어, 대응 방법은?

Michael Nadeau | CSO

랜섬웨어 감지∙복구 툴과 기법이 점점 더 발전하고 있다. 그러나 랜섬웨어 개발자도 진화하고 있다. 이들은 랜섬웨어 감지뿐 아니라 암호로 잠근 파일 복구도 더 어렵게 만들고 있다.



그동안 랜섬웨어 대응에서 유리한 점 하나는 예측할 수 있었다는 것이다. 일관되게 동작했기 때문이다. 그래서 보안 도구와 보안 팀이 랜섬웨어를 감지한 후 피해를 최소화할 기회를 줬다. 그런데 랜섬웨어 개발자가 랜섬웨어를 예측하기 더 어렵게 만들고 있다는 신호가 나타나기 시작했다.

카스퍼스키랩 GReAT의 수석 보안 연구원인 브라이언 바솔뮤는 “랜섬웨어는 궁극적으로 단 한 가지 ‘일’을 한다. 파일 시스템을 덮어쓰거나 잠그는 ‘일’이다”고 말했다. 이렇게 데이터를 덮어쓰거나 잠그는 일관된 동작 덕분에 랜섬웨어를 쉽게 감지할 수 있었다. 바솔뮤는 “시스템의 파일을 리스트라고 가정하면, 랜섬웨어는 이 리스트로 이동한 후 모든 것을 암호로 잠그기 시작한다”고 설명했다.

그런데 해커들이 더 똑똑해졌다. 감지를 피하고자 랜섬웨어의 예측 가능한 속성을 바꾸려 하고 있다. 이런 새로운 속임수 가운데 일부를 소개한다.

1. 암호화 프로세스의 속도를 늦춘다
바솔뮤는 “일부 랜섬웨어 개발자들은 랜섬웨어가 한 번에 동작하지 않도록 만들고 있다. 동작을 분산시킨다. 장시간 동작이 발생한다”고 설명했다. 감지 도구의 ‘기준선’ 아래에서 동작하도록 만드는 것이다. 바솔뮤는 “바이러스 백신이 10초라는 시간에 1,000개 파일에 접근하는 동작을 모니터링한다고 가정하자. 랜섬웨어 개발자들은 10초가 아닌 10분 동안 접근하게 만들어 감지를 피하고 있다. 이런 사례가 증가하고 있다”고 말했다. 이렇게 암호화 시간을 장시간으로 분산해 연장될 때 초래되는 큰 위험 중 하나는 백업 파일도 암호화될 수 있다는 것이다.

2. 무작위로 암호화한다
랜섬웨어 개발자들이 사용하고 있는 또 다른 방법은 암호화 및 덮어쓰기 프로세스의 ‘무작위화(임의화)’이다. 이런 방법으로 일관적인 패턴을 찾는 랜섬웨어 방지 도구의 감지를 피한다.

3. 이메일이 아닌 파일로 랜섬웨어를 침입시킨다
지금까지 랜섬웨어 전달에 가장 많이 사용된 방법은 이메일의 악성 링크였다. 그런데 의심이 드는 이메일 링크를 클릭하지 말라는 기업의 사용자 교육이 강화되면서, 일부 랜섬웨어 해커들이 그동안 애용했던 전술을 바꾸기 시작했다. 링크 대신 PDF와 마이크로소프트 워드 같은 문서 첨부 파일, 기타 많이 사용하는 첨부 파일을 사용하는 것이다. 이런 첨부 문서에는 랜섬웨어를 실행시키는 스크립트가 숨겨져 있다.

랜섬웨어 방지 제품을 판매하고 있는 사이버사이트(CyberSight)의 COO 하이더 라바니는 “일반적인 PDF 파일이나 JPEG 사진 파일에 환경에 랜섬웨어를 침입시키는 스크립트가 숨겨진 사례가 늘고 있다. ‘청구서’나 ‘사진’을 위장한 파일이 첨부된 메시지들이다. 이 경우, 많은 사용자가 해당 파일을 클릭해 연다”고 지적했다.

4. 하드 드라이브 코드를 암호화한다
지금까지 설명한 것보다 지독한 방법이 있다. 일부 해커들은 파일이 아닌 하드 드라이브 코드를 표적으로 공격한다. 바솔뮤는 “하드 드라이브 마스터 부트 레코드를 공격하는 사례를 확인했다. 하드 드라이브의 '입구’다. 마스터 부트 레코드를 감염시키면, 전체 파일을 암호화하지 않고도 하드 드라이브를 ‘인질’로 잡을 수 있다”고 설명했다.

5. 다형성 코드를 사용한다
다형성(Polymorphic) 코드를 사용하면 랜섬웨어를 감지하기가 어려워진다. 바솔뮤는 “악성코드가 설치된 인스턴스마다 코드가 바뀐 후 다시 확산된다. 통계적으로 랜섬웨어 파일을 감지하기 어려워진다”고 설명했다.

라바니는 다형성 코드는 15~20초마다 코드가 바뀌며, 이것이 감지를 어렵게 만든다고 말했다. 그는 “랜섬웨어의 서명을 확인하면, 이를 저지하기 쉬워진다. 그러나 코드가 계속 변하면 새 랜섬웨어처럼 보이고, 이 경우 저지하기 어려워진다”고 전했다.
 


6. 멀티-스레드 공격을 사용한다
일반적인 랜섬웨어 공격은 암호화를 실행시키는 프로세스가 하나이다. 그러나 멀티-스레드 랜섬웨어의 경우, 주 랜섬웨어 코드가 여러 ‘자녀’ 프로세스를 실행시킨다. 이 경우, 암호화 프로세스의 속도가 빨라지고, 감지 및 저지가 어려워진다. 라바니는 “1~2개는 막을 수 있을지 모르지만, 다른 프로세스가 계속 실행되어 피해를 유발한다. 병행 공격을 저지하기란 매우 어렵다”고 강조했다.

더 심각한 상황도 있다. 멀티-스레드 공격에 다형성 코드가 결합한 형태의 공격이다. 그는 “프로세서와 메모리가 급속도로 압도당하고, 모든 것이 빠르게 나빠진다”고 설명했다.
  

2018.04.03

11가지 형태로 진화하는 랜섬웨어, 대응 방법은?

Michael Nadeau | CSO

랜섬웨어 감지∙복구 툴과 기법이 점점 더 발전하고 있다. 그러나 랜섬웨어 개발자도 진화하고 있다. 이들은 랜섬웨어 감지뿐 아니라 암호로 잠근 파일 복구도 더 어렵게 만들고 있다.



그동안 랜섬웨어 대응에서 유리한 점 하나는 예측할 수 있었다는 것이다. 일관되게 동작했기 때문이다. 그래서 보안 도구와 보안 팀이 랜섬웨어를 감지한 후 피해를 최소화할 기회를 줬다. 그런데 랜섬웨어 개발자가 랜섬웨어를 예측하기 더 어렵게 만들고 있다는 신호가 나타나기 시작했다.

카스퍼스키랩 GReAT의 수석 보안 연구원인 브라이언 바솔뮤는 “랜섬웨어는 궁극적으로 단 한 가지 ‘일’을 한다. 파일 시스템을 덮어쓰거나 잠그는 ‘일’이다”고 말했다. 이렇게 데이터를 덮어쓰거나 잠그는 일관된 동작 덕분에 랜섬웨어를 쉽게 감지할 수 있었다. 바솔뮤는 “시스템의 파일을 리스트라고 가정하면, 랜섬웨어는 이 리스트로 이동한 후 모든 것을 암호로 잠그기 시작한다”고 설명했다.

그런데 해커들이 더 똑똑해졌다. 감지를 피하고자 랜섬웨어의 예측 가능한 속성을 바꾸려 하고 있다. 이런 새로운 속임수 가운데 일부를 소개한다.

1. 암호화 프로세스의 속도를 늦춘다
바솔뮤는 “일부 랜섬웨어 개발자들은 랜섬웨어가 한 번에 동작하지 않도록 만들고 있다. 동작을 분산시킨다. 장시간 동작이 발생한다”고 설명했다. 감지 도구의 ‘기준선’ 아래에서 동작하도록 만드는 것이다. 바솔뮤는 “바이러스 백신이 10초라는 시간에 1,000개 파일에 접근하는 동작을 모니터링한다고 가정하자. 랜섬웨어 개발자들은 10초가 아닌 10분 동안 접근하게 만들어 감지를 피하고 있다. 이런 사례가 증가하고 있다”고 말했다. 이렇게 암호화 시간을 장시간으로 분산해 연장될 때 초래되는 큰 위험 중 하나는 백업 파일도 암호화될 수 있다는 것이다.

2. 무작위로 암호화한다
랜섬웨어 개발자들이 사용하고 있는 또 다른 방법은 암호화 및 덮어쓰기 프로세스의 ‘무작위화(임의화)’이다. 이런 방법으로 일관적인 패턴을 찾는 랜섬웨어 방지 도구의 감지를 피한다.

3. 이메일이 아닌 파일로 랜섬웨어를 침입시킨다
지금까지 랜섬웨어 전달에 가장 많이 사용된 방법은 이메일의 악성 링크였다. 그런데 의심이 드는 이메일 링크를 클릭하지 말라는 기업의 사용자 교육이 강화되면서, 일부 랜섬웨어 해커들이 그동안 애용했던 전술을 바꾸기 시작했다. 링크 대신 PDF와 마이크로소프트 워드 같은 문서 첨부 파일, 기타 많이 사용하는 첨부 파일을 사용하는 것이다. 이런 첨부 문서에는 랜섬웨어를 실행시키는 스크립트가 숨겨져 있다.

랜섬웨어 방지 제품을 판매하고 있는 사이버사이트(CyberSight)의 COO 하이더 라바니는 “일반적인 PDF 파일이나 JPEG 사진 파일에 환경에 랜섬웨어를 침입시키는 스크립트가 숨겨진 사례가 늘고 있다. ‘청구서’나 ‘사진’을 위장한 파일이 첨부된 메시지들이다. 이 경우, 많은 사용자가 해당 파일을 클릭해 연다”고 지적했다.

4. 하드 드라이브 코드를 암호화한다
지금까지 설명한 것보다 지독한 방법이 있다. 일부 해커들은 파일이 아닌 하드 드라이브 코드를 표적으로 공격한다. 바솔뮤는 “하드 드라이브 마스터 부트 레코드를 공격하는 사례를 확인했다. 하드 드라이브의 '입구’다. 마스터 부트 레코드를 감염시키면, 전체 파일을 암호화하지 않고도 하드 드라이브를 ‘인질’로 잡을 수 있다”고 설명했다.

5. 다형성 코드를 사용한다
다형성(Polymorphic) 코드를 사용하면 랜섬웨어를 감지하기가 어려워진다. 바솔뮤는 “악성코드가 설치된 인스턴스마다 코드가 바뀐 후 다시 확산된다. 통계적으로 랜섬웨어 파일을 감지하기 어려워진다”고 설명했다.

라바니는 다형성 코드는 15~20초마다 코드가 바뀌며, 이것이 감지를 어렵게 만든다고 말했다. 그는 “랜섬웨어의 서명을 확인하면, 이를 저지하기 쉬워진다. 그러나 코드가 계속 변하면 새 랜섬웨어처럼 보이고, 이 경우 저지하기 어려워진다”고 전했다.
 


6. 멀티-스레드 공격을 사용한다
일반적인 랜섬웨어 공격은 암호화를 실행시키는 프로세스가 하나이다. 그러나 멀티-스레드 랜섬웨어의 경우, 주 랜섬웨어 코드가 여러 ‘자녀’ 프로세스를 실행시킨다. 이 경우, 암호화 프로세스의 속도가 빨라지고, 감지 및 저지가 어려워진다. 라바니는 “1~2개는 막을 수 있을지 모르지만, 다른 프로세스가 계속 실행되어 피해를 유발한다. 병행 공격을 저지하기란 매우 어렵다”고 강조했다.

더 심각한 상황도 있다. 멀티-스레드 공격에 다형성 코드가 결합한 형태의 공격이다. 그는 “프로세서와 메모리가 급속도로 압도당하고, 모든 것이 빠르게 나빠진다”고 설명했다.
  

X