SOFT SOFT - DREAM INFOMATION TECHNOLOGY (23years anniversary celebration)

공지사항
제목 랜섬웨어 유포 방식이 다변화되고 있어 각별한 주의 필요
작성자 관리자 작성일 16.07.07 19:50 조회 4709

 

 

랜섬웨어 유포 방식이 다변화되고 있어 각별한 주의 필요

 

 

신종 랜섬웨어 유포 기법들이 하루가 다르게 진화하고 있으며, 케르베르(Cerber) 랜섬웨어 유포에 활용된 JSE 스크립트 파일 기법에 이어, Locky(락키) 랜섬웨어 유포에 DOCM 형태의 매크로 문서 파일이 추가 도입됐다고 밝히면서, 각별한 주의가 필요한 상황이라 강조 드립니다.

 

 

DOCM 파일이 첨부된 랜섬웨어 유포 화면 (제공:이스트소프트)

 

랜섬웨어 유포 초기에는 전통적으로 실행파일(exe, scr) 형태가 이용됐고, 이후에는 마치 문서파일(doc, pdf) 처럼 위장하거나, 이메일 첨부파일에 매크로(doc, xls)와 자바스크립트(js) 등을 압축해 보안제품 우회 목적 형태로 확대되었습니다.

 

그 이후에는 보안취약점을 이용한 각종 익스플로잇 킷(EK)과 광고 서버를 해킹해 악용하는 멀버타이징(Malvertising) 기법을 결합해 불특정다수를 노린 드라이브 바이 다운로드(DBD) 기법이 도입된 바 있습니다.

 

락키(locky) 랜섬웨어의 경우 해외에서 온 금융(Finance), 송장(Invoice), 결제(Payment), 계약(Contract) 등을 사칭한 doc, xls 문서를 이용해 해외 업체와 거래하는 기업 담당자들이 현혹되고, 실행하도록 유도합니다.

 

첨부파일에는 악의적 코드로 작성된 매크로를 포함시켜 랜섬웨어 다운로드 및 작동을 하게 만듭니다.

첨부파일에 JSE 스크립트를 포함시켜 케르베르(Cerber) 랜섬웨어를 은밀히 다운로드하는 방식의 변종도 지난 3일 국내에 유입되어 이스트소프트에서 소식을 배포한 바 있고, 07 05일에는 DOCM 매크로 파일 형태로 유포된 새로운 기법이 국내 유입된 것으로 최초 확인된 상태입니다.

 

▲ 랜섬웨어 유포 이메일에 첨부됐던 DOCM 악성파일 (제공:이스트소프트)

 

평소 MS오피스 문서 작업 빈도가 높은 경우 DOC(X) 파일은 익숙할 수 있지만, DOCM 확장명의 경우 다소 생소할 수 있다는 점과 보안제품들의 탐지 우회 등을 목적으로 랜섬웨어 공격에 활용한 것으로 보입니다.

 

DOCM 파일 실행 시 보여지는 매크로 경고 및 실행 유도 화면 (제공:이스트소프트)

 

DOCM 파일도 DOC(X) 문서 파일과 마찬가지로 실행 시 매크로 실행을 통해 랜섬웨어 유포 주소로 접근을 시도합니다. 다만, 보안 설정에 따라 경고 화면이 보여지고, 콘텐츠 사용 여부를 묻게 됩니다.

 

이 때 만약 콘텐츠 사용 버튼을 클릭해 실행할 경우 매크로 기능에 의해 랜섬웨어 유포 서버로 접속해 락키(Locky) 랜섬웨어가 이용자 컴퓨터에 몰래 설치되는 것입니다.

 

해당 랜섬웨어는 감염 이후 컴퓨터에 존재하는 각종 문서, 사진, 음원 등의 자료를 암호화하는 일반적인 랜섬웨어와 동일한 악성 행위를 수행합니다.

 

7 5일 기준 Locky(락키) 랜섬웨어 변종이 DOCM 첨부파일을 통해 국내에 유입된 것이 공식 확인된 상태이므로, 각별한 주의와 대비가 필요한 시점입니다.

 

이스트소프트 백신 프로그램 ‘알약(ALYac)’ 제품을 통해 테스트해 본 결과, 현재 알약 행위기반 랜섬웨어 차단기능을 활용할 경우 별도의 기능 설치 없이 락키(Locky), 크립트엑스엑스엑스(CryptXXX), 케르베르(Cerber) 등 국내에 주로 발견되고 있는 랜섬웨어를 완벽하게 차단할 수 있는 상태입니다.

 

▲ 국내 유입된 랜섬웨어 알약 행위기반 실제 차단 화면 (제공:이스트소프트)

 

신종 기법을 결합한 랜섬웨어 변종이 거의 매일 제작 유포되고 있어 개인과 기업 모두 각별한 주의가 필요하며, 자바스크립트(JS, JSE) 파일이나 MS오피스 (DOC, DOCX, DOCM, XLS, XLSX) 문서를 첨부한 이메일로 랜섬웨어가 퍼지고 있다는 점을 명심해야 합니다.

 

점점 고도화되는 랜섬웨어 위협들로부터 피해방지를 위해 ‘전국민 안심 보안 알약’에서

랜섬웨어를 성공적으로 차단하기 위한 점검 방법을 안내 드립니다.

 

Ø   점검 방법 1

랜섬웨어는 주로 이메일 첨부파일이나 SW취약점을 통하여 유포되기 때문에, 사용자 여러분들은 출처 불분명한 사용자에게서 수신된 이메일 첨부파일을 클릭하지 마시고, 자주 사용하는 SW를 항상 최신으로 유지해 주시기 바랍니다.

 

알약의 시스템보호 기능에서 ‘시스템 취약점 점검’과 ‘윈도우 보안 업데이트’를 사용하여 사전에 점검하세요.

 

 

Ø  점검 방법 2

기업용 알약의 경우 랜섬웨어 차단정책이 기본 OFF로 설정되어 있으며, 관리자가 ON으로 설정해 두셔야지만 랜섬웨어 차단기능이 활성화 됩니다.

※ 시스템관리 -> 기본설정 -> 시스템 호보 -> 랜섬웨어 차단 OFF/ON

 

 

Ø  점검 방법 3

랜섬웨어로부터 시스템보호가 잘 되었는지 이력을 확인할 수 있습니다.

※ 로그보기 -> 이벤트로그 -> 시스템보호

 

 

 

 

 

 

출처 : 이스트소프트