상단여백
HOME 오피니언 전문가 컬럼
APT에 대한 오해와 진실, 그리고 랜섬웨어...
jamie | 승인2016.01.18 13:13

시장에서 여러 업체들에 의해서 잘못 알려지거나 과장된 정보로 인하여 지능형 위협(APT, 랜섬웨어 등)에 대한 올바는 정보의 공유가 어렵습니다. 오히려 보안 담당자에게 혼선과 우려만 키우고 있는 상황을 보이고 있어서 아래와 같이 확인해 보았습니다.

APT에 대한 잘못된 오해와 진실
1. 실시간으로 사전 차단이 불가능하다.
2. 지능형 위협과 랜섬웨어 그리고 APT는 다르다.
3. APT 전용 장비와 랜섬웨어 전용 장비가 별도로 존재한다.
4. 포인트 솔루션으로 대응할 수 있다.
5. 샌드박스로 탐지가 가능하다.
6. APT는 무조건 새롭다.

용어 정리
1. 악성 코드 : Malicious code로 웹 페이지에 삽입되어 취약점 공격 등의 다양한 위협이 숨겨진 웹사이트로 리다이렉션에 사용
2. Malware(멀웨어) : 악성 파일로 콜홈 통신을 지속해서 수행하여 명령을 수행하는 공격의 매개체
3. 멀웨어 종류 : 하드디스크에 상주하는 파일이 존재하는 멀웨어와 메모리에 상주하는 파일이 없는 멀웨어로 구분 

아래는 알려진 취약점을 이용한 랜섬웨어 사례입니다.

2015년 이른 크리스마스의 취약점 공격(CVE-2015-8446) 선물과 랜섬웨어(CryptoWall 4.0)의 투하
http://blogs.websense.com/security-labs/early-christmas-present-exploits-cve-2015-8664-and-drops-cryptowall-40

원치 않는 크리스마스 선물과 함께 무료 크리스마스 선물을 제공하는 웹사이트를 찾아냈습니다. christmas-graphics-plus[.]com 웹 사이트에 악의적 코드가 삽입되어 있어서 사용자를 가상의 썰매에 태우고 Angler 취약점 공격 도구로 인도하고 CrytoWall 4.0 랜섬웨어를 투하합니다. 만약 여러분이 이곳에 접속한다면, 여러분의 모든 문서는 암호화되고 이를 인질로 잡고 몸값을 요구할 것입니다. 만약 연하장 또는 신년 인사 등에 필요한 주소가 포함되었다면, 정말 난감할 것입니다.

랜섬웨어 공격 단계별 분석 :
• 2 단계 (유인) – 감염 웹사이트에 삽입된 Malicious code(악성 코드)
• 3 단계 (리디렉션) – 준비된 웹사이트로의 악의적 리디렉션.
• 4 단계 (취약점 공격) – 사용자 PC에 대한 Angler 취약점 공격
• 6 단계 (콜홈) - CryptoWall 4.0 명령 및 제어 (C & C) 트래픽

- 감염 웹사이트
• 무료 크리스마스 그래픽을 제공하는 유명한 웹사이트인 christmas-graphics-plus[.]com에 대한 공격으로 해당 웹사이트를 감염.

 
• 2015년 11월 6일에 감염되었으며 사용자의 접속이 크리스마스에 가까워져 오면서 얼마나 많이 증가했는지 확인할 수 있습니다. (아래의 그래프 참조). 이 공격으로 최대 6만 명의 희생자가 표적이 되었습니다.

 
• 사용자에게 더 많은 Malicious code(악성 코드)를 전송해야 하는지 여부를 결정하는 악의적 트래픽 지휘 시스템 (TDS)에 이르게 하는 HTML iframe이 삽입된 사이트입니다. 이것을 결정하는 요인은 다음과 같습니다 : 브라우저 사용자 에이전트, IP 주소와 참조 웹 사이트 등. 처음 보는 IP 주소에서 Internet Explorer를 사용하는 사람은 좋은 표적으로 간주합니다. 그러나 구글 크롬에서 검색하는 사용자는 표적에서 모두 제외될 수 있습니다.

- Exploit Kit & CryptoWall 4.0
• 백그라운드에서 공격의 동작 원리

 
• iFrame이 Angler 취약점 공격을 위한 랜딩 페이지(landing page)로 사용자를 보내는 TDS로 유도합니다. 이 랜딩 페이지는 어떠한 취약점이 우리의 시스템에 존재하는지 확인하고 이러한 취약점 중 하나를 대상으로 공격을 결정합니다. 이 경우, 우리의 시스템에서 악용된 유일한 취약점은 우리의 의도적으로 오래된 어도비 Flash Player 버전 19.0.0.245이었습니다. 이 취약점(CVE-2015-8446)는 전 세계에서 사용된 최신의 Flash Player 취약점 공격으로 최근 Kafeine의 블로그에서 보고되었습니다.
• 일단 Flash Player 취약점 공격이 성공적으로 시스템에 발판을 마련하면 Angler FK 서버에서 CryptoWall 4.0 랜섬웨어를 다운로드합니다. 이 랜섬웨어는 CryptoWall 멀웨어(이전 버전은 3.0)의 최신 버전으로 파일 이름을 무작위로 변경할 뿐 아니라 이제 컴퓨터에 있는 문서 대부분을 암호화합니다. 파일을 암호화한 후, 암호를 푸는 대가로 500 달러를 지급하도록 요청 받았습니다.
 

• 물론 우리는 중요한 파일이 없는 가상 환경에서 Malware(멀웨어)를 실행했기 때문에 몸값을 지급하지 않았고 게다가, 이미 크리스마스 선물을 사는데 모든 돈을 사용했습니다.

- 요약
• 공격자는 휴일과 특별 행사 기간 인기 있는 웹사이트를 선별하여 감염시킬 만큼 점점 지능화 되고 있습니다. 소프트웨어에 대한 적절한 보호 또는 업데이트 없이 백그라운드에서 발생하고 사용자 상호 작용이 필요 없는 이런 종류의 공격에 특히 취약한 상태로 남게 됩니다. 소프트웨어가 항상 최신의 상태를 유지하고 있는지 확인하시기 바랍니다.


출처 : RAYTHEON|WEBSENSE

 

jamie  tmvlem@aisecuritynews.com

<저작권자 © 보안24, 무단 전재 및 재배포 금지>

jamie의 다른기사 보기
icon인기기사
여백
내리고
신화시스템
로고
징코스테크놀러지
회사소개기사제보광고안내불편신고개인정보취급방침청소년보호정책이메일무단수집거부
사업자명 : 보안24  |  서울특별시 금천구 디지털로9길 46,(이앤씨드림타워 7차, 408호)  |  대표전화 : 0507-1456-1987 |  대표이메일 : tmvlem@gmail.com
제호 : 보안24 |  등록번호 : 서울 아05301 |  사업자 번호 : 198-88-01018 |  신문등록년월일 : 2018년 7월 13일 |  대표자 : 박윤재  |  발행인ㆍ편집인 : 박윤재  |  청소년보호책임자 :박윤재
Copyright © 2020 보안24. All rights reserved.
Back to Top