케르베르 (Cerber) 랜섬웨어 변종 치료 백신 동영상

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.10.10 18:09 / 카테고리 : 랜섬웨어 예방 솔루션



케르베르(Cerber) 랜섬웨어 변종 출현

2016년 3월에 처음 등장하고 유명해진 랜섬웨어인 케르베르 랜섬웨어(Cerber Ransomware)의 변종이 나타났습니다. 




이번에 발견된 변종 Cerber 랜섬웨어는 파일을 암호화 한후에 텍스트 음성 변환(TTS) 기능을 활용하여 여성의 목소리로 암호화 사실을 출력하는 특징을 지닌 랜섬웨어로써 별명이 '말하는 랜섬웨어'라고 알려져 있습니다. 


우선적으로 기존에 유포된 Cerber 랜섬웨어는 총 3종의 암호화된 파일 패턴을 가지고, 스팸 메일에 첨부된 스크립트 파일 또는 웹사이트 접속 시에 취약점을 공격하는 방식으로 감염하는 특징을 가지고 있었습니다. 


하지만, 최근에는 10월에 접어든 이후부터 4자리의 랜덤한 확장명 패턴으로 파일을 암호화하는 변종으로 진화하였습니다. 해당 방식으로 최초 감염이 이루어지게 되면 디도스(DDoS) 공격을 시도하는 것으로 알려져 있습니다. 


이후에는 특정 명령어를 통해서 시스템 복원을 하지 못하도록 파일을 삭제처리 한 후에 프라인 암호화 형태로 파일 암호화를 수행하는 것으로 나타났습니다. 


랜섬웨어의 파일 암호화가 완료 되면, 바탕화면 배경 그림을 강제로 변경하고 TTS (텍스트 음성 변환) 기능을 이용해서 암호화 사실을 음성으로 알려주게 됩니다. 



[이미지 출처 : 울지 않는 벌새 블로그 : http://hummingbird.tistory.com/6477]



다행스럽게도 한글 워드문서(*.hwp)가 암호화 타겟이 아니기 때문에 우리나라를 집중적으로 타겟한 랜섬웨어는 아닌 것으로 판명 되었습니다.


이러한 신종과 변종 랜섬웨어는 기존 시그니처 방식 랜섬웨어 백신& 솔루션으로를 막을 수 없습니다!




변종 랜섬웨어 탐지, 차단, 백업 통합 솔루션 "Appcheck"

아이마켓코리아에서 유통하는 랜섬웨어 통합 보안 솔루션인 앱체크는 엔진의 업데이트 없이 변종 및 신종 랜섬웨어를 탐지하고 차단하며, 고객의 소중한 파일은 백업하는 기능을 전부 포함하고 있습니다. 





Cerber 랜섬웨어([Random 파일명].[4자리 Random 확장명]) 차단 영상

AppCheck 안티랜섬웨어 제품이 (Random 파일명).(4자리 Random 확장명) 파일 형태로 암호화를 수행하는 Cerber 랜섬웨어 변종 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.



  • 유포 방식 : 웹사이트 접속 시 취약점(Exploit)을 이용한 자동 감염

  • 파일 정보(MD5) : 7c2c729c1ce1edb4ffc094da20440997

  • 대표 진단명 : Ransomer.LZF (AVG), Win32/Filecoder.Cerber.B (ESET)

  • 변경 파일 확장명 : (Random 파일명).(4자리 Random 확장명) (※ 예시 : .8ce2 / .9ca1 / .ba99)

  • 랜섬웨어 결제 안내 파일명 : README.hta

  • 특징 : 오프라인 암호화(Offline Encryption), 31.184.234.0 ~ 31.184.234.255 / 31.184.235.0 ~ 31.184.235.255 UDP 통신, 텍스트 음성 변환(TTS) 기능을 이용한 암호화 안내, 바탕 화면 배경(C:\Users\%UserName%\AppData\Local\Temp\tmp[Random].bmp) 변경



이는 상황인식 기반의 랜섬웨어 탐지 기술 기반의 캅(CARB)엔진을 탑재하였기 때문에 가능한 일입니다. 

실제적으로 자체 테스트 결과, CARB 엔진은 3개월간 업데이트가 없이 30종의 신종 랜섬웨어 중 27개를 사전 방어에 성공하여 90%의 사전 방어율을 보여주고 있었습니다. 





타사의 랜섬웨어 솔루션은 시그니쳐 방식을 기반으로 하고 있으며, 시그니쳐 방식은 엔진 업데이트를 통해서 신종과 변종을 구별할 수 있는 구조입니다. 위 실험의 결과롤 볼때, 타 랜섬웨어 솔루션이 앱체크와 같은 성능을 보여주려면 엔진 업데이트를 400회 이상 진행해야 합니다. 


상황 인식 기반 랜섬웨어 탐지 기술은 랜섬웨어의 소스를 분석하여 탐지하는 것이 아니고, 파일의 변조 시점에 정상적인 변경과 악의적인 변경을 판단하여 랜섬웨어의 침입 여부를 판단합니다. 이런 구조로 인해서 별도의 업데이트가 반드시 필요한 시그니쳐 방식의 랜섬웨어와는 달리 업데이트 없이도 신종과 변종의 랜섬웨어를 탐지할 수 있는 것입니다. 



파일은 기본적으로 아래와 같은 구조로 되어 있습니다. 파일 헤더의 변경 부분과 파일 본문의 구조, 그리고 파일 업데이트 및 이름 변경 등의 다양한 감시 포인트가 존재합니다. 


CARB 엔진의 상황 인식 기반 탐지 기술은 이 세부적인 요소들을 집중적으로 감시하여 랜섬웨어의 존재여부를 탐지하기 때문에 더 정확하고 신종/변종을 가리지 않는 것입니다. 




앱체크 (AppCheck)는 상황 인식 기반의 행위 탐지 기술로 파일 변조 시점의 상황을 판단하여 전후 시점을 파악하기 때문에 기존의 솔루션에서 불가능하였던 파일의 변화를 실시간으로 분석하는 기술로 알려지지 않는 랜섬웨어의 탐지가 가능합니다.


그리고, 일반적으로 많이 사용하는 컴퓨터 바이러스 백신, APT 방어 솔루션, 백업 및 복구 솔루션과 파일 서버, 문서 중앙화 솔루션이 하지 못하는 대부분의 기능을 소화하고 있습니다. 




랜섬웨어 통합 보안 솔루션인 앱체크 프로에 대한 도입 문의 및 견적 문의는 하단에 있는 아이마켓코리아 담당자에게 연락주시기 바랍니다.

invalid-file




(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/08   »
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

방문자 통계

  • 전체 : 361,297
  • 오늘 : 56
  • 어제 : 53
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.