[다크트레이스] 진화하는 갠드크랩 랜섬웨어, 인공지능 보안 솔루션으로 방어

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.25 19:00 / 카테고리 : 차세대 위협감지 - 다크트레이스


갠드크랩(GandCrab) 랜섬웨어는 지난해부터 현재까지 전 세계의 PC 사용자들을 가장 많이 괴롭혀온 악성코드입니다. 진화를 많이 거치고 있는 랜섬웨어이기에, 대응이 쉽지 않고 피해도 큰 것이 특징입니다. 


갠드크랩 랜섬웨어는 공개키 방식으로 파일을 암호화는 특징이 있으며 주로 스팸메일과 익스플로잇 킷을 통해서 전파되었습니다. 파일 확장자는 [.crab]을 가지고 있습니다. 


버전 업그레이드를 통해서 꾸준히 진화하는 갠드트랩 랜섬웨어를 알아보고 대처할 수 있는 보안 솔루션에 대한 소개를 하겠습니다.


GandCrab v1

2018년 1월에 러시아 해킹 커뮤니티에서 발견되었습니다. 



GandCrab v2

2018년 3월에는 발견되었으며. 일부 내용이 변경되었지만 전체적인 동작과정은 거의 동일하였습니다. 이후에 4월에는 v2.1이 등장하였으며, 저작권 관련한 경고 문구를 삽입하여 실행을 유도하는 방법으로 사용되었습니다. 


또한, APT 기법에도 많이 활용되어 입사지원서로 위장하거나 웹사이트에 기생하는 방식으로 배포되는 등의 다양한 변종이 등장하였습니다. 


GandCrab v3

2018년 5월에는 버전 3이 등장하였으며, 이동식디스크를 통해서 유포되어 좀비PC를 양산하고 암호화폐인 Monero를 강제로 채굴하게 하는 등의 경제적 이득을 취하는 형태로 변형되었습니다. 


또한, 피고 소환장 통지서, 저작권 관련 위반 경고 관련 내용으로 위장하여 많은 클릭을 이끌어 내어 감염사례도 폭증하였습니다. 


GandCrab v4

2018년 7월에는 확장자가 [.krab]으로 변경된 변종이 등장하였으며, 암호화 알고리즘도 Salsa20으로 변경되었습니다. 이것도 입사지원서나 특정 웹사이트에 기생하는 형식, 그리고, 공정거래위원회를 사칭한 APT 공격의 형태로도 배포가 되었습니다.


GandCrab v5

2018년 9월에는 랜덤 확장자와 HTML 랜섬노트를 사용하는 버전 5가 발견되었습니다. 확장자도 5자리의 랜덤한 확장자로 변경되었으며, 안내문도 한글로 이루어져 있다는 특징이 있습니다. 


10월에는 5.05 버전으로 업데이트되어 기존의 복호화 툴로도 복구가 완전히 불가능한 신종변종이 등장하였습니다. 한 백신업체가 5버전 복호화 툴을 개발하였지만 바로 복호화가 불가능한 버전이 나온 것입니다. 



이외에도 5버전 부터 변종이 등장하면서 기존 백신, 복호화 툴로는 막을 수 없는 상황에 이르렀습니다.


이렇게 랜섬웨어와 같이 기업에 막대한 피해를 입히는 악성코드들은 지속적으로 버전업이 되거나 변종이 계속적으로 나오게 됩니다. 기존의 시그니처, 룰 기반으로 안티바이러스나 랜섬웨어 솔루션으로는 피해사례가 발생한 후에나 조치가 가능합니다.


사이버 보안에 있어서 최고의 대응은 바로 사전예방입니다. 기존에 없던 악성코드나 변종은 새로운 방식의 방법으로 접근해야 합니다. 


엔드포인트 및 네트워크 등의 지속적인 감시를 통해서 24시간 인공지능이 감시하고 분석하고 분류하는 방식의 머신러닝 기법을 통해서 안전한 방어가 가능합니다.  



Enterprise Immune System DarkTrace(기업 면역 체계 다크트레이스)

다크트레이스는 실시간으로 사어버 위협을 탐지 하고 차단할 수 있는 인공지능 기반의 머신러닝 보안 솔루션입니다. 실시간 위협 탐지 및 대응이 가능하며 머신러닝 및 AI를 기반으로 설계되었기 때문에 규직이나 사용자 인증이 필요 없습니다.




다크트레이스의 Enterprise Immune System은 사이버 보안을 위한 세계 최고의 인공지능형 머신 러닝 기술입니다. 이 새로운 기술은 정교한 사이버 위협이 퍼져 있는 보안 취약의 시대에 맞도록, 인간 면역 체계의 자가 학습 인텔리전스를 응용하여 자체적인 보안 기술을 근본적으로 변화시켰습니다.


인간의 면역 체계는 놀랍도록 복잡하며, 끊임없이 돌연변이를 일으키는 바이러스 DNA와 같은 새로운 형태의 위협에 지속적으로 대응합니다. 신체의 정상 상태를 학습하고 정상 패턴에 맞지 않는 이상 요소를 식별해 무력화합니다. 



Darktrace는 이와 동일한 원리를 엔터프라이즈 및 산업용 환경에 적용합니다. 머신 러닝과 AI 알고리즘을 기반으로 한 Enterprise Immune System 기술은 네트워크 상의 모든 디바이스 및 사용자 고유의 '행위 패턴'을 반복적으로 파악하고, 다른 방식으로는 탐지하기 어려운 새로운 위협을 식별하기 위해 이러한 세부 정보의 상관성을 분석합니다. 


인간의 면역 체계와 마찬가지로 Enterprise Immune System은 위협이나 활동 패턴의 잠재적 위협 가능성을 파악하기 위해 이를 사전에 경험할 필요가 없습니다. 사전 지식이나 사용자 인증 없이 자동으로 동작하며, 네트워크 내에서 탐지하기 어려운 은밀한 공격을 실시간으로 탐지하고 차단합니다.




다크트레이스는 다양한 시스템과의 통합이 가능하며, 예방과 대응이 가능합니다.



인공지능 및 머신 러닝을 통해서 조직의 기본 구조를 자동으로 파악합니다.

인공지능(AI) 및 머신 러닝은 사이버 보안 업계에 막대한 가능성을 제시하고 있습니다. 오늘날 새로운 머신 러닝 방식은 처리할 수 있는 컴퓨팅 기반 분석의 양이 광범위하기 때문에, 위협 탐지의 정확성을 대폭 개선하고 네트워크 가시성을 향상시킬 수 있습니다. 또한, 새로운 자율 대응의 시대를 예고합니다. 즉 컴퓨터 시스템은 실시간으로 위협을 차단하는 방식과 시점을 효율적으로 파악할 수 있습니다. 


Darktrace는 처음부터 과거 공격과 관련된 데이터로 미래에 일어날 공격을 예측할 수 있다는 가정을 받아들이지 않았습니다. 그 대신 Darktrace의 사이버 AI 플랫폼은 자율 학습 (Unsupervised) 방식의 머신 러닝을 사용해 확장 가능한 네트워크 데이터를 분석하고, 확인된 증거를 바탕으로 확률에 기반해 수십 억 번의 계산을 수행합니다. 이는 과거 위협에 대한 지식에 의존하는 대신, 데이터를 독립적으로 분류하고 눈에 띄는 패턴을 탐지합니다. 


Darktrace가 자랑하는 세계 최고의 사이버 AI는 전세계 수 천 개 조직이 모든 종류의 위협을 식별하고 이에 대응할 수 있도록 하며, '정상' 행위에서 벗어나 주의가 필요한 비정상 상태를 강조합니다. 이는 오늘날 기업에서 사용되는 것 중 가장 정확하고 확장성이 뛰어나며 가장 잘 입증된 인공지능 플랫폼으로 꼽히고 있습니다.



왜 다크트레이스(DarkTrace) 인가요?

날로 정교해지는 사이버 공격은 이제 기존 보안 솔루션으로 탐지하고 분석하는데 한계가 있습니다. 또한, 방대한 네트워크의 흐름 속에서 무엇을 보아야 하는지에 대한 어려움이 존재합니다. 다크트레이스는 머신러닝 기반의 이상행위 탐지 솔루션으로 이러한 고민을 해결해 드립니다.


다크트레이스 사이버 인텔리전스 플랫폼


다크트레이스의 주요 기능 소개

  • 대상 네트워크 환경에 대한 자동 분석 및 350가지의 학습 기준 추출

  • 스스로 머신러닝을 통해서 정상행위 모델을 수립하고 지속적으로 발전

  • 유기적인 이상행위 감지 및 250개 이상의 위협으로 자동 분류합니다.

  • 통신내역의 시계열 분석을 통해서, 보안사고 원인을 파악하고 대응하고 지원합니다.


다크트레이스 도입 효과

  • 악성으로 의심되는 행위를 자동 추출함으로서 효과적인 분석 수행 가능

  • 시그니처 기반의 보안솔루션에서 탐지불가한 이상행위에 대한 탐지가 가능

  • 머신러닝 엔진으로 자동 학습을 통한 탐지율 자동 향상

  • 다양한 네트워크 트래픽에서 의심스러운 분석대상 실시간 탐지로, 악성코드, APT 위협 대응 강화


다크트레이스 탐지 효과

  • 수상한 웹사이트에 접속 및 파일 다운로드 감시 및 차단

  • 기업용 랜섬웨어의 내부 확산 방지

  • 업로드 시간, 용량, 패턴의 변화 탐지

  • 미허용 자산의 갑작스러운 통신 감지



다크트레이스 주요 모델별 스펙




한눈에 모든 것을 파악 가능한 Darktrace Threat Visualizer

Threat Visualizer는 Darktrace의 실시간 3D 위협 알림 인터페이스입니다. Threat Visualizer는 위협 알림을 표시하고 네트워크의 일상적인 활동에 대한 개요를 시각적으로 제공합니다. 이는 사용하기 쉬울 뿐만 아니라, 보안 전문가와 회사 경영진 모두가 이용할 수 있습니다. 


Threat Visualizer 사용자 인터페이스(UI)최첨단 시각화 기술을 이용해 분석팀에 중요 사고 및 위협을 자동으로 알려, 분석팀이 사전대응적으로 인프라의 특정 영역을 조사할 수 있도록 합니다.




100% 가시성

시각화 기술은 경영진에게 회사 네트워크의 전체적인 개요를 제공하여, 기술 전문가와 경영진의 효율적인 커뮤니케이션을 통한 의사 결정이 가능합니다. 


경영진은 네트워크 환경에 대한 인식과 이해도를 높이고 경영상의 의사결정 능력을 개선해, 보안 문제를 수월하게 감독할 수 있습니다.



다크트레이스는 전세계 70개국, 3750개 레퍼런스를 보유하고 있는 검증 받은 보안 솔루션입니다.




기업의 가장 큰 위협인 랜섬웨어 예방, 다크트레이스의 네트워크 및 엔드포인트 감시 및 탐지로 안전하게 보호하시기 바랍니다. 제품 구입 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 안내해드립니다.




(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[맥스패트롤] 치명적인 MS Office 취약점, 어떻게 진단하고 예방할까요?

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.25 08:00 / 카테고리 : 보안취약점 진단 - 맥스패트롤



중국의 한 보안업체에서 자체 조사한 결과, 지난해에 중국에서 가장 널러 퍼진 정보보안 취약점은 아래와 같다고 발표하였습니다. 


△CVE-2018-0802 △CVE-2018-4878 △CVE-2018-8174 △CVE-2018-8414 △CVE-2018-8120 △CVE-2018-4990 △CVE-2018-4903 △CVE-2018-4993 △CVE-2018-8440 △CVE-2018-15982



그 중에서도 크로소프트 오피스 관련 취약점인 CVE-2017-11882 은 수식 편집기 프로그램에서 출현한 또 하나의 취약점으로 가장 많이 악용된 것으로 나타났습니다.



이 공격방법은 사용자 컴퓨터를 악성코드가 들어있는 오피스 파일, 웹페이지, 스팸 메일 등을 열게하고 취약점을 촉발합니다. 이 취약점은 폰트 명칭 길이에 대해 검사를 진행하지 않기 때문에 공격자는 악의적인 폰트명을 만들어서 임의 코드를 실행 할 수 있습니다. 


또한, 이터널 블루라는 취약점에 경우에는 마이크로소프트 윈도우의 SMB 서비스를 이용한 공격방법입니다. 원격 공격자는 특제된 데이터 패킷 발송을 통해서 취약점을 촉발시키고, 이 취약점을 통해서 코드를 실행합니다. 



이 취약점은 예전에 유행하였던 워너크라이(WannaCry) 랜섬웨어를 만드는데 이용되었습니다. 이 밖에도 Satan, Lucky 랜섬웨어도 이터널 블루 취약점을 기반으로 만들어진 공격기법입니다. 위의 결과에서 보듯 취약점 관리가 기업 보안에 매우 중요함을 알 수 있습니다.







맥스패트롤(MaxPatrol)은 Agent 설치가 필요 없는 분석 방식과 시스템에 미치는 영향을 최소화하였기에 매우 가벼운 취약점 탐지 및 진단 솔루션입니다. 이 밖에도 계정관리 솔루션과 보안 이벤트 관리 시스템 등과의 유연한 연동이 가능합니다. 



또한, 침투테스트 → 감사 → 컴플라이언스 적용의 3단계 취약점 관리를 통해 CVE 기반 취약점 점검, CCE 기반 보안 규정 준수 점검까지 전부 한번에 처리가 가능합니다.


 CVE 기반 취약점 점검

 CCE 기반 보안규정 준수 점검

 침투테스트

감사

컴플라이언스 

 - 에이전트리스 블랙박스 기반 점검


 - 네트워크 취약점 스캐너 역할


 - 오픈 포트 및 웹 취약점 스캐닝


 - 서비스 및 애플리케이션 식별


 - 서비스 및 애플리케이션 취약점 스캐닝


 - 패스워드 조합 대입 테스트

 - 에이전트리스 화이트박스 기반 점검


 - 시스템 취약점 스캐너 역할


 - 대상 점검 시스템에 대한 접근 계정 및 권한 사용


 - 대상 점검 시스템에 대한 스캐닝 프로토콜 및 포트 사용


 - 소프트웨어 CVE 취약점 및 인벤토리 스캐닝 / 업데이트 체크

 - 에이전트리스 화이트박스 기반 점검


 - 시스템 보안설정 스캐너 역할


 - 대상 시스템에 대한 접근 계정 및 권한 사용


 - 대상 시스템에 대한 스캐닝 프로토콜 및 포트 사용


 - 기반시설 취약점관리 항목 및 글로벌 보안 설정 점검 항목 스캐닝


점검 기준 값의 유연한 설정 기능을 제공하기 때문에 내부 정책, 시스템 요구사항을 진단 결과 보고서를 통해 한번에 체크하고 적용할 수 있습니다. 



또한, 신속한 업데이트 제공으로 빠른 취약점 대응이 가능합니다. 





동적 스케쥴링 기능을 지원하여 스캔, 보고서 생성, 컴플라이언스 적용을 자동화 할 수 있습니다. 


  • AD에 등록된 호스트 자동으로 임포트 / 외부 데이터 임포트하여 스캔 진행

  • 보고서 생성 (스캔 후 또는 정기적)/ 스캔 결과 아카이빙

  • 취약점 삭제 모니터링/ 호스트 디스커버리/ 컴플라이언스 컨트롤(이행 점검)




커스터마이징 리포트 기능을 제공하여, 특정 커스텀 리포트를 생성하여 엑셀(EXCEL) 보고서 생성도 가능합니다. 




타사의 보안 시스템과 통합 방안을 제공하며, 기존에 구축된 다양 보안시스템과의 통합 연동을 지원합니다. 



기업의 취약점 방어는 사이버 보안에 있어서 가장 기초적이고 효과가 뛰어난 방법입니다. 취약점 사전 탐지 및 시스템 및 컴플라이언스 변경을 통해 안전한 기업 보안을 구축하는 것이 매우 중요합니다. 



맥스패트롤 솔루션을 통해서 보안취약점을 찾고 대처 할 수 있습니다. 도입 및 구매 문의는 아래의 아이마켓코리아 담당자에게 연락 주시면 친절하게 안내해 드립니다. 



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/02   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

방문자 통계

  • 전체 : 378,366
  • 오늘 : 21
  • 어제 : 393
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.