- Support
- Hotline Articles
- 2016
- 랜섬웨어 재확산 주의보
랜섬웨어 재확산 주의보
등록일 : 2016-03-18
최근 다시 새로운 랜섬웨어가 감염사례가 급증하고 있습니다.
현재 이슈가 되고 있는 랜섬웨어는 JS_NEMUCOD 패밀리와, JS_LOCKY 종류로 최근 국내에서 급속하게 확산이 되고 있습니다.
감염 프로세스는 아래 그림과 같이, 메일을 통하여, 첨부된 압축 파일에 포함된 JS 파일을 실행 시 외부 C&C 서버와
통신하여, 추가 악성 코드를 다운받아 활동을 합니다.
이때 사용자는 위장된 일반 문서가 실행되기 때문에 감염 사실을 알 수가 없습니다.
이 같은 감염 사례를 분석한 결과, 다양한 변종파일을 지속적으로 생성하여, 백신에서는 패턴이 없기 때문에 최초 유입시 탐지를 하지 못하고 있는 것으로 확인되었습니다.
현재 사용하고 있는 트렌드마이크로의 APT 대응 솔루션 DDI 의 경우, 최신 버전을 사용시 랜섬웨어에 특화된 검색 필터를 지원합니다.
이를 통하여, 사내 네트워크가 랜섬웨어에 감염되었을 경우 감염 가시성을 지원합니다.
만약 패턴이 없는 랜섬웨어라도 외부로 C&C 통신 시도시 탐지를 합니다.
현재 사용하고 트렌드마이크로의 APT 대응 솔루션 DDAN 의 경우 Sandbox 분석을 통해, 신종 랜섬웨어를 검출합니다. 악성코드가 감염되어, 최초 외부 C&C 와 통신하여, 추가 악성코드를 다운 시도를 하는 것을 탐지합니다.
랜섬웨어가 실행되어, 문서를 암호화하기 위한 행위를 분석 제공합니다.
이 때, Sandbox 설정이 외부통신이 Disable 되어 있으며는 해당 파일은 NoRisk 로 나올것입니다.
Norisk 로 나오는 이유는 JS 파일이 외부 통신을 해서 추가적인 악성 행위가 이루어져야 하는데, 추가 행위가 이루어지기기 않는 것이 가장 큰 이유입니다.
DDAN 을 운영하시는 담당자분들에게서는 이 같은 점을 숙지 부탁드립니다.