English | Join | Login | Contact us
랜섬웨어 감염 예방방법 5가지 SANS배너

지난 몇 주 동안은 랜섬웨어 공격속도가 급속히 증가하고 있습니다. 메인 뉴스에서조차 다양한 랜섬웨어 감염사실이 보고되고 있으며, 미국과 캐나다에서는 랜섬웨어에 대한 경고를 발표하고 있습니다. 여기서는 랜섬웨어 감염을 방지하기위해 몇 가지 간단한 도움말을 제공합니다.

  1. %AppData% 디렉토리에 있는 파일 실행 방지
  2. 시스템 완전 패치: Java, Shockwave, Flash 등
  3. 실행파일이 첨부파일로 있는 이메일 비활성화
  4. 강력한 백업 유지
  5. "백신" 사용

1. %AppData% 디렉토리에 있는 파일 실행 방지

일반적으로 대부분의 대규모 랜섬웨어 실행은 익스플로잇 킷 또는 스팸 엔진을 이용합니다. 두 가지 경우 모두, 익스플로잇 킷 또는 스팸 엔진을 실행하는 악성코드는 일반적인 윈도(%AppData%)의 다양한 임시 디렉토리에 있습니다. 그룹 정책 또는 보안 정책을 통해 이러한 디렉토리에 있는 2진 실행파일을 실행하지 못하도록 할 수 있습니다. 이 말은 사용자가 Invoice.exe를 더블 클릭하더라도 악성코드가 실행되지 않습니다. 이 것은 소프트웨어 제한정책(Software Restriction Policies)으로 가능하며, 자세한 설정방법은 이 블로그에 있습니다.

이렇게 하면 다른 종류의 악성코드가 실행되는 것도 예방할 수 있습니다.

그룹 정책 편집 방법 : https://technet.microsoft.com/en-us/library/cc736591(v=ws.10).aspx

2. 시스템 완전 패치: Java, Shockwave, Flash 등

익스플로잇 킷은 악성코드가 실행되기 위해서는 클라이언트 컴퓨터의 취약점을 이용합니다. 일반적으로 Java, Shockwave 및 Adobe Reader의 취약점과 관계있습니다. 많은 윈도 시스템은 현재 자동 윈도 업데이트하도록 설정되어 있습니다. Flash는 최근에 자동 업데이트로 통합되었습니다. 반드시 업데이트 만이 익스플로잇 킷 공격 성공을 방지할 수 있습니다. 종종 익스플로잇 킷이 제로데이 익스플로잇을 사용하지만, 흔한 경우는 아닙니다.

3. 실행파일이 첨부파일로 있는 이메일 비활성화

많은 랜섬웨어의 이메일은 실행파일을 첨부로 할용합니다. 이메일의 실행파일을 금지하면, 사용자가 수신하는 것을 방지할 수 있습니다. 또한 "이중 파일 확장명"이 포함 된 이메일을 잘 보시기 바랍니다. 일반적인 다른 속임수는 실행파일 또는 HTML 문서(실행 파일을 다운로드하기 위한 다른 속임수)가 포함된 zip 파일이 첨부된 것입니다. 사용자들에게 비정상적인 이메일을 찾아내도록 가르치고, 실행하지 않는 것이 중요합니다.

4. 강력한 백업 유지

마지막으로, 강력한 백업의 중요성입니다. 랜섬웨어에 감염되면, 조직에서는 선택할 수 있는 방법은 두 가지뿐입니다. 즉 백업에서 복원하거나, 몸값을 지불하는 것입니다. 백업을 사용할 수 있다면 번거로울 수 있지만, 데이터를 복구를 위해 엄청난 몸값을 지불하는 일은 없을 것입니다.

5. "백신" 사용

모든 랜섬웨어는 피해자의 컴퓨터가 여러 개의 키를 사용하여 암호화되어 있지 않은 지 확인하기 위해 몇 가지 메커니즘이 필요합니다. 전형적인 메커니즘은 레지스트리(또는 다른 아티팩트)에 공개키를 저장하는 것이며, 그래서 다음 감염(또는 동일한 악성 바이너리 실행하는 것)에서 처음 취득한 키만 사용합니다. 이러한 공격자 필요성을 무효화하거나 피해 컴퓨터를 복원할 수 있는 백신을 만드는 시도가 있었습니다. 이 방법을 사용하면 피해 컴퓨터가 가치가 있는 지 확인하기 위해 건별로 조사할 수 있도록 해줍니다.

-- John Bambenek

bambenek /at/ gmail /dot/ com

출처 : SANS 스톰센터 다이어리 / ITL시큐어인스티튜트

업데이트 일자: 2016년 4월 8일

최근 트위터 @ITLKorea
사이버보안 표준자료
CWE/SANS 가장 위험한 25大 소프트웨어 오류
효과적인 사이버 방어를 위한 20개 핵심 통제항목
자동차ISAC 사이버보안 모범사례
NICE 프레임워크
포켓 참고가이드
벤더
스폰서쉽
파트너쉽
연락
공지사항
문의
채용정보
공인강사지원
English
| 개인정보 취급 방침 | 통신판매업신고번호 : 제2010-경기성남-0367호 | ⓒ2011 - 2019 ITL Secure Institute, All Rights Reserved.
본 사이트에 게재되어 있는 회사명, 단체명, 제품명은 각 회사 및 단체의 등록상표입니다.