Test the Bitdefender products

이동

비트디펜더2016 제품의 랜섬웨어 차단 방법

2015-12-16
비트디펜더 2016 제품의 랜섬웨어 차단 원리와 랜섬웨어 동작 방식에 대해 알아봅니다.

비트디펜더2016 제품의 랜섬웨어 차단 방법

2015-12-16
안녕하세요. 
비트디펜더 2016 제품의 랜섬웨어 차단 원리와 랜섬웨어의 감염 경로에 대해 간략히 알아봅니다.

대부분의 악성코드가 그렇지만 랜섬웨어 감염 경로와 활동 내역은 다음과 같습니다.

1. 해커가 취약한 웹 페이지를 해킹하여 익스플로잇 코드가 삽인된 스크립트 파일 업로드
2. 사용자가 해킹된 웹 페이지 접속 시 타겟 PC에 취약점이 존재하는 경우 랜섬웨어 실행 악성코드 파일 다운로드 
3. 다운로드된 파일이 자동실행 되어 사용자 PC의 문서, 사진 파일을 찾아 비대칭키로 암호화 완료 후 숙주 파일을 찾을 수 없도록 자가 삭제

위의 랜섬웨어의 감염과 활동에 대해 비트디펜더 2016 제품은 아래와 같이 3가지 단계로 랜섬웨어를 차단합니다.

* 1번 단계에서의 비트디펜더 2016 차단 방법: 웹 보호->안티 피싱, 안티 멀웨어 -> HTTP 트래픽 감시
* 2번 단계에서의 비트디펜더 2016 차단 방법: 안티 멀웨어 -> 실시간 감시기 (악성코드 패턴이 있는 경우만 탐지),
  Active Threat Control (악성코드 패턴이 없어도 랜섬웨어의 행위를 추적하여 99.9% 탐지)   

1번과 2번 단계에서 악성코드가 우회 코드를 통해 탐지를 회피하는 경우, 최종적으로 개입하는 기능이 비트디펜더 랜섬웨어 프로텍션입니다.

랜섬웨어가 실질적으로 사용자에게 피해를 주는 부분이 비대칭키를 통한 암호화이기 때문에 비트디펜더 랜섬웨어 프로텍션 기능은 악성코드의 암호화 시도 자체를 방어하는 개념입니다.
원리는 'Folder Access Control' 을 베이스로 하고 있으며 사용자가 지정한 폴더에 유해한 프로세스가 접근하여 파일 쓰기 행위를 시도하는 경우, 사용자에게 경고하고 해당 프로세스에 대한 접근 및 허용 여부를 아래의 그림과 같이 선택할 수 있도록 해줍니다.



사용자가 허용을 허락하지 않는 경우, 랜섬웨어의 암호화 시도가 중단되며, 사용자 파일을 안전하게 보호할 수 있습니다. 

비트디펜더 2016 제품으로 알려지거나 알려지지 않은 랜섬웨어로부터 귀중한 파일을 항상 보호하시기 바랍니다.



Close
read more

리눅스 랜섬웨어 데뷔가 예측 가능한 암호화 키 때문에 실패

2015-11-13
Linux.Encoder.1는 윈도우에 있던 CryptoWall, TorLocker 및 악명 높던 다른 랜섬웨어와 거의 유사한 행동을 보이고 있는 최초의 리눅스 랜섬웨어입니다. 비트디펜더는 랜섬웨어에 감염된 파일을 자동으로 원본 상태로로 대체하는 복호화 툴을 업계 최초로 무료로 배포하고 있습니다.

리눅스 랜섬웨어 데뷔가 예측 가능한 암호화 키 때문에 실패

2015-11-13
암호화된 그 키를 추측할 수 있다면 RSA를 크랙할 필요가 없습니다.
동작 방식은?
Linux.Encoder.1은 침투한 리눅스에서 잘 알려진 마젠토 컨텐츠 시스템 관리 앱을 통해 유입된 후원격으로 실행됩니다. 일단 실행된 후에는 트로이목마 바이러스는 /home, /root 및 /var/lib/mysql 폴더를 찾고서 거기에 있는 컨텐츠를 암호화 합니다. 정확히 윈도우에 있던 랜섬바이러스와 똑같이 실행하며, 시스템에 리소스에 부하를 주지 않은 상태로 충분한 속도와 강도를 유지하며 작동하는 시메트릭 키 암호화 알고리즘인 AES를 사용해서 암호화 합니다. 해당 시메트릭 키(symmetric key)는 어시매트릭 암호화 알고리즘(RSA)으로 암호화되고 AES를 사용한 초기화 매개체를 파일에 덧붙이게 됩니다.

비트디펜더는 랜섬웨어에 감염된 파일을 자동으로 원본 상태로로 대체하는 복호화 툴을 업계 최초로 배포하고 있습니다.



작업의 복잡도를 감안할 때, 저희는 조력이 필요한 누구든지 무료로 지원을 제공합니다. 그냥 아래 폼에 코멘트를 달아서 보내주면 저희는 최선을 다해 도와드릴 것입니다.

만약 여러분의 시스템이 감염증세를 보인다면, 위기일발 상황으로 간주해주십시오. 대부분의 암호화 랜섬웨어 조작자들은 여러분이 돈을 지불할 때까지 데이터가 암호화 되어있게 하기 위해서 키가 생성되는 방법에 집중할 것입니다. 위에서 언급한 바와 같은 실수는 엄청나게 운이 좋은 경우 이고 매우 드문 경우 입니다. 다음 번에는 면밀한 주의를 기울이기 바랍니다.
절대로 루트유저로서 완전히 믿지 못하는 어플리케이션을 실행하지 마세요. 이러한 기반 위에 여러분의 감염된 장비 또는 데이터를 운영하지 마세요. 이것이야 말로 가장 큰 보안 위험입니다.
백업을 빨리, 자주하세요. 만약 여러분의 컴퓨터가 랜섬웨어의 피해을 입었다면,  복호화 비용을 내는 것 보다는 이전의 백업으로부터 감염된 파일을 리스토어하는 것이 가장 좋습니다. 랜섬웨어를 이용해서 돈을 버는 자들에게 쉽게 돈을 주는 것은 더 강력한 트로이목마를 만드는 시간을 벌어주는 것입니다. 그들이 돈을 덜 벌수록, 랜섬웨어 개발에 흥미를 잃게 될 것입니다.
만약 여러분의 리눅스가 조직내의 네트워크라면, 여러분은 비트디펜더의 그래비티존과 같은 보안 솔루션을 설치하려고 할 것입니다. 안티멀웨어 솔루션은 이런 종류의 위협이 비가역적으로 파일을 암호화하여 마음대로 하기 전에 차단을 할 것입니다.
복호화 유틸리티는 비트디펜더의 암호 전문가 Radu Caragea의 적극적인 도움으로 가능합니다. 또한 비트디펜더의 여러 안티멀웨어 개발자들에게 감사의 뜻을 표합니다.




Close
read more

Y세대는 인터넷 서핑을 할 때 무엇을 최우선 순위로 생각 생각할까요?

2015-08-27
10대~20대인 Y세대는 온라인 서핑을 하는 동안 보안 및 개인 정보 보호를 가장 중요하게 생각한다는 리서치 결과가 나왔습니다.

Y세대는 인터넷 서핑을 할 때 무엇을 최우선 순위로 생각 생각할까요?

2015-08-27
Refuel Agency의 연구 결과에 따르면, Y세대 구성원은 보안 및 개인 정보 보호가 웹페이지의 페이지 로딩 속도, 사용자 편의성 또는 소셜 통합 기능 보다 더 중요하다고 응답했습니다.

설문에 참여한 응답자의 70 %가 웹 보안을, 68%가 개인 정보 보호가 중요하다 응답했으며, 웹 페이지의 로딩 속도와 사용자 친화적인 기능은 세 번째와 네 번째로 뒤를 이었습니다.

그리고 마지막으로 사용자 편의 기능과 소셜 통합 기능이 각각 37% 와 21% 였습니다.



웹 서핑 만으로도 악의적이거나 잠재적으로 위험한 프로그램(PUA)이 실행되거나 다운로드 될 수 있다는 사실을 Y 세대는 잘 알고 있는 것 같습니다.

Close
read more

어도비가 이탈리아 해킹팀이 이용했던 제로-데이를 패치하다.

2015-07-31
최근 이탈리아 해킹팀 본사의 해킹 자료 누출에서 밝혀진 Flash Player의 제로-데이 취약점에 대해 어도비사가 해결책을 내놓았습니다. 이 익스플로잇은 이미 많은 사람들에게 악용되었던 것으로 알려졌습니다.

어도비가 이탈리아 해킹팀이 이용했던 제로-데이를 패치하다.

2015-07-31
최근 이탈리아 해킹팀 본사의 해킹 자료 누출에서 밝혀진 Flash Player의 제로-데이 취약점에 대해 어도비사가 해결책을 내놓았습니다. 이 익스플로잇은 이미 많은 사람들에게 악용되었던 것으로 알려졌습니다.
 
이번 주에 일부 해커들이 이탈리아 개발회사인 해킹팀이 보관하고 있던 데이터 400 GB를 해킹해 공개했습니다. 여기에는 내부 문서, 이메일, 파워포인트 소개자료 등이 포함되어 있었습니다. 
 
이들은 해킹팀 내부에 침투하기 위해서 CVE-2015-5119로 알려진 심각한 취약점을 이용했는데 이것은 Flash의 18.0.0.194 버전과 그 이전 버전에 존재하는 use-after-free 취약점입니다.
 
불법 사이트들에서 발견할 수 있는 Neutrino Exploit Kit, Angler Exploit Kit 그리고 Nuclear Exploit Kit과 같은 익스플로잇 킷에 제로-데이가 심어져 있었던 것으로 보입니다.
 
그럼, 어떻게 감염되는 걸까요?
 
이런 툴들은 감염된 서버에 있으면서 보통의 정상적인 웹 페이지처럼 보여줍니다. 그러다가 사용자가 어느 페이지에 들어오는 순간 사용자의 브라우저가 검색당하고 특정한 형태의 컨텐츠가 크래쉬에 이용되는 겁니다. 크래쉬 후에는 사용자의 의사와 상관없이 페이로드가 실행되고 컴퓨터는 이제 서서히 감염되는 겁니다.
 
익스플로잇은 이메일 첨부 파일, 감염된 사이트, 사회 공학적 형태로 가장하여 들어옵니다. 이것이 의미하는 바는 사용자에 의해 일단 실행되고나면, 이것이 사이버범죄자들이 시스템을 접수하거나, 데이터를 훔쳐내거나 소프트웨어들이 전혀 작동하지 못하게 한다는 겁니다.
 
그래서, 사용자들은 윈도우, 리눅스, 맥 시스템을 항상 최신의 어도비 플래쉬 버전으로 업데이트하는 것이 중요합니다. 하지만, 멀웨어를 퍼뜨리는 이러한 취약점을 이용하는 사이트나 이메일 첨부에서 하지 말고 이런 업데이트는 꼭 어도비의 공식 사이트에서 해야만 합니다.


Close
read more

Google Play에 이전 보다 훨씬 공격적인 새로운 안드로이드 애드웨어 등장

2015-07-06
비트디펜더가 Google Play에서 공격적인 애드웨어를 장착한 앱 10개를 발견했는데 이 애드웨어들은 스케어웨어 메시지를 이용하여 프리미엄 번호에 사용자를 가입시키거나 훨씬 더 많은 광고를 집어넣은 추가 앱들을 설치하도록 합니다.

Google Play에 이전 보다 훨씬 공격적인 새로운 안드로이드 애드웨어 등장

2015-07-06

비트디펜더가 Google Play에서 공격적인 애드웨어를 장착한 앱 10개를 발견했는데 이 애드웨어들은 스케어웨어 메시지를 이용하여 프리미엄 번호에 사용자를 가입시키거나 훨씬 더 많은 광고를 집어넣은 추가 앱들을 설치하도록 합니다.

이런 앱들(“What is my ip?”) 앱을 포함해 아직도Google Play에 올라와 있음)은 한 번 설치가 되면 사용자가 찾아내서 삭제하기 무척 어렵게 하도록 다른 이름을 사용하도록 설계되었습니다.

설치되고 나면, “System Manager”라는 바로가기를 만듭니다. 브라우저가 다른 데로 가버리고 스케어웨어 메시지의 원인이 이런 종류의 앱이라는 것을 알아챈다 하더라도 Application Manager 메뉴에서 찾아서 삭제하는 것이 쉽지 않은데 이상한 새로운 이름으로 숨어 있지 예를 들면, “What is my ip?” 이렇게는 숨어 있지 않기 때문입니다. IT 기술 지식이 적은 사람이라면 지쳐 나가떨어질 것이고 앱은 계속 남아서 영원히 작동할 것입니다.





이런 앱들이 구글의 검열에서 벗어나는 이유는 아마 사용자들을 다른 데로 보내는데 사용하는 URL이 악성 .apk 파일을 퍼뜨리지 않기 때문일 겁니다. 이 앱들의 목적은 브라우저(안드로이드 네이티브 브라우저, 크롬, 파이어팍스, 페이스북 또는 타이니브라우저)에서 특별히 만들어진 URL로 보내서 이 광고 사이트에서 또 다른 광고 사이트로 사용자들을 계속 옮겨 다니게 하는 것입니다.





프리미엄 번호에 가입하게(보안을 강화하기 위한 목적으로 위장하여) 하거나 아니면 시스템이나 성능 업데이트를 가장하여 더 많은 애드웨어를 설치하도록 속임수를 쓰는 지극히 사용자 지역에 맞는 광고를 보여주는 웹페이지(http://www.mobilsitelerim.com/anasayfa)로 사용자를 리다이렉션 시킵니다.






이런 악의적인 앱들은 두 가지 승인(네트워크 통신과 시스템 툴)을 필요로 하지만 여전히 골칫거리이며 사용자들을 유혹해 디바이스-잠금 앱과 애드웨어를 다운로드하게 합니다.

그 자체가 악의적인 것은 아닐지라도 제 3자에게 민감한 사용자 정보를 공개함으로써 컴퓨터에서 발견되는 공격적인 애드웨어와 닮아 있습니다. 팝업, 리다이렉션 광고를 막는 것은 사용자들을 짜증나게 하고 안드로 이드 기기의 성능에 심각한 손상을 줍니다.





지난 수 년간 앱속의 광고와 애드웨어 SDK에서 시작해 브라우저 리다이렉션과 합법적인 이름을 가장하고 스타트업에서 은밀하게 동작하는 앱으로까지 공격적인 애드웨어는 위험한 속도로 발전해 왔습니다.

이 글을 쓰는 순간에도 일부 앱들은 여전히Google Play에 올라와 있습니다. 우리가 탐지한 것으로Android.Trojan.HiddenApp.E이 있습니다. 그래서 여러분 모두에게 강력히 권하는데 보안솔루션을 설치해서 멀웨어와 공격적인 애드웨어를 탐지해내고 여러분의 안드로이드 기기에서 퇴출시키도록 하십시오.

Samples md5:

f2d57300d5f991dbc965ac092d5f4301 - com.alm.alm
c1d7afa5c4eb0b8e3c0292eadf98771e - com.tr.dum.dum
16967bea7d3dcb08c12220925ef6f030 - com.est.hk
cb9d3ff0eea162dd602eefe7b08ded49 - com.est.esteban
dbc99ba3241f943cc9e58870f0e40b34 - com.brer.brer
51bc232de9af3f34a58d824da86a70bc - com.tr.ipp
996c4a1525729466d87edf85cbbdf5de - com.who.myip.detect
6f37bd3c286440e37103ee8b67aca7d6 - com.tf.fed
47b863625a8022399247fc92c4d5d178 - com.esc.escd
e1ccb51569635415e66af16cbdd94ddc - com.esc.escde

이 글은 비트디펜더 연구원인 알린 바바타이의 기술 문서에 근거해 작성되었습니다

 





Close
read more