ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 자바스크립트 랜섬웨어
    카테고리 없음 2016. 6. 24. 14:21
    반응형



    최근 랜섬웨어가 연일 화제로 피해자도 계속 생겨나고 있다. 랜섬웨어는 맬웨어 중에서도 가장 악독한 유형으로 개인 금융정보, 대체 불가능한 사진, 중요 업무문서 등 모든 중요 데이터를 순식간에 접근 불능을 만들어 버린다. 랜섬웨어에 감염된 데이터는 아예 사라지지도 않고 그냥 암호화된 채로 남아 있으며 사용자는 이를 복호화할 수 있는 키가 없기 때문에 손을 쓸 도리가 없다. 최근에는 자바스크립트를 통해 실행되는 랜섬웨어까지 등장했다.

     

    사실 랜섬웨어는 1980년대 후반 AIDS 트로이목마를 시작으로 20년 넘게 존재해 왔지만 최근 몇 년에 걸쳐 큰 위협으로 급격히 부상하는 한편 훨씬 정교해졌다. 랜섬웨어에는 두 가지 기본유형이 있는데 컴퓨터잠금 랜섬웨어는 시스템 전체를 접근 불능으로 만들어 사용자의 로그온을 막으며 현재 대세인 암호화 랜섬웨어는 시스템을 건드리지는 않지만 데이터파일을 암호화해 버린다.

     

    상당수 바이러스 등 맬웨어가 단순한 흥미 목적으로 배포되는 데 비해 랜섬웨어 공격은 금전적 수익을 목적으로 한다. 랜섬웨어는 피해자의 파일을 인질삼아 주로 비트코인의 형태로 금전지급을 요구한다. 이에 응해 돈을 지불할 경우 데이터가 복구되기도 하지만 돈을 받은 자들이 약속을 어기고 잠적해 버리기도 한다. 랜섬웨어는 개인과 회사 모두를 대상으로 하며 병원의 경우 환자진료에 중요한 개인정보를 담은 파일이 많으며 따라서 랜섬웨어 감염시 막대한 액수의 소송에 휘말리기보다는 비용이 덜 드는 금원지급을 선택할 가능성이 높다는 점 때문에 최근 공격자들이 즐겨 찾는 표적이 되고 있다.

     

     

    랜섬웨어 공격경로

     

    랜섬웨어가 컴퓨터에 침투할 수 있는 방식은 여러 가지다. 이메일 첨부물이 가장 흔한 방식이며 최근까지는 MS워드 문서의 매크로가 감염에 많이 쓰이는 방법이었으나 이로 인해 수많은 컴퓨터 사용자들이 매크로를 해제하고 이제 워드에서도 매크로 기능이 기본적으로 해제된 만큼 랜섬웨어 제작자들은 새로운 공격수법을 찾아야 하는 상황이 됐다. 그 결과 최신이자 최악의 악성소프트웨어라 할 수 있는 자바스크립트 랜섬웨어가 등장하게 된다.

     

    앞서 언급한 이메일은 여전히 랜섬웨어의 주된 배포수단이며 이 때 자바스크립트 첨부물이 무해한 텍스트파일로 위장된다. 윈도 운영체제에서는 기본적으로 파일확장자가 생략돼 있기 때문에 예를 들어 myfile.txt라는 이름의 파일은 사용자에게 그냥 myfile.txt로 보이게 된다. 사용자가 메모장으로 열리는 단순한 문서를 예상하고 해당 파일을 클릭하면 스크립트가 실행되어 맬웨어 감염과정이 개시된다. 경우에 따라서는 맬웨어가 텍스트편집기에서 미끼 파일을 열어 사용자가 초기에 문제를 알아채지 못하도록 할 수도 있다.

     

    자바스크립트 랜섬웨어의 최신버전은 RAA 또는 JS/Ransom-DLL이라고 하며 이전 버전보다 훨씬 지능화됐다. 로키(Locky) 랜섬웨어처럼 스크립트 실행을 통해 서버에 접속하여 랜섬웨어 실행프로그램을 다운받는 방식이 아니라 자바스크립트 자체가 랜섬웨어로써 웹브라우저 외부의 윈도 스크립팅호스트(Windows Scripting Host, WSH)에서 실행되며 따라서 브라우저에서 실행되는 스크립트처럼 샌드박스 방식의 차폐가 불가능하다.

     

    RAA는 서버에 접속하여 피해자 파일을 암호화할 키를 받아야 한다. 이 암호화키는 피해자별로 고유한 값을 가지는 임의의 AES 키며 따라서 몇몇 초창기 랜섬웨어와 달리 피해자 하나가 돈을 지불하고 복호화키를 얻는다 해도 이를 다른 피해자의 파일을 복구하는 데 사용할 수 없다. 맬웨어는 파일이 모두 암호화되고 나서야 정체를 드러내며 README 파일을 통해 피해자에게 감염 경과를 설명하고 복호화를 위해 돈을 보낼 방법을 알린다. 현재 파일 복구비용은 파일 건당 250달러 정도라고 한다.

     

    이 때 금전을 지급할지 여부는 피해 파일의 기밀취급정도, 백업 유무, 금액의 규모, 지급가능성, 업무마비나 소송과 같이 지급을 거절했을 경우의 후속문제 등을 토대로 개인 또는 업무에 따라 달라질 수 있다. 하지만 돈을 지불하고 파일을 복호화한다 해도 추가 맬웨어가 남아있지 않은지 확실히 해야 한다. RAA의 경우 피해자 암호를 탈취하도록 설계된 또 다른 트로이목마를 설치한다는 보고가 있다. 이런 식으로 공격이 끊이지 않을 염려가 있기 때문에 랜섬웨어 감염이 있고 나면 시스템을 완전히 포맷한 다음 운영체제를 재설치하는 방법을 권장한다.

     

     

    자바스크립트 랜섬웨어 방지방법

     

    <참고: 랜섬웨어 차단 AVG 안티바이러스 비즈니스에디션>


    다행히도 랜섬웨어 감염이 발생하기 전이라면 이를 예방할 수 있는 방법이 있다. 우선 윈도 운영체제에서 파일확장자가 보이도록 설정해야 한다. 윈도 파일탐색기(File Explorer) 상단의 보기(View) 항목에서 파일확장자(File name extensions) 체크박스를 선택하면 된다. 또한 대부분의 이메일 클라이언트가 메시지 내부에서의 자바스크립트 실행을 차단하기 때문에 자바스크립트 첨부물을 열지 않는 이상 안전을 유지할 수 있다. 사용자들은 첨부물에 대해 확실히 알지 않는 이상 이를 열지 않도록 교육을 받고 습관이 돼야 한다.

     

    또한 실시간 백업을 생성하고 주기적으로 백업을 오프라인 위치에 보관하도록 해야 한다. 맬웨어는 자기가 도달하지 못하는 곳에는 영향을 끼칠 수 없기 때문이다. 이렇게 백업대책이 있다면 랜섬웨어 감염이 발생할 경우 돈을 지불하고 나서도 맬웨어를 염려하여 시스템을 포맷해야 할 필요 없이 단순히 시스템을 포맷하고 나서 백업을 통해 데이터를 복구하면 된다.

     

    그리고 스크립트를 차단하는 방법도 있다. 윈도의 파일실행(file association) 기능을 통해 자바스크립트 파일을 WSH에서 실행시키지 않고 메모장을 통해 안전한 텍스트파일로 실행하도록 설정할 수 있다. 이 설정은 운영체제 버전에 따라 달라지는데 웹에서 자신이 사용하는 윈도 버전에 따라 파일실행 방식을 변경하는 방법을 검색하면 된다. 아울러 매크로 자동실행도 차단해야 하며 워드 최신버전의 경우 매크로 자동실행이 기본적으로 차단됐기 때문에 이를 그대로 두면 된다.

     

    또한 운영체제와 어플리케이션의 보안패치 등 업데이트를 항상 최신으로 유지하며 맬웨어방지 소프트웨어를 사용하고 그 솔루션의 지표(definition) 정보도 최신으로 유지해야 한다.

     

     


    Debra Littlejohn Shinder, Ransomware takes it to the next level: Javascript, 6. 23. 2016.

    http://www.gfi.com/blog/ransomware-takes-it-to-the-next-level-javascript/

     

    번역요약: madfox




    참고링크 


    <유료안티바이러스 제품소개>

    반응형

    댓글

Designed by Tistory.