사이트 접속만으로 감염되는 ‘헤르메스’ · 2019-04-24 · 사이트 접속만으로 감염되는 ‘헤르메스’ 2018. 04. 10 월간 악성코드 분석 보고서

사이트 접속만으로 감염되는 ‘헤르메스’

2018. 04. 10

월간 악성코드 분석 보고서 (2018-04)

플래시 취약점을 악용해 사용자 시스템을 감염시키는 헤르메스 2.1을 분석한 보고서 입니다..

본 문서는 수산아이앤티 CERT에서 작성되었으며 연구 목적의 활용은 가능하나, 그 외 활용으로

인해 발생하는 문제에 대한 법적 책임은 당사자에 있음을 알려드립니다.

문의처: 기술 연구소 CERT 파트

([email protected] / [email protected] / [email protected])

ⓒ 2018 SOOSAN INT. All Rights Reserved.

수산INT 기술 연구소 (CERT)


1

목 차

1. 개요 ................................................................................................................................. 2

2. 선다운 익스플로잇에 의한 변조형 헤르메스 ......................................................... 3

2.1 헤르메스와 선다운 익스플로잇 ......................................................................................................... 3

2.2 헤르메스 공격 경로 및 증상 분석..................................................................................................... 4

3. 분석 사례 (헤르메스 2.1)............................................................................................ 6

3.1 분석 파일 정보 ........................................................................................................................................... 6

3.2 동적분석 .......................................................................................................................................................10

4. 대응방안 ....................................................................................................................... 15


2

1. 개 요

2018년 3월, 랜섬웨어 감염 사고를 접수했습니다. 감염의 경로와 내용을 살펴본 결과, 헤

르메스 (Hermes) 2.1에 감염된 것으로 확인했습니다. 헤르메스는 랜섬웨어 일종의 악성코

드로, 감염 시에 약 266만원 상당의 가상화폐를 요구합니다. 이번 버전인 2.1의 경우 선

다운 익스플로잇 킷 (Sundown Exploit Kit)을 이용하는 특징을 보였습니다.

헤르메스 2.1은 해당 익스플로잇을 활용해 플래시 취약점으로 알려진 CVE-2018-48781)을

악용해 시스템을 감염시키는 것으로 조사되었습니다. 저희 CERT팀은 헤르메스 2.1을 워

너크라이처럼 위협적인 것으로 평가했는데, 이유는 웹 사이트에만 접속해도 감염시키는

특징이 있기 때문입니다.

웹 사이트의 실행 엔진 중 일부는 플래시를 기반으로 동작을 하고 있습니다. 따라서 해

커는 CVE-2018-4878의 플래시 취약점을 가진 웹 사이트에 헤르메스 2.1을 삽입한 후에,

방문자가 자동으로 헤르메스 2.1에 감염되도록 유도하였습니다. 이러한 점을 고려하면,

헤르메스 2.1은 워너크라이2) 수준으로 위협적인 것으로도 평가할 수 있습니다.

더욱이 암호화시키는 파일 확장자 유형 수가 무려 5,700여 개에 달하기 때문에 피해 규

모는 워너크라이보다 매우 큽니다. 파일의 복구를 막는 행위도 관찰됐습니다. 이러한 이

유로, 저희 CERT 팀은 헤르메스 2.1을 이번 악성코드 분석 대상으로 선정했습니다.

본 보고서의 구성은 다음과 같습니다. 2장에서는 우선 헤르메스 이력과 선다운 익스플로

잇 킷의 특징을 다룹니다. 그런 다음 헤르메스 2.1의 공격 경로와 악성코드 위험성을 설

명합니다. 3장에서는 CERT팀에서 실제로 분석한 헤르메스 2.1을 설명합니다. 행위 분석

위주로 설명돼 있습니다. 끝으로 본 보고서를 마무리하면서, 수산INT의 CERT 팀이 제안

하는 랜섬웨어 3단계 대응체계를 제안합니다.

1) CVE (Common Vulnerabilities and Exposures)

- 공식적으로 알려진 취약점. 발행 연도와 순서를 고려해 번호를 매긴다.

2) 워너크라이 (WannaCry): 2017년에 발생한 랜섬웨어로 150여개국의 30만 여대 기기를 감염시켰다.


3

2. 선다운 익스플로잇에 의한 변조형 헤르메스

헤르메스 2.1은 기존 랜섬웨어인 헤르메스에서 선다운 익스플로잇이 결합된 신종 공격입

니다. 우선 헤르메스의 기존 버전과 선다운 익스플로잇에 대해 알아보도록 하겠습니다.

이후 헤르메스 2.1 공격 특성과 위험성도 살펴보겠습니다.

2.1 헤르메스와 선다운 익스플로잇

헤르메스는 2017년 10월 대만은행 (FEIB) 사이버 공격 사건에서 알려진 랜섬웨어 공격입

니다. 보안 전문가들은 북한 해킹 전문 집단인 라자루스 (Lazarus)가 개입한 것으로 추정

하고 있는데, 이번 공격으로 대만은행은 약 720억 원의 부정거래 손실을 입었습니다3 ).

해당 금액은 캄보디아, 스리랑카, 미국 등의 계좌로 이체되는 정황이 일부 포착되기도 했

습니다. 여기서 헤르메스는 부정 거래 조사를 방해하고자 활용됐는데, 당시에는 랜섬웨어

보다 시스템 파괴용 행위를 일으키는 악성코드에 가까웠습니다.

익스플로잇 킷은 목표 대상의 취약점을 노려서 악성코드 감염을 돕는 해킹 툴 입니다.

주로 사이트 취약점을 노리는 익스플로잇 킷이 많은데, 사이트에 악성코드를 심어서 사

이트 방문자를 노릴 때 이러한 해킹 툴을 사용합니다. 참고로 이러한 악성코드 배포 방

식을 ‘드라이브 바이 다운로드’라고 부릅니다.

헤르메스 2.1에 사용되는 선다운도 익스플로잇 킷의 일종으로 선다운의 경우 플래시 취

약점을 주로 노립니다. 해커는 선다운 익스플로잇 킷으로 사이트의 플래시 취약점을 악

용해 악성코드를 업로드 시킬 수 있습니다. 이러한 랜섬웨어 감염 방식은 헤르메스 2.1

이 최초 입니다. 2017년 12월에, 랜섬웨어 ‘매트릭스’ 또한 선다운을 활용해 드라이브 바

이 다운로드 방식으로 배포되는 것이 발견됐기 때문입니다. 따라서 일부 전문가는 매트

릭스와 헤르메스 2.1 공격자가 같을 것으로 추정하고 있습니다.

3) Bank Info Security (Oct. 9 2017), “Report: Malware-Wielding Hackers Hit Taiwanese Bank”,

https://www.bankinfosecurity.com/report-malware-wielding-hackers-hit-taiwanese-bank-a-10368.


4

2.2 헤르메스 공격 경로 및 증상 분석

아래 그림은 헤르메스 공격 경로 및 실행 내용을 도식화한 것입니다.

[그림 2-1] 헤르메스 2.1 공격 도식화

해커는 선다운 익스플로잇을 활용해 드라이브 바이 다운로드 방식으로 헤르메스 2.1에

감염되게 합니다. 웹 사이트의 플래시 취약점을 이용한 것으로 분석됐는데, 확인결과

CVE-2018-4878 취약점을 노렸습니다. CVE-2018-4878 4 )에 취약점은 어도비에서 개발한

플래시에서 발견된 것으로 20.0.0.137 이하 버전에만 있습니다. 따라서 해당 버전의 플래

시를 사용하고 있는 사이트는 해커에게 악용될 소지가 높으며, 이러한 사이트에 접속한

사용자는 헤르메스 2.1에 감염이 됩니다.

헤르메스 2.1을 상세히 분석한 결과, vssadmin5)의 쉐도우 파일 복사본6)을 삭제하는 행위

를 발견했습니다. 이는 랜섬웨어 걸렸을 때 파일 복구를 하지 못하게 막는 역할을 합니

다. 이후 헤르메스 2.1을 암호화 대상 파일 확장자를 찾아서 RSA와 AES로 파일 암호화

4) CVE-2018-4878: 어도비 플래시에서 원격코드 실행으로 이어질 수 있게 하는 취약점

5) vssadmin (Volume Shadow Copy): 쉐도우 파일 복사본을 모아두는 곳

6) 쉐도우 파일 복사본 (Shadow File Copy): 파일 복구를 위해 자동 및 수동으로 임시로 보관되고 있는 파일


5

를 시킵니다. 이로 인해 사용자는 파일을 열 수 없게 되고, 해커는 복호화 대가로 일정

금액을 요구합니다.

지금까지 헤르메스와 선다운 익스플로잇 킷을 살펴보았습니다. 아래와 같이 결론을 내렸

습니다.

1. 선다운 익스플로잇 킷은 플래시 취약점을 노리는 해킹 툴로 드라이브 바이 다운

로드 방식에 주로 활용돼, 확산력이 크다고 볼 수 있습니다.

2. 헤르메스는 랜섬웨어 공격으로 사용자의 가용성 측면을 위협할 수 있어, 중요 파

일을 다루는 기관에는 큰 위협이 되는 공격입니다.

3. 헤르메스 2.1은 기존 헤르메스와 선다운 익스플로잇 킷을 결합한 사이버 공격 캠

페인으로서, 워너크라이 수준의 랜섬웨어 공격으로 평가했습니다.


6

3. 분석 사례 (헤르메스 2.1)

수산INT의 CERT는 헤르메스 2.1 랜섬웨어를 분석했습니다. 분석 내용은 다음과 같습니다.

3.1 분석 파일 정보

분석 파일명은 “[임의로 지정 된 파일명].exe” 입니다. 해당 파일 해시 정보는 아래와 같

습니다.

- MD5: a45c1a696cc5e634c12c2a296966ecb7

- SHA-1: 92d2c2c5ae6d5af7e7723ff1c21c136d4f664daf

- SHA-256: 63f8eef075d1d96c4730bedf5039de9508b3805fbe7cffdcd08b61ea9ec101ed

표 3-1은 헤르메스 2.1이 사용한 API를 목록으로 정리한 것입니다. 그리고 표 3-2에서는

헤르메스 2.1 암호화 대상 확장자를 나열한 것입니다. 그리고 표 3-3에서는 복구 하지

못 하도록 어떠한 명령어를 실행해 방해하는지 나열했습니다.

[표 3-1] 헤르메스 2.1 API 사용 목록

Hermes 2.1 API 사용 목록

kernel32.dll LoadLibraryA GetModuleFileNameW

VirtualFree Wow64DisableWow64FsRedirection

FindFirstFileW SetFileAttributesA

FindNextFileW CopyFileW

GetModuleFileNameA DeleteFileW

Wow64RevertWow64FsRedirection ReadFile

SetFilePointer GetFileSize

CreateFileA GetVersionExW

VirtualAlloc GetFileAttributesW

CloseHandle GetFileAttributesA

GetWindowsDirectoryW FindClose

CreateDirectoryW WinExec

CreateFileW Sleep

WriteFile ExitProcess


7

CreateProcessW GetCurrentProcess

GetModuleHandleA GetLogicalDrives

CreateProcessA SetFileAttributesW

CopyFileA GetStartupInfoW

GetCommandLineW GetTickCount

FreeLibrary GetDriveTypeW

GlobalAlloc GetSystemDefaultLangID

mpr.dll WNetOpenEnumW

WNetEnumResourceW

WNetCloseEnum

advapi32.dll CryptEncrypt GetUserNameA

CryptDecrypt GetUserNameW

CryptGenKey RegOpenKeyExA

CryptDestroyKey RegOpenKeyExW

CryptExportKey RegQueryValueExA

CryptImportKey RegCloseKey

CryptDeriveKey RegDeleteValueW

CryptAcquireContextW RegSetValueExW

ole32.dll CoInitialize

CoCreateInstance

Shell32.dll ShellExecuteW

ShellExecuteA


8

[표 3-2] 헤르메스 2.1 암호화 대상 확장자 리스트

.tif.php.1cd.7z.cd.1cd.dbf.ai.arw.txt.doc.docm.docx.zip.rar.xlsx.xls.xlsb.xlsm.jpg.jpe.jpeg.bmp.db.eql.s

ql.adp.mdf.frm.mdb.odb.odm.odp.ods.dbc.frx.db2.dbs.pds.pdt.pdf.dt.cf.cfu.mxl.epf.kdbx.erf.vrp.grs.

geo.st.pff.mft.efd.3dm.3ds.rib.ma.max.lwo.lws.m3d.mb.obj.x.x3d.c4d.fbx.dgn.dwg.4db.4dl.4mp.abs.

adn.a3d.aft.ahd.alf.ask.awdb.azz.bdb.bib.bnd.bok.btr.bak.cdb.ckp.clkw.cma.crd.dad.daf.db3.dbk.dbt

.dbv.dbx.dcb.dct.dcx.ddl.df1.dmo.dnc.dp1.dqy.dsk.dsn.dta.dtsx.dxl.eco.ecx.edb.emd.fcd.fic.fid.fil.fm

5.fol.fp3.fp4.fp5.fp7.fpt.fzb.fzv.gdb.gwi.hdb.his.ib.idc.ihx.itdb.itw.jtx.kdb.lgc.maq.mdn.mdt.mrg.mud.

mwb.s3m.myd.ndf.ns2.ns3.ns4.nsf.nv2.nyf.oce.oqy.ora.orx.$$$.$01.$db.$efs.$er.__a.__b.{pb.~cw.~h

m.0.00.000.001.002.1.101.103.108.110.113.123.123c.123d.123dx.128.1cd.1pe.1ph.1sp.1st.256.264.2

d.2mg.3.32x.3d.3d2.3d4.3da.3dc.3dd.3df.3df8.3dl.3dm.3dmf.3dmk.3don.3dp.3dr.3ds.3dt.3dv.3dw.3

dx.3dxml.3fr.3g2.3ga.3gp.3gp2.3gpp.3gpp2.3me.3mm.3p2.3pe.3pr.3w.4db.4dd.4dl.4dv.4mp.4th.4w

7.555.602.60d.73b.73c.73l.787.7z.7zip.8.890.89t.89y.8ba.8bc.8be.8bf.8bi.8bi8.8bl.8bs.8bx.8by.8ld.8li.

8pbs.8st.8svx.8xg.8xk.8xs.8xt.8xv.9xt.9xy.a.av.a00.a01.a02.a1wish.a26.a2c.a2l.a2m.a2theme.a2w.a3l.

a3m.a3w.a4l.a4m.a4p.a4w.a52.a5l.a5rpt.a5w.a5wcmp.a65.a8s.aa.aa3.aac.aaf.aah.aam.aao.aaui.ab.ab

1.ab2.ab3.ab4.ab65.aba.abc.abcd.abdata.abf.abi.abk.abkprj.abp.abs.abt.abw.abx.aby.ac2.ac3.ac5.ac

6.aca.acbl.acc.accda.accdb.accdc.accde.accdr.accdt.accdu.accdw.accft.acd.ace.acf.acg.ach.aco.acp.a

cr.acrobatsecuritysettings.acrodata.acroplugin.acrypt.act.actm.actx.acv.acw.acx.ad.ada.adb.adblock.

adc.adcp.add.addin.addon.ade.adf.adi.adn.ado.adobebridge.adoc.ados.adox.adp.adpb.adpp.adr.ad

s.adt.adu.adv.advs.adx.adz.aea.aec.aep.aepx.aes.aet.aetx.aex.afd.afdesign.afe.aff.afm.afp.afs.aft.agb.

agd.agd1.agdl.age3rec.age3sav.age3scn.age3xrec.age3xsav.age3xscn.age3yrec.age3ysav.age3yscn.

agg.aggr.agi.agx.ahd.ahf.ahl.ahs.ahu.ai.aia.aif.aifb.aiff.aim.ain.aip.ais.ait.aiu.aiv.ajp.ak.al.al8.ala.alb.alb

3.alb4.alb5.alb6.alc.ald.ale.alf.ali.allet.alm.alp.alr.alt3.alt5.alv.alx.alz.am.am1.am4.am5.am6.am7.amb.

amc.amf.aml.amm.amp.amr.ams.amsorm.amt.amu.amv.amx.amxx.an.an1.an2.an8.ane.anim.animset

.animset_ingame.anl.anm.anme.ann.ans.ansr.ansym.anx.any.aof.aoi.aois.aom.ap.ap_.apa.apd.ape.ap

f.aph.api.apj.apk.apl.aplg.aplp.apnx.apo.app.applet.application.appref

Ms.approj.appx.appxsym.appxupload.apr.aps.apt.apw.apxl.apz.aqt.ar.arc.arch00.arcut.ard.arena.arf.a

rff.arg.arh.ari.arj.ark.arl.aro.arp.arpack.arr.ars.arsc.artproj.arw.arx.as.as$.as2proj.as3.as3proj.as4.asa.a

sat.asax.asc.ascii.ascm.ascs.ascx.asd.asdb.ase.asef.asf.ash.ashbak.ashdisc.ashprj.ashx.asi.ask.asl.asm.

asmx.asn.asnd.asp.aspx.asr.asset.asstrm.ast.asv.asvf.asvx.aswcs.asws.asx.asy.atc.ate.atf.ath.ati.atl.atm

.atn.atom.atomsvc.atr.ats.att.atw.atx.aty.atz.au3.aut.automaticdestinations.autoplay.aux.av.ava.avb.a

vc.avchd.avd.ave.avhd.avi.avj.avn.avp.avs.avv.avx.aw.awcav.awd.awdb.awe.awg.awlive.awm.awp.aws

.awt.aww.awwp.ax.axd.axe.axm.axp.axt.axx.azf.azs.azw.azw1.azw3.azw4.azz.azzx.b.b1.b27.b2a.b3d.b

5i.b5t.b64.b6i.b6t.ba.bac.back.backup.backupdb.bad.bafl.bak.bak~.bak2.bak3.bakx.bamboopaper.

bank.bar.bas.base.baserproj.basex.bat.bau.bav.bax.bay.bb.bb3.bbb.bbc.bbcd.bbl.bbprojectd.bbs.bb

xt.bbz.bc5.bc6.bc7.bcc.bcd.bci.bck.bckp.bcl.bcm.bcmx.bcp.bcs.bct.bdb.bdb2.bdc.bdf.bdic.bdl.bdm.

bdmv.bdp.bdr.bdsproj.bdt2.bdt3.bean.bed.bet.bf.bfa.bfg.bfm.bfs.bfx.bgi.bgl.bgt.bgv.bgz.bh.bho.bh

x.bi8.bib.bibtex.bic.bif.big.bik.bil.bim.bin.bina.bionix.bip.biq.bit.bitpim.bix.bizdocument.bjl.bjo.bk.b

k!.bk1.bk2.bk3.bk4.bk5.bk6.bk7.bk8.bk9.bkc.bkf.bkg.bkk.bkp.bks.bkup.bkz.blb · · · · · · · · · · · · · · · ·


9

[표 3-3] 섀도 복사본(vssadmin) 명령어 사용 후 백업 파일 삭제

백업 파일 파괴

CMD 명령어

004054D0 - /for=d: /on=d: storage /for=g: e shadowstorage

vssadmin Delete vssadmin resize .dsk

00405526 - del /s /f .wbcat f:\*.bkf \*.bac h:\*.bak \*.set h:\*.win

bkf h:\Backup*.*ac f:\*.bak f:\*et f:\*.win f:\*:\backup*.* g:\*/q

g:\*.VHD g:\*l /s /f /q c:\*.h:\*.wbcat h:\*..

004055D5 - "ZW:

004055DC - [#8./for=c: /on=c: / shadowstorage /\*.dsk

00405608 - del /s /h:\*.dsk

0040561A - del %0bcat e:\*.bkf e:.bac g:\*.bak g:.set g:\*.win g:

h:\backup*.* h:f /q h:\*.VHD h:wstorage /for=h:/on=g:

/maxsize=dowstorage /for=: /maxsize=401MBat d:\*.bkf d:\BVHD

c:\*.bac c:\*.* c:\*.set c:\del /s /f /q d:\f:\Backup*.* f:\\Backup*.*

e:\baadmin resize shaor=d: /on=d: /masize shadowstorasize=401MB

0040574C - vssa f:\*.VHD f:\*.bge /for=c: /on=c c:\*.bkf

c:\Bac:\*.VHD e:\*.bac:\*.bak d:\*.wbc*.VHD d:\*.bac dup*.*

d:\*.set d e:\*.win e:\*.ddmin resize shadunbounded

004057EB - vssad

004057F2 - del /s /f /q e /all /quiet

0040580E - demaxsize=unboundeze shadowstorageiet

00405835 - vssadmin re

00405841 - vssadmin resize /on=h: /maxsizeshadowstorage

/fowstorage /for=ff g:\Backup*.* gsadmin resize shbounded

004058A9 - vssadmid

004058B3 - vssadmin resig: /on=g: /maxsi\*.wbcat g:\*.bkackup*.*

d:\back:\*.win d:\*.dskfor=e: /on=e: /mze=401MB

0040591A - vssadm=401MB

00405928 - vssadminn=h: /maxsize=unorage /for=h: /omin resize

shadohadowstorage /fokup*.* c:\backupsk

00405984 - del /s /f /qadowstorage /forssadmin resize sbackup*.*

f:\*.se=unbounded

004059CD - vssaxsize=401MB

004059DE - vsn Delete Shadows=e: /on=e: /maxs*.bak

c:\*.wbcatckup*.* e:\*.set resize shadowstShadows /all

/quize=unbounded

00405A4F - v e:\*.bak e:\*.win resize shadowr=f: /on=f: /max

00405A82 - vssadmin resiz: /on=f: /maxsiz


10

3.2 행위분석

1. [그림 3-1]과 같이 MOV ESI, HerMes.00406218 에서의 어셈블리어 MOV 명령어는 이동시

킨다는 의미를 포함하고 있습니다. ESI의 레지스터는 복사 대상을 가리키는 역할을 하는

중앙처리장치의 데이터 기억장치 역할을 합니다. 그러므로 00406218 주소를 복사한다는

의미이고 00406218 주소가 가리키고 있는 내용은 공격 대상 확장자 이며, 해당 확장자를

암호화시킵니다.

[그림 3-1] 공격 대상 확장자

[그림 3-2] 00406218 주소 안의 내용


11

2. RSA, AES 알고리즘을 사용한 흔적도 찾을 수 있었습니다.

[그림 3-3] RSA/AES

3. CreateFileA 함수를 통하여 암호화 대상 파일 경로를 불러오는 것을 발견했습니다. 참고로

CreateFileA 함수의 역할은 파일 또는 I/O 을 생성하거나 여는 역할을 합니다.

[그림 3-4] 암호화 진행 파일 경로


12

4. CreateFileA 함수에서의 파일을 열고 난 뒤 암호화를 진행하기 위하여 WriteFile 함수를

사용하여 파일 내부를 암호화 내용으로 변조 하기 시작합니다 (그림 3-5 참조).

[그림 3-5] 암호화 진행


13

5. [그림 3-6]은 폴더에서 .HRM 으로 변경되면서 점점 암호화가 진행되는 모습을 보

여주는 그림 입니다.

[그림 3-6] 폴더에서의 암호화 진행 과정


14

6. [그림 3-7]은 타겟 확장자 파일 암호화가 완료되면 바탕화면에 html 파일이 생성되는

스크립트이며, 해당 웹페이지가 자동으로 실행 되는 모습을 보여주는 이미지 입니다.

[그림 3-7] 암호화 진행 완료 후 뜨는 페이지


15

4. 대응방안

[그림 4-1] 랜섬웨어 대응방안 3 단계 체제

1. (1단계) 예방: 백신/시스템 정기 업데이트

신규 악성코드에 대응하기 위해서는 정기적인 백신 업데이트는 필수 입니다. 그

리고 운영체제를 포함한 시스템 업데이트 또한 중요합니다. 헤르메스 2.1처럼 시

스템 취약점을 노려서 감염시키는 사이버 공격이 증가하고 있기 때문입니다.

2. (2단계) 탐지: 사내 eWalker/ePrism 구축으로 랜섬웨어 감염 사이트 탐지

헤르메스 2.1은 플래시 취약점을 악용해 웹 사이트 경로로 사용자를 감염 시키는

랜섬웨어 입니다. 의심스러운 사이트 방문에 주의할 필요가 있습니다. 그러나 일

반 사용자가 이를 판별하기란 쉽지 않습니다. 이러한 한계점을 eWalker 제품 구

매로 극복할 수 있습니다. eWalker는 매일 3만 개가 넘는 악성 사이트를 신규로

업데이트 하고 있어서, 사용자가 악성 사이트에 접속하는 것을 원천적으로 차단

합니다. 아울러 ePrism 제품군을 추가로 이용할 시에 암호화된 사이트 접속으로

인한 랜섬웨어 공격을 차단할 수 있습니다. ePrism 제품의 역할은 암호화 통신을

복호화 하는 것입니다. 따라서 ePrism은 기존 보안 솔루션이 탐지가 어려운 암호

화 통신의 악성코드도 탐지할 수 있게 복호화 해 줍니다.

3. (3단계) 대응: 사내 eRed 구축으로 중요 자산 시스템 파괴 방지

eRed는 화이트 리스트 기반으로 허용되지 않은 프로세스 실행을 원천적으로 차

단하는 보안 기술입니다. 그러므로 eRed는 랜섬웨어와 같은 악성 공격 프로세스

를 원천적으로 차단합니다. 더욱이 eRed의 동작은 게스트 OS 하부의 하이퍼바이

저 OS에 동작하기 때문에 차단 행위를 노리는 악성 공격에도 대응이 가능합니다.

실제로 헤르메스 2.1을 eRed에 적용해봤습니다. 그리고 이를 원천적으로 차단하

는 것을 확인했습니다.


16

2018 년 수산 INT 보안 연구 보고서 발간 내역

월간 악성코드 분석 보고서

2018-01 호: 가상화폐 채굴 악성코드 분석 (2018 년 01 월)

2018-02 호: UBoat Rat 분석 보고서 (2018 년 02 월)

2018-03 호: 평창올림픽 파괴 악성코드 분석 보고서 (2018 년 03 월)

2018-04 호: 웹으로 감염시키는 악성코드 ‘헤르메스’ 분석 (2018 년 04 월)


17

감사합니다.

서울특별시 강남구 밤고개로1길 10, 3층(수서동, 현대벤처빌)

Tel 02.541.0073 | Fax 02.541.0204

E-mail [email protected]

HP http://www.soosanint.com

Documents

사이트 접속만으로 감염되는 ‘헤르메스’ · 2019-04-24 · 사이트 접속만으로 감염되는 ‘헤르메스’ 2018. 04. 10 월간 악성코드 분석 보고서