INDEX

Suggestedbackground

I. 국내 보안의 시대별 패러다임II. 랜섬웨어 에 대한 국내 입장III. 랜섬웨어 피해 통계IV. 랜섬웨어 공격 유형

1990 ~ 1999 2000 ~ 2009 2010 ~ 현재 ~ 미래

인프라 및 하드웨어 부문 육성 소프트웨어 부문 육성 소프트웨어 부문에서 인공지능 환경으로 변화

시대별 보안이슈 시대별 보안이슈 시대별 보안이슈

• 네트워크를통한비인가자의내부시스템접근등발생

• 보안의식부재로인한직원의자료유출사고발생

• 바이러스,악성코드등을통한악위적유출발생

• 보안의식부재로인한직원의자료유출사고발생

• 지적재산권보호를위한무조건적인통제시작

• 금전적취득수단으로해킹공격의대상을기업으로변경

• 무조건적인통제에서선별적통제로

정부관점 • 전국인터넷인프라구축및보급

기업관점 • 업무용 PC보급

개인관점 • 인터넷커뮤니티활동의증가

정부관점 • 중앙부처등자료의전산화추진

기업관점 • 내부업무시스템의전산화추진

개인관점 • 인터넷만을통한지식습득

정부관점 • 4차산업육성법준비및지원

기업관점 • 인공지능을통한업무오차율최소화

개인관점 • 다양한종류의정보습득루트활용

국내보안의시대별패러다임

20172000 20101990• 방화벽 상용화

• 바이러스 백신프로그램 상용화

• UTM 상용화 • 웹방화벽 상용화

• 정보통신망법 • 전자금융거래법 • 개인정보보호법

• 정보보호산업진흥법

• 클라우드발전법

• 인터넷 통한 악성코드 유포

• 이메일을 통한바이러스 유포 • 이메일 악성코드의 진화

• 금전 목적의 악성코드 진화

• 타겟 공격 & 개인정보 유출 • 랜섬웨어방어 상용화

• 전산 망 분리 가이드

• 랜섬웨어 전 세계 급증

• 차세대방화벽 상용화• 랜섬웨어 발견

과거 현재~ 미래~

랜섬웨어란??

랜섬웨어(ransom ware)는몸값을뜻하는랜섬(ransom)과소프트웨어(software)의합성어로단말의주요파일이나시스템을

암호화하여못쓰게한뒤금전을요구하는신종공격유형이다.

2015년 4월국내대형 IT커뮤니티클럽을통해한국을대상으로한크립토락커(CryptoLocker)한글버전이발견되었고,국내

피해가급증하였다.또한,공격대상이 PC에서스마트폰,태블릿 PC,클라우드로확대되어피해가컸다.

정부발표에따르면국내랜섬웨어침해신고현황은 2014년에는거의없었던반면 2015년에 800건으로크게증가하였고,

세계적으로는피해규모가 3,700억원이상에달한다.

공격은주로보안에취약한웹사이트광고서버의권한을탈취하여악성코드를유포하는방식이다.

기존에는 PC의그림파일,문서등을암호화하고,비트코인(Bitcoin)등금전을요구하는방법으로공격하였으나…

2016 국가정보보호백서 발취

랜섬웨어에대한국내입장

15~16년 랜섬웨어 침해신고 현황

국내 랜섬웨어 피해, 손실

16년 국내 랜섬웨어 침해 종류

60.81%

8.11%

6.61%

6.46%

5.71%

4.20%

3.00%

3.00%

1.35%

0.75%

구분 연도 랜섬웨어감염수 피해손실

랜섬웨어감염수

및피해손실

2015년 53,000 PC 1,090억원추정

2016년 130.000 PC 3,000억원추정

구분 로컬 거래규모 비고

랜섬웨어통한

비트코인거래량

국내 100억원이상추정 국내비트코인거래량에 1.5%

해외 10억원달러 약 1조1000억원

15~16년

합계 : 5933건

매년증가추세

16년 국내 랜섬웨어 침해 방법

2015년 2016년

2017 랜섬웨어 침해분석 보고서

랜섬웨어피해통계

메일을 통한 랜섬웨어 공격

OS 취약점을 통한 랜섬웨어 공격

웹을 통한 랜섬웨어 공격

메일 접속랜섬웨어다운로드

파일암호화 수행

결재 강요

웹 접속악성코드다운로드

랜섬웨어생성

파일암호화수행

결재 강요

OS 취약점공격

랜섬웨어다운로드

파일암호화수행

결재 강요

랜섬웨어공격유형

I. 솔루션 구성II. 구성 개략도III. 주요기능IV. 주요강점V. 주요기술 Anti-Exploit : 예방 Anti-Ransomware : 암호화 방지 Sophos Clean : 삭제 Root Cause Analysis : 추적성

RansomwareProtect Solution

On-Premise Version

Cloud Version

AntiRansomware

Sophos Central- Root Cause Analysis

Client/Agent

Client/Agent

Sophos Enterprise Console

상용 H/W 및 S/W

지원 운영체제 Disk 여유공간 Memory 최소사양

Windows 10

1GB 1GBWindows 8, 8.1

Windows 7

Windows Vista

지원 운영체제 최소 DISK 공간 Memory 최소사양

Windows 10

1GB 1GB

Windows 8, 8.1

Windows 7

Windows Vista

Windows XP SP3

• 센트럴 관리페이지는 멀티브라우저 지원

• Console 은 윈도우 환경에서만 동작

솔루션구성

Sophos LabSophos Central (Cloud환경)

Client/Agent 설치 PC ...

• 인프라구축불필요

(Server, OS, DBMS,백신등)

고객사운영보안장비

Cloud Vision On-Premise Vision

Endpoint Advanced + Intercept-X Client/Agent 설치 PC

Sophos Management

고객사운영보안장비

• 상용 Server, OS, DBMS등필요

구성개략도

Cloud Version On-Premise Version

PREVENT

BEFORE

IT REACHES DEVICE

웹보안 (Web Security) ●

다운로드평판 (Download Reputation) ●

Web Control / Category-based URL Blocking ●

디바이스제어 (Device Control (e.g. USB)) ●

어플리케이션제어 (Application Control) ●

브라우저취약점공격방어 (Browser Exploit Prevention) ● ●

BEFORE

IT RUNS ON DEVICE

파일검사기반안티바이러스(Anti-Malware File Scanning) ●

실시간보호(Live Protection) ●

실행이전행동기반분석/호스트 IPS (Pre-execution Behavior Analysis /HIPS)

●

PUA 차단(Potentially Unwanted Application (PUA) Blocking) ●

취약점공격방어(Exploit Prevention) ● ●

DETECTSTOP RUNNING

THREAT

실시간행동기반분석/호스트IPS (Runtime Behavior Analysis / HIPS) ●

악의적인트래픽차단(Malicious Traffic Detection (MTD)) ● ●

안티랜섬웨어 (Cryptoguard Ransomware Protection) ● ●

RESPONDINVESTIGATE

AND REMOVE

악성코드자동제거(Automated Malware Removal) ● ●

Synchronized Security Heartbeat ● ●

원인상세 분석 (Root Cause Analysis) ● ●

Sophos Clean ● ●

주요기능

주요강점

Anti-Exploit

(예방)

Anti-Ransomware

(암호화 방지)

Sophos Clean

(삭제)

Cost Down

Cloud Vision On-Premise Vision

Anti-Exploit

(예방)

Anti-Ransomware

(암호화 방지)

Anti-Virus

(백신)

Sophos Clean

(삭제)

Device/App

Control

(에이전트 통제)

Root CauseAnalysis

(증적 확인 및 리포팅)

Vendor Total Code Memory

Sophos 23 6 17

ESET 1 0 1

Kaspersky 2 1 1

McAfee 3 1 2

Symantec 3 1 2

Trend Micro 3 0 3

Webroot 0 0 0

CylancePROTECT 2 0 2

Microsoft 12 5 7

Malwarebytes 9 3 6

Palo Alto Networks 13 4 9

CrowdStrike 3 3 0

Anti-Exploit : 예방 기술

랜섬웨어방어솔루션

설치상태

안티바이러스

설치상태

악성웹사이트

C&C Server조정

악성웹사이트접근

Exploit Code삽입

랜섬웨어방어솔루션

Exploit Code 차단웹브라우저이용

차단불가

주요기술

Anti-Ransomware : 암호화 방지 기술

• 암호화 대상 파일 백업

• 암호화 진행 파일 백업

홍길동 PC저장파일암호화시도

암호화시도차단(단, 64bit만차단가능)

홍길동 임꺽정

랜섬웨어방어 설치 랜섬웨어감염상태

Heap SprayUse afterFree Stack Pivot ROP

Call OSfunction

PREPARATION TRIGGERING GAIN CONTROL POST PAYLOAD DROP

MemoryCorruption/UaF

In-Memory(Diskless)

On Disk

Ransomware Activity

랜섬웨어방어솔루션

Anti-virus

랜섬웨어방어솔루션 안티바이러스

Signatureless ● -

파일복원 ● -

Exploit 차단 ● -

타사백신과의충돌 - ●

통신차단 ● ●

주요기술

시스템 검사

멀웨어 제거

레지스트리

및 파일 등 제거

자동/수동 실행

비/악성

프로그램 구분

대조군 통한

신뢰성 확보

예약 스케줄링

Sophos Clean : 랜섬웨어 파일 제거 기술

주요기술

• 위협 원인 분석(Root Cause Analysis) 프로세스/위협/레지스트리 수준의 자동 보고서

90일 간의 진행/처리 상황 기록(Historical reporting)

어떤 자산에 영향을 끼쳤는지에 대한 상세한 시각적 정보

제공

• 손상된 자산 손상된 비즈니스 문스, 실행파일, 라이브러리와

파일들에 대한 전체 목록

위협에 노출될 수 있는 기기(모바일 등..) 혹은

네트워크 리소스 (IP 등..)

• 보안에 대처하는 태도 히스토리컬 리포팅을 토대로 보안 권유 사항 마련

미래의 공격을 예방하기 위한 조치를 제공

컴플라이언스(규정준수) 상태에 대한 풍부한 리포팅 제공

Cloud Version - Root Cause Analysis : 증적 확인 및 리포팅

주요기술

I. 경쟁사 비교II. 경쟁사 단점

Comparison

구분 Sophos A사 제품 B사 제품 C사 제품 D사 제품(백신)

구현 기술 행위기반 기술 행위판단 기술가상영역

실시간 백업프로세스 판단 기술 시그니처 기반 기술

기술 풀이모든행위

감시/추적/제한

사용자 행위

유/무로 판단

보안영역으로의

데이터 자동 백업

프로세스 화이트

/블랙 리스트비교 패턴 방식

기능 범위예방, 차단,

삭제, 복구차단 백업 차단 삭제

경쟁사비교

경쟁사단점

A사 : 사용자 행위 판단

C사 : 프로세스 제어

B사 : 데이터 백업

D사 : 시그니처

• Human Interface 를 통해

실행하는 명령을 주는

랜섬웨어는 차단이 불가

• 실행 시 레지스트리 등에 남은

잔재 파일은 또 따른 해킹

이용의 백도어 역활

• 디스크 공간을 확보 해야 함으로

비용에 증가 발생

• 디스크 손상 시 암호화 영역

접근 불가

• 문제의 요소인 랜섬웨어는

실질적은 대응을 하지 않음

• 프로세스 명이 같을 경우 정상

파일 인지 랜섬웨어 인지 구분

자체 불가능

• 업무에 사용되는 모든

프로세스를 등록하여야 함

• 지속적인업데이트를수동으로

하여야함

• 능동방어가아니며사고발생

후의대응만가능함

Java.exe

Java.exe

a.exeb.exec.exed.exee.exef.exe

g.exeh.exei.exej.exek.exel.exe

m.exen.exeo.exep.exeq.exer.exe

s.exet.exeu.exev.exew.exex.exe

I. Cloud Version Ransim Test Ransomware Test

II. On-Premise Version Ransim TestDemo

감사합니다

작성자 : ㈜엘림넷 정보기술사업팀 최 용규 차장

발표일 : 2017. 07. 21

소재지 : 서울시 서대문구 충정로3가 32-11 엘림넷빌딩 6층~7층

Enforce Data Execution Prevention (DEP)Prevents abuse of buffer overflows ● ● ● ● ● ●

Mandatory Address Space Layout Randomization (ASLR)Prevents predictable code locations ● ●

Bottom Up ASLRImproved code location randomization ● ● ●

Null Page (Null Dereference Protection)Stops exploits that jump via page 0 ● ● ●

Heap Spray AllocationPre-allocated common memory areas to block example attacks ● ● ● ● ● ●

Dynamic Heap SprayStops attacks that spray suspicious sequences on the heap ●

Stack PivotStops abuse of the stack pointer ● ● ● ● ● ● ●

Stack Exec (MemProt)Stops attackers’ code on the stack ● ● ● ●

Stack-based ROP Mitigations (Caller)Stops standard Return-Oriented Programming attacks ● ● ● ● ●

Branch-based ROP Mitigations (Hardware Augmented)Stops advanced Return-Oriented Programming attacks ●

Structured Exception Handler Overwrite Protection (SEHOP)Stops abuse of the exception handler ●

Import Address Table Filtering (IAF) (Hardware Augmented)Stops attackers that lookup API addresses in the IAT ●

1. Windows에서 제공하는 ASLR 기능을 기반으로 Windows Vista 및 최신 버전의 Windows에서만 사용할 수 있습니다. 2. 32 비트 NOP 썰매 및 다형성 NOP 썰매 만 해당 : 플래시 벡터 힙스프레이가 감지되지 않고 Windows의 64 비트 버전이 아님. 3. 64 비트 버전의 Windows가 아닌 WinExec []에서만 32 비트 ROP 완화. 4. Windows에서 제공하는 SEHOP 기능을 기반으로Windows Vista 서비스 팩 1 및 최신 버전의 Windows에서만 사용할 수 있습니다. 5. 폴더 및 하위 프로세스를 기반으로하는 사람이 정의한 제한 사항. 높은 유지 보수가 아니라 행동 기반

CrowdStrike

Falcon

PaloAltoNetworks

Traps

Malwarebytes

Anti-Exploit

Microsoft

EMET

CylancePROTECT

Webroot

Endpoint Protection

Trend Micro

OfficeScan

Symantec

Endpoint Protection

McAfee

Endpoint Security

Kaspersky

Endpoint Security

ESET

EndpointSecurity

SophosIntercept X

①

③

②

④

①

①

EAFEAF+

②

Anti-Exploit : Vendor별지원

Load LibraryPrevents loading of libraries from UNC paths ● ● ● ●

Reflective DLL InjectionPrevents loading of a library from memory into a host process ● ●

VBScript GodModePrevents abuse of VBScript in IE to execute malicious code ● ● ●

WoW64Stops attacks that address 64-bit function fromWoW64 process ●

SyscallStops attackers that attempt to bypass security hooks ●

Hollow processStops attacks that use legitimate processes to hide the hostile code ● ●

DLL HijackingGives priority to system libraries for downloaded applications ●

Application LockdownStops logic-flaw attacks that bypass mitigations ● ●

Java LockdownPrevents attacks that abuse Java to launch Windows executables ● ● ●

Squiblydoo AppLocker BypassPrevents regsvr32 from running remote scripts and code ● ●

CVE-2013-5331 & CVE-2014-4113 via MetasploitIn-memory payloads: Meterpreter & Mimikatz ● ● ● ● ●

1. Windows에서 제공하는 ASLR 기능을 기반으로 Windows Vista 및 최신 버전의 Windows에서만 사용할 수 있습니다. 2. 32 비트 NOP 썰매 및 다형성 NOP 썰매 만 해당 : 플래시 벡터 힙스프레이가 감지되지 않고 Windows의 64 비트 버전이 아님. 3. 64 비트 버전의 Windows가 아닌 WinExec []에서만 32 비트 ROP 완화. 4. Windows에서 제공하는 SEHOP 기능을 기반으로Windows Vista 서비스 팩 1 및 최신 버전의 Windows에서만 사용할 수 있습니다. 5. 폴더 및 하위 프로세스를 기반으로하는 사람이 정의한 제한 사항. 높은 유지 보수가 아니라 행동 기반

CrowdStrike

Falcon

PaloAltoNetworks

Traps

Malwarebytes

Anti-Exploit

Microsoft

EMET

CylancePROTECT

Webroot

Endpoint Protection

Trend Micro

OfficeScan

Symantec

Endpoint Protection

McAfee

Endpoint Security

Kaspersky

Endpoint Security

ESET

EndpointSecurity

SophosIntercept X

⑤

②

①

②

Anti-Exploit : Vendor별지원