2024.04.19 (금)

  • 흐림동두천 1.0℃
  • 흐림강릉 1.3℃
  • 서울 3.2℃
  • 대전 3.3℃
  • 대구 6.8℃
  • 울산 6.6℃
  • 광주 8.3℃
  • 부산 7.7℃
  • 흐림고창 6.7℃
  • 흐림제주 10.7℃
  • 흐림강화 2.2℃
  • 흐림보은 3.2℃
  • 흐림금산 4.4℃
  • 흐림강진군 8.7℃
  • 흐림경주시 6.7℃
  • 흐림거제 8.0℃
기상청 제공
상세검색
닫기

문화 넓게 보기

더 교묘해진 파일리스 방식의 랜섬웨어, 예방법은?

슬기로운 컴퓨터ㆍ손말틀(휴대전화) 쓰기를 위한 귀띔

[우리문화신문=이나미 기자]  최근 파일리스(Filess) 방식의 매그니베르(Magniber) 랜섬웨어가 동작 방식의 변화를 꾀하며 지속적으로 유포되고 있다. 이와 관련해 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC)는 블로그를 통해 최신 매그니베르 랜섬웨어의 동작 방식을 상세히 설명했다. 또 안랩은 V3 Lite 4.0에 매그니베르 랜섬웨어와 같이 파일리스 방식의 랜섬웨어를 찾아내는 기술을 새롭게 추가했다.

 

 

메그니베르 랜섬웨어가 2018년 6월경 암호화 방식을 변경하면서 2019년 12월 현재 복구가 불가능한 랜섬웨어로 악명을 떨치고 있다. 블루크랩(BlueCrab) 랜섬웨어와 더불어 대표적인 파일리스 방식의 악성코드다.

 

파일리스(Fileless) 방식의 악성코드는 감염 시스템에 별도의 파일을 생성하지 않으며, 따라서 파일 형태로 존재하지 않는다. 파워쉘 등 정상 프로세스를 이용하여 외부로부터 악성코드 데이터를 내려받아 정상 프로세스 내에서 실행되기 때문이다. 주로 악성 쉘코드(소프트웨어 취약점 이용을 위해 내용부에 사용하는 코드)를 정상 프로세스에 뿜어내는 방식을 이용한다. 정상 프로세스 내에서 실행되기 때문에 일반적인 악성코드에 견주어 파일리스 방식의 악성코드는 찾아내거나 대응이 쉽지 않다. 매그니베르 랜섬웨어에 감염되면 치료가 어려운 까닭도 바로 이 때문이다.

 

안랩 시큐리티대응센터(이하 ASEC)은 파일리스 방식의 매그니베르 랜섬웨어를 지속적으로 감시, 추적하고 있었다. 그 결과, 지난 11월 11일 이후 매그니베르 랜섬웨어의 동작 방식에 변화가 있음을 잡아냈다. 기존의 매그니베르 랜섬웨어는 인터넷 익스플로러 취약점을 통해 컴퓨터에 유입되고 악성 언어를 실행해 인젝터 DLL(분사 프로그램)을 내려받은 뒤 인터넷 익스플로러의 정상 프로세스를 통해 해당 프로그램을 뿜어내는 방식으로 동작했다. 그러나 11월 11일 이후에 발견된 매그니베르 랜섬웨어에서는 인젝터 DLL를 뿜어내는 부분이 빠진 것. 이는 백신 프로그램의 보안 솔루션의 행위 기반 탐지 기술을 피하기 위한 것으로 보인다.

 

V3 Lite 4.0, 강력한 대응 위해 ‘프로세스 메모리 진단’ 기능 추가

 

매그니베르 랜섬웨어의 변화를 포착한 안랩은 사용자 피해를 최소화하기 위해 V3 Lite 4.0에 '프로세스 메모리 진단' 기능을 빠르게 더했다. '프로세스 메모리 진단' 기능을 활용해 최신 매그니베르 랜섬웨어의 암호화 과정을 막는 데 도움을 얻을 수 있다.

 

 

V3 Lite 4.0에 새롭게 추가된 '프로세스 메모리 진단' 기능은 컴퓨터의 프로세스 메모리 영역을 실시간으로 감시하면서 악성으로 의심되는 부분을 찾아내 치료하는 기능이다. 곧, 랜섬웨어가 장성적인 프로세스에 악의적인 코드를 뿜어내는 과정을 실시간으로 찾아냄으로써 랜섬웨어가 동작하는 것을 차단하고 치료할 수 있다.

 

[그림 2]는 V3 Lite 4.0의 '프로세스 메모리 진단' 기능을 사용해 실제로 매그니베르 랜섬웨어를 찾아낸 화면이다.

 

 

V3 Lite 4.0 제품에 적용된 실시간 '프로세스 메모리 진단'을 활성화하면, 아래와 같이 파일이 존재하지 않는 형태의 매그니베르 랜섬웨어를 막아낸다.

 

V3 Lite 4.0에 새롭게 추가된 ‘프로세스 메모리 진단’ 기능을 이용하기 위해서는 ‘환경 설정 > PC 보안 > PC 검사 설정 > PC 실시간 검사’ 메뉴에서 ‘프로세스 메모리 진단 사용’에 체크(v)하면 된다. V3 Lite 4.0은 해당 기능 말고도 행위 기반 탐지 기술을 이용해 랜섬웨어를 비롯한 다양한 악성코드를 찾아내고 치료한다. V3 Lite 4.0은 기존에 사용하던 V3 Lite를 통해 업그레이드하거나 안랩 홈페이지에서 설치 파일을 내려받을 수 있다.

 

▶ 안랩닷컴 V3 Lite 바로가기

 

V3 Lite 4.0을 비롯한 V3 제품군들은 지난 11월에 유포된 매그니베르 랜섬웨어를 다음과 같은 진단명으로 찾아내고 있다.

 

<V3 제품군 진단명>

Malware/MDP.Behavior.M2578

Win-Trojan/Magniber.mexp

HTML/Magnitude.S6

 

한편, 매그니베르 랜섬웨어의 피해를 예방하기 위해 인터넷 익스플로러를 비롯한 주요 응용 소프트웨어와 운영체제(OS)의 보안 패치를 반드시 적용해야 한다. 최신 매그니베르 랜섬웨어의 동작 방식에 관한 보다 상세한 내용은 ASEC 블로그에서 확인할 수 있다.

 

▶ ASEC 블로그 바로가기

 

                                                                                              AhnLab ASEC분석팀 제공

 

이나미 기자 의 전체기사 보기

Copyright @2013 우리문화신문 Corp. All rights reserved.

사진나들이

더보기
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너