본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

더 교묘해진 파일리스 방식의 랜섬웨어, 예방법은?

by 파스칼바이런 2019. 12. 14.

더 교묘해진 파일리스 방식의 랜섬웨어, 예방법은?

AhnLab ASEC 분석팀 l 2019-12-11

 

 

최근 파일리스(Filess) 방식의 매그니베르(Magniber) 랜섬웨어가 동작 방식의 변화를 꾀하며 지속적으로 유포되고 있다. 이와 관련해 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC)는 블로그를 통해 최신 매그니베르 랜섬웨어의 동작 방식을 상세히 설명했다. 또 안랩은 V3 Lite 4.0에 매그니베르 랜섬웨어와 같이 파일리스 방식의 랜섬웨어를 탐지하는 기술을 새롭게 추가했다.

 

 

메그니베르 랜섬웨어가 2018년 6월경 암호화 방식을 변경하면서 2019년 12월 현재 복구가 불가능한 랜섬웨어로 악명을 떨치고 있다. 블루크랩(BlueCrab) 랜섬웨어와 더불어 대표적인 파일리스 방식의 악성코드다.

 

파일리스(Fileless) 방식의 악성코드는 감염 시스템에 별도의 파일을 생성하지 않으며, 따라서 파일 형태로 존재하지 않는다. 파워쉘 등 정상 프로세스를 이용하여 외부로부터 악성코드 데이터를 다운받아 정상 프로세스 내에서 실행되기 때문이다. 주로 악성 쉘코드를 정상 프로세스에 인젝션하는 방식을 이용한다. 정상 프로세스 내에서 실행되기 때문에 일반적인 악성코드에 비해 파일리스 방식의 악성코드는 탐지 및 대응이 쉽지 않다. 매그니베르 랜섬웨어에 감염되면 치료가 어려운 이유도 바로 이 때문이다.

 

안랩 시큐리티대응센터(이하 ASEC)은 파일리스 방식의 매그니베르 랜섬웨어를 지속적으로 모니터링, 추적하고 있었다. 그 결과, 지난 11월 11일 이후 매그니베르 랜섬웨어의 동작 방식에 변화가 있음을 포착했다. 기존의 매그니베르 랜섬웨어는 IE 취약점을 통해 PC에 유입되고 악성 VBS를 실행해 인젝터 DLL(Infector DLL)을 다운로드 한 후 IE의 정상 프로세스를 통해 해당 DLL을 인젝션하는 방식으로 동작했다. 그러나 11월 11일 이후에 발견된 매그니베르 랜섬웨어에서는 인젝터 DLL를 인젝션하는 부분이 빠진 것. 이는 V3 등 보안 솔루션의 행위 기반 탐지 기술을 피하기 위한 것으로 보인다.

 

V3 Lite 4.0, 강력한 대응 위해 ‘프로세스 메모리 진단’ 기능 추가

 

매그니베르 랜섬웨어의 변화를 포착한 안랩은 사용자 피해를 최소화하기 위해 V3 Lite 4.0에 '프로세스 메모리 진단' 기능을 신속하게 추가했다. '프로세스 메모리 진단' 기능을 활용해 최신 매그니베르 랜섬웨어의 암호화 과정을 차단하는데 도움을 얻을 수 있다.

 

[그림 1] V3 Lite 4.0에 새롭게 추가된 ‘프로세스 메모리 진단’ 기능

 

V3 Lite 4.0에 새롭게 추가된 '프로세스 메모리 진단' 기능은 PC의 프로세스 메모리 영역을 실시간으로 모니터링하면서 악성으로 의심되는 부분을 탐지하여 치료하는 기능이다. 즉, 랜섬웨어가 장성적인 프로세스에 악의적인 코드를 인젝션하는 과정을 실시간으로 탐지함으로써 랜섬웨어가 동작하는 것을 차단하고 치료할 수 있다.

 

[그림 2] V3 Lite 4.0의 매그니베르 랜섬웨어 탐지 (프로세스 메모리 진단 기능 활성화 시)

 

V3 Lite 4.0 제품에 적용된 실시간 '프로세스 메모리 진단'을 활성화 하면, 아래와 같이 파일리스 형태의 매그니베르 랜섬웨어가 차단된다.

 

V3 Lite 4.0에 새롭게 추가된 ‘프로세스 메모리 진단’ 기능을 이용하기 위해서는 ‘환경 설정 > PC 보안 > PC 검사 설정 > PC 실시간 검사’ 메뉴에서 ‘프로세스 메모리 진단 사용’에 체크(v)하면 된다. V3 Lite 4.0은 해당 기능 외에도 행위 기반 탐지 기술을 이용해 랜섬웨어를 비롯한 다양한 악성코드를 탐지 및 치료한다. V3 Lite 4.0은 기존에 사용하던 V3 Lite를 통해 업그레이드하거나 안랩 홈페이지에서 설치 파일을 다운로드할 수 있다.

 

▶ 안랩닷컴 V3 Lite 바로가기

 

V3 Lite 4.0을 비롯한 V3 제품군들은 지난 11월에 유포된 매그니베르 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다.

 

<V3 제품군 진단명>

Malware/MDP.Behavior.M2578

Win-Trojan/Magniber.mexp

HTML/Magnitude.S6

 

한편, 매그니베르 랜섬웨어의 피해를 예방하기 위해 IE를 비롯한 주요 애플리케이션 및 운영체제(OS)의 보안 패치를 반드시 적용해야 한다. 최신 매그니베르 랜섬웨어의 동작 방식에 관한 보다 상세한 내용은 ASEC 블로그에서 확인할 수 있다.

 

▶ ASEC 블로그 바로가기

'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글

다가오는 블루킵(BlueKeep) 위협, V3로 대비하는 법!  (0) 2019.12.22
다양한 블루투스 이어폰, 어떻게 골라야 할까?  (0) 2019.12.21
일출 보러 가볼까? 여행 고수들은 다 있다는 필수 앱 4가지  (0) 2019.12.13
지킬 권리 vs. 잊힐 권리…싸이월드가 불러온 데이터 주권 논쟁  (0) 2019.12.09
빠르게 변화하는 넴티 랜섬웨어, 주의!  (0) 2019.12.08

관련글

티스토리툴바