랜섬웨어
감염 예방방법 5가지
| 1. %AppData% 디렉토리에 있는 파일 실행 방지2. 시스템 완전 패치:
Java, Shockwave, Flash 등 3. 실행파일이 첨부파일로 있는 이메일 비활성화 4. 강력한 백업 유지 5. "백신" 사용 |
| 1. %AppData% 디렉토리에 있는 파일 실행 방지
일반적으로 대부분의 대규모 랜섬웨어 실행은 익스플로잇 킷 또는 스팸 엔진을 이용합니다. 두 가지 경우 모두, 익스플로잇 킷 또는 스팸 엔진을 실행하는 악성 코드는 일반적인 윈도 (%AppData%)의 다양한 임시 디렉토리에 있습니다. 그룹 정책 또는 보안 정책을 통해 이러한 디렉토리에 있는 2진 실행파일을 실행하지 못하도록 할 수 있습니다. 이 말은 사용자가 Invoice.exe를 더블 클릭하더라도 악성코드가 실행되지 않습니다. 이 것은 소프트웨어 제한 정책(Software Restriction Policies)으로 가능하며, 자세한 설정 방법은 이 블로그  에 있습니다. 이렇게 하면 다른 형태의 악성코드를 실행하는 것도 예방할 수 있습니다. 그룹 정책 편집 방법 : https://technet.microsoft.com/en-us/library/cc736591(v=ws.10).aspx 2. 시스템 완전 패치: Java, Shockwave, Flash 등 익스플로잇 킷은 악성코드가 실행되기 위해서는 클라이언트 컴퓨터의 취약점을 이용합니다. 일반적으로 Java, Shockwave 및 Adobe Reader의 취약점과 관계있습니다. 많은 윈도 시스템은 현재 자동 윈도 업데이트하도록 설정되어 있습니다. 4 Flash는 최근에 자동 업데이트로 통합되었습니다. 반드시 업데이트 만이 익스플로잇 킷 공격 성공을 방지할 수 있습니다. 종종 익스플로잇 킷이 제로데이 익스플로잇을 사용하지만, 흔한 경우는 아닙니다. 3. 실행파일이 첨부파일로 있는 이메일 비활성화 많은 랜섬웨어의 이메일은 실행파일을 첨부로 할용합니다. 이메일의 실행파일을 금지하면, 사용자가 수신하는 것을 방지할 수 있습니다. 또한 "이중 파일 확장명"이 포함 된 이메일을 잘 보시기 바랍니다. 일반적인 다른 속임수는 실행파일 또는 HTML 문서(실행 파일을 다운로드하기 위한 다른 속임수)가 포함된 zip 파일이 첨부된 것입니다. 사용자들에게 비정상적인 이메일을 찾아내도록 가르치고, 실행하지 않는 것이 중요합니다. 4. 강력한 백업 유지 마지막으로, 강력한 백업의 중요성입니다. 랜섬웨어에 감염되면, 조직에서는 선택할 수 있는 방법은 두 가지뿐입니다. 즉 백업에서 복원하거나, 몸값을 지불하는 것입니다. 백업을 사용할 수 있다면 번거로울 수 있지만, 데이터를 복구를 위해 엄청난 몸값을 지불하는 일은 없을 것입니다. 5. "백신" 사용 모든 랜섬웨어는 피해자의 컴퓨터가 여러 개의 키를 사용하여 암호화되어 있지 않은 지 확인하기 위해 몇 가지 메커니즘이 필요합니다. 전형적인 메커니즘은 레지스트리(또는 다른 아티팩트)에 공개키를 저장하는 것이며, 그래서 다음 감염(또는 동일한 악성 바이너리 실행하는 것)에서 처음 취득한 키만 사용합니다. 이러한 공격자 필요성을 무효화하거나 피해 컴퓨터를 복원할 수 있는 백신을 만드는 시도가 있었습니다. 이 방법을 사용하면 피해 컴퓨터가 가치가 있는 지 확인하기 위해 건별로 조사할 수 있도록 해줍니다. -- John Bambenek bambenek /at/ gmail /dot/ com 출처 : SANS 스톰센터 다이어리 / ITL시큐어인스티튜트 |
댓글 없음:
댓글 쓰기