최근 스팸메일이 엄청 증가하지 않았나요?

랜섬웨어로 한정해서 말씀 드리면..

과거 스팸메일의 피해는 메일안에 직접 감염시키는 악성코드가 첨부되어있고

사용자가 이를 실행하면 PC가 암호화 되는거였습니다.


요즘의 스팸메일은 다른게

엑셀이나 워드 같은 파일이 첨부되어 클릭하면..

매크로가 동작을 하는데..

이렇습니다.

1. 해커가 준비한 클라우드 서버에서 프로그램을 다운 받아서 실행
 -> 첨부된 파일의 역할은 여기 까지입니다. 그래서 Virus Total에 돌려보면 전부 트로이 목마로 뜨죠.

2. 문제는 1번의 그 실행된 프로그램이 해커의 C&C 서버와 원격을 열어주는 동작을 한다는것입니다.

스팸 메일 첨부파일 실행하고 PC 켜고 퇴근하면 새벽에는 내 PC가 아니라 해커의 PC가 되는겁니다.
https://www.krcert.or.kr/data/reportView.do?bulletin_writing_sequence=35006&queryString=cGFnZT0xJnNvcnRfY29kZT0mc2VhcmNoX3NvcnQ9dGl0bGVfbmFtZSZzZWFyY2hfd29yZD1hZCZ4PTAmeT0w

전형적인 APT 형태의 침해죠.


앞서 얘기한 PC의 직접의 경우는 요란하게 말들은 많지만..

해커들에게 수익은 별로 주지 못한것 같은데..

요즘 도는 APT 형태의 스팸은 Clop 랜섬웨어로 꽃을 피우고

다들 쉬쉬해서 드러나지는 않고 있지만

해커들에게 엄청난 수익을 주고 있느것 같습니다.

그렇다 보니 엄청 열심히들 일을 합니다. (스팸 메일량..)


원격코드를 다운받는 서버나

C&C 서버를 차단 하려고 스팸메일의 첨부를 까보기도 하고

심지어 일부러 실행시켜서 원격코드를 다운 받아서 실행도 시켜보는데

이게 발전을 해서..

IP 하나로 운영하는게 아니라

전세계 클라우드를 이용해서 서버를 만들어 놨더라구요. ㅎㅎ

소스에 박혀있는 주소로 Ping 쳐보면 IP가 계속 바껴요 ㅎㅎ



봇이나 프로그램이 기계적으로 피해를 주는게 아니라 

원격 세션이 연결되면 해커가 들어와서 수동으로 작업을 하는것이기 때문에

얘네들도 세션 맺어지면 공인IP로 회사 확인하고 돈 뜯어 먹을수 있겠다 싶으면 작업에 들어가는것 같습니다.




예방을 위해서 가장 중요한건 스팸 필터 최신화입니다.

클라우드 메일 쓰시면 모르겠지만.

자체 메일 쓰시면 스팸 필터는 무조건 쓰셔야 하고

이미 있다면 최신 버전으로 무조건 업그레이드 하셔야 해요..,.

그렇게 해도 패턴 업데이트 되기전 몇통씩은 뚫고 들어오고 몇명은 클릭을 합니다.


그리고 지금 쉐어드 IT에서 악성메일 모의 훈련 솔루션 리뷰 진행하는데

직원 1000명 이상 되신다면.. 시간내서 진행 해보세요.

도입을 하면 가장 좋지만

도입을 못하더라도 일단 진행을 해보시면

스팸 메일 몇통이 들어오면 몇명이 클릭을 하는구나 

그리고 공지후에 얼마나 줄어드는구나 이게 감이 잡힙니다.


그리고 공지 자주 하시구요.

이런거 하면.. 스팸 메일 들어와도 클릭하지 않는 비율도 올라가지만 신고율이 올라갑니다.

들어온 스팸은 사용자들이 신고해주지 않으면 알수가 없어요.

신고 들어오면 메일서버에서 같은 메일 받은 사람들 추려서 안내 메일을 보내야하구요.

만약 스팸 메일 첨부파일 실행했다면..
1, PC 재부팅(해커서버와 세션 해제)
2, 계정 비번 변경(계정 정보 유출 대비)
3. 백신 풀스캔(해커가 남겨놓은 악성코드)
4, 일주일간 PC OFF 퇴근


짧게 쓴다는게 길어졌네요.. ㅜㅜ
태그가 없습니다.

22개의 댓글이 있습니다.

| 5년 이하 전

스팸필터 사용중인데도 업체에서 패턴 업데이트 실시간으로 안되더라구요
요즘 스팸 때문에 아주 머리 아포요~
 
| 5년 이하 전

혹시 스팸필터 버전이 최근의 버전인가요? 5년 정도 경과된 제품쓰다가 최신 버전으로 업그레이드했더니 필터율이 확 올라가더군요. 근데.. 그러고도 새로운 패턴의 처음 몇통은 못막더라구요. 조금 지나면 패턴 업데이트 되어서 막히구요.
| 5년 이하 전

제 생각에는 해커 집단에서도 스팸필터 놓고 테스트 할것 같아요.
| 5년 이하 전

좋은 정보 감사합니다.
| 5년 이하 전

좋은 정보 나눠주셔서 감사합니다....

항상 조심하는수밖에 없는것 같네요

막으면 뚫고,...막으면 뚫고,...막으면 뚫고,...

챗바퀴인것 같습니다.
 
| 5년 이하 전

저희도 모의 test 진행하고 싶으나 서비스 문제 생길까봐~
엄두도 안나네요
좋은 정보 감사합니다.
| 5년 이하 전

KISA 의 AD 랜섬 내용 보다가 깜짝 놀랐...
| 5년 이하 전

말못할 피해가 엄청 나다는것만 말씀 드립니다.
| 5년 이하 전

랜썸웨어가 점점 지능화되어가는것 같습니다.
예전 윈도우xp에서 많이 걸리다가.. 다시 윈7에서 많이 감염되고..
최신 OS 및 보안업데이트도 지속적으로 해야할것 같습니다.
1st 5stars
| 5년 이하 전

시간적 여유가 있고, 호기심이 발동하면 한번씩 첨부 파일 열어서 쭉 훑어 보기도 합니다~ㅎㅎ
어떤 경우에는 난독화가 되어 있어 복호화 하기가 귀찮아 그냥 덮어 버리기도 하고~
난독화가 되어 있지 않더라도,  악성 스크립트가 줄 내리기, 들여 쓰기같은게 전혀되지 않은 형태로 되어 있어 시간 여유가 많지 않고서는 세세하게 보고 싶은 마음이 잘 생기지가 않더라구요~ ㅎㅎㅎ

요즘 랜섬웨어는 바이러스형태가 많아서 재 부팅 시킨 후에도 다시 작동하는 경우가 많아 껐다 켰다고 안심해서는 안될 거 같고요.
컴퓨터에 중요 자료가 있을 경우에 의심스런 상황이 인지되었다면,
재빨리 컴퓨터를 강제로 꺼 버리고, 디스크를 분리한 후에 깨끗한 컴퓨터에 디스크를 연결해서
이미지 복제 툴등을 이용해서 디스크 통채로 백업을 우선 받고,
악성 코드 점검 등의 조치를 취한 후에 원래 컴퓨터에 다시 연결해서 확인해 볼 필요가 있을 것 같아 보이고요~

내용 잘 읽었습니다~ ^^
| 5년 이하 전

많은 공부가 되었습니다~
| 5년 이하 전

저도 모의 시험은 해보고 싶지만 이게 위에 보고를 드려야 할 사항이라서 
업무가 방해될 수 있기에 신중할 수 밖에 없네요 

지금으로써는 직원들에게 제보를 받고 계속 스팸 필터 업데이트만 하고 있죠. 
| 5년 이하 전

Risk에 비하면 그정도의 업무 방해는 일도 아닌데 말이죠.. 윗분들과의 소통이 무엇보다 중요한것 같습니다.
| 5년 이하 전

지금 상황에서 스팸 메일 때문에 큰 문제가 없으니깐요 스팸 메일이 많이 들어고 악성 메일 때문에 업무를 할 수 없다면 모를까 지금 업무를 잘하고 있는데 왜 이런 일을 벌이냐 라고 오히려 역공이 들어올 수 있으니 그게 우려스러운거죠.
| 5년 이하 전

회사 일이라는 게 잘하는 것도 중요하지만 사내 정치적인 문제로 퍼지지 않게 괜히 긁어 부스럼 안만드는 게 중요하죠.
| 5년 이하 전

IT 라는 게 잘하면 본전, 못하거나 괜히 이상한 짓을 하면 욕 먹는 곳이잖아요 안정적으로 관리하는 게 중요한 문제이죠.
| 5년 이하 전

서버부터 정성스레 구성했네요
DNS부터 라운드로빈이면, GSLB까지 해놨을 가능성도 있네요.
작정하고 하네요
| 5년 이하 전

예전처럼 장난으로.. 몇명이 하는게 아니라.. 기업 단위로 진행 되고 있다는게 느껴집니다. 수익성으로 따지면 왠만한 기업들 못지 않을거에요.
| 5년 이하 전

저희 회사 윈10 올린 PC들은 랜섬웨어 피해가 없는데 다른 회사 회원님들도 같은 느낌? 경험? 이신지 궁금하네요
| 5년 이하 전

저희도 그와 유사한것 같습니다. 윈xp, 윈7은 많이 감염되고.. 그 이상 버전에서는 잘 안걸리는..물론 상대적이지만.
| 5년 이하 전

좋은정리 감사합니다.
| 5년 이하 전

좋은 정리 감사합니다~~~~

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입
  • 5년 이하 전
  • 댓글 : 5년 이하 전
  • 5년 이하 전
  • 댓글 : 5년 이하 전
  • 스팸 메일의 악성코드 까보셨나요? [22]
  • 낭만생선
  • | 1110 읽음
  • 5년 이하 전
  • 댓글 : 5년 이하 전
  • 5년 이하 전
  • 댓글 : 5년 이하 전
  • 5년 이하 전
  • 댓글 : 5년 이하 전