랜섬웨어 차단 체험기 feat. Sophos Intercept X

랜섬웨어 차단 체험기 feat. Sophos Intercept X

좀 10시정도에... PC를 켰는데.. 미친듯이 느려지더군용…

잠깐 CMD 창도 켜지고,

리소스 관리자에서 익스플로러는 메모리를 1GB 를 잡아먹어서 강제 종교하고… 또 소포스 관련 메모리는 많이 올라가고..

그러다가 한참 뒤에 PC가 조용해졌습니다.

 

그리고 메일이 한통 왔습니다.

제가 랜섬웨어에 감염 되었답니다. ㅠㅠ



크립토가드(CryptoGuard)가 랜섬웨어를 차단했습니다 

놀란 마음을 가라앉히고, 어디서 랜섬웨어에 걸렸을까 짐작해보니 어제 제가 ISMS 관련 자료를 찾으면서, 티스토리에 들어갔을 때 팝업 창이 엄청 떴었습니다

그때 뭔가 이상한거 같다고 생각했는데, Drive by Download 형태로 자동 랜섬웨어 악성코드가 다운로드 된거 같습니다. 

정확한 원인을 확인하기 위해 바로 소포스 센트럴 웹관리페이지의 위협 분석 센터에 들어가 봤습니다. 

저에 대한 사용자 로그를 확인해보면, 4월 2일에 티스토리에 접속시 액세스가 차단되었다는 메시지, 
그리고, 4월 4일 오전에 파워쉘로 랜섬웨어가 실행되었고, 소포스 인터셉트X에서 랜섬웨어 정리 되었다는 로그를 확인할 수 있었습니다.

사용자 이벤트 로그에서 랜섬웨어의 원인과 실행 파일 로그가 보입니다.

센트럴 어드민의 위협 분석 센터에서는 4월 2일의 자동 위협에 대한 내용이 분석되어 있습니다. 

랜섬웨어의 근본 원인이 무엇인지 확인할 수 있습니다

티스토리에 접속했을 때 여러 개의 팝업이 자동으로 띄워졌다고 말씀드렸는데, 분석내용에서 멀웨어와 연관된 URL에 대한 엑세스를 시도했다고 나옵니다. 
아마도 그 중에 몇 개 팝업에서 자동으로 악성코드를 다운받고 다시 PC가 켜질 때 실행된게 아닌가 생각됩니다. 

그 다음 위협분석 내용으로 4월 4일의 랜섬웨어 실행 부분을 확인 하였습니다. 
위협 분석에는 해당 악성 코드가 어떠한 행위를 했는지를 분석 후 가시성 있는 그래프를 작성해줍니다. 



랜섬웨어가 어떠한 과정을 통해 실행되었는지 나타납니다

위의 분석 그래프를 보면, 익스프로러11이 실행 되었고, CMD 창에서 파워쉘을 실행하였습니다. 


상기 파웨쉘 부분을 조금 더 확대 해보면 아래와 같이 나옵니다. 

파워셀이 어떤 명령을 실행했는지까지 확인 가능합니다

어떤 명령을 실행했는지까지 확인이 가능합니다. 아래와 같이, 파워쉘에서 특정 IP에 연결을 시도하고, 파일에 대한 변경을 시작하였는지 세세한 내용까지 파악이 가능합니다.

파워셀이 실행한 세세한 명령까지 파악할 수 있습니다

이러한 랜섬웨어로 인해 실행된 파워셀의 명령을 소포스 인터셉트X가 랜섬웨어로 인지하고 해당 악성코드 프로세스 중지, 파일 변경 중지 및 변경 전 파일을 복구 하였습니다. \(T∇T)/

최종적으로 모든 상태가 정상화 되고, 저에게 메일로 감염 사실을 통지 하였습니다. 
실제 랜섬웨어를 차단하는 모습을 보니 마음이 놓입니다 
 

최종적으로, 폴더에서 실제 파일 복호화가 이루어졌는지를 확인해 보았습니다.

아래와 같이 랜섬웨어가 일부 폴더 및 파일을 암호화 시도 하였지만, 인터셉트X에서 랜섬웨어의 실행을 즉시 강제 Kill 하고

암호화 시도 했던 파일은 복호화 되었고, 정상 실행이 되었습니다. 






 

상기 폴더에서 setup.msi 파일이 복호화 되었고, 정상 실행됨을 확인 할 수 있었습니다.

 

소포스 인터셉트X는 기본 RAM 4GB 이상의 PC 또는 서버에서 실행을 권장하고 있습니다.

이유는, 특화된 AI 분석에 따른 악성행위 검사와 탁월한 랜섬웨어 차단 기능 등에 좀 더 많은 리소스가 필요하기 때문입니다.

 

하지만, 기존 백신 + 안티랜섬웨어 제품을 같이 사용하신다면 거의 비슷한 리소스 점유율을 보이고 있다고 생각하시면 됩니다.

 

소포스 인터셉트X 주요 특징

백신+안티랜섬웨어

n  랜섬웨어 감염시 파일 무단 변경을 감지 후 악성 프로세스 종료 및 삭제, 일부 암호화된 파일 복호화 수행

n  단일 Agent 로 기능 구현

n  여러대의 서버 백신 관리를 무상제공하는 클라우드 관리 콘솔로 관리

n  매체제어, 웹제어, DLP 등 다양한 기능 탑재

n  리눅스 지원(다만, 리눅스 버전은 백신 기능만 가능 – 타사 경쟁 제품도 동일함)

n  100% 한글화 메뉴 지원

 

업무에 참고 하시기 바라며


통합보안백신으로는 소포스 “인터셉트X”를 한번 검토 해보시길 원하신다면 
저희 아이비인포텍으로 연락 부탁드립니다 :)  


 

 

감사합니다.



 

7개의 댓글이 있습니다.

4년 이상 전

좋은 참고가 되겠습니다~ 감사합니다~

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

5년 이하 전

분기마다 걸리는 랜섬웨어 처리를 어떻게 처리할지 고민 했는데 참고 하겠습니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

5년 이하 전 | 아이비인포텍(주) | 070-4323-3191

먼저, 관심 감사합니다.
당시 상황은 저희가 소포스의 통합보안백신 제품인 인터셉트X를 테스트 하였을때 실제로 제 PC에서 우연히 발생된 상황이었습니다.

소포스 인터셉트X라는 제품은 기존의 멀웨어 백신 + 안티랜섬웨어 기능이 함께 하나의 제품으로 탑재가 되어 있습니다.

작동 로직은 아래와 같습니다.
백그라운드로 작동되는 소포스 백신 엔진은 크게 4가지 기능을 하고 있습니다.
1. 실시간 멀웨어 감시 및 차단 & 치료
2. 보안취약점 Exploit 공격 감시 및 차단
3. 파일 암호화 차단 & 치료 - Cryptoguard
4. Disk Boot Record 보호 - WipeGuard

멀웨어 실시간 감시의 작동 프로세스는 아래와 같습니다.
1. 멀웨어 엔진에서 알려진 것들은 기존 패턴 엔진에서 1차로 스캐닝 후 알려지지 않은 수상한 패턴은 행동기반의 예측 패턴으로 다시 걸러집니다.
2. 어떠한 행동을 하였을때 그 프로세스를 바이러스, PUA, 트로이 등으로 구분하여 문제가 있는 프로세스를 Kill 하고, 해당 원본 파일을 삭제 합니다.
3. 어떠한 프로세스는 파일을 Open 하고 변형을 하려 합니다. Cryptoguard는 모든 프로세스가 다른 파일들을 Open 할때를 상시 감시하고, Open 할때한 파일을 로컬 드라이브에 즉시 임시 복사본을 만듭니다.
4. Cryptoguard 자체 스냅샷 기술을 사용하여 복사본이 생성되므로 ransomware 변종이 사용하는 쉐도우 복사본(VSS)을 삭제하는 것과 같은 기술의 영향을받지 않습니다.
5. 3~5개의 파일이 순식간 Open되어 수정이 되었다면, CryptoGuard 는 해당 프로세스를 랜섬웨어로 인지하고 경고창을 띄우고 즉시 프로세스Kill 후 해당 파일을 삭제 합니다.
6. 그리고 자체 스냅샷 기술로 복사해 놓은 원본파일을 원래 위치로 복원시킵니다.
7. 원본이 ransomware에 의해 암호화되지 않은 것으로 판명되면 복사본이 제거됩니다. 따라서 임시로 복사 된 파일의 캐시는 계속 증가하지 않고 커지지 않습니다.
8. 부트레코드 영역 실시간 보호를 통해 변경을 가하는 랜섬웨어 발견시 즉시 차단

안티랜섬웨어 파일 암호화 차단&치료 기능 작동 영상
https://vimeo.com/180040392
00:34초 - 워드파일 스크립트 실행, 소포스에서 랜섬웨어 인지, 파일 암호화 시작 & 프로세스 Kill, 파일 복호화

부트레코드 영역 보호 기능 작동 영상
(https://www.youtube.com/watch?v=RdrYMWgufgk (NotPetya 랜섬웨어 차단 내용)
3분 25초 NotPetya 랜섬웨어 감염후 재부팅 되고, CHKDSK 작동 (CHKDSK라고 나오지만 부트영역 및 전체 디스크 암호화 되고 있는 과정)
5분 10초 파타야 랜섬웨어 작동시 소포스 백신에서 즉각 감지 및 부트레코트 변경 차단

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

1st 5stars

5년 이하 전

잘 대응해 주는 제품인거 같아 보이네요.
복호화는 암호화 된걸 복호화한게 아니고, 백업 본으로 복구해 낸게 아닌가 하는 느낌도 드네요.

Reply

5년 이하 전 | 아이비인포텍(주) | 070-4323-3191

네 복호화라는 표현이 약간 혼돈이 있을수 있겠네요. 말씀하신대로 파일을 순간 백업 후 복구해준다고 생각하시면 되겠습니다 ^^

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

5년 이하 전

좋은 정보 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

5년 이하 전

소포스 DEMO해봤는데 좋더라구요.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입