윈도우서버 랜섬웨어 차단

최근에 윈도우 서버가 랜섬웨어에 감염이되어서 이를 해결할 만한 솔루션에 대한 문의가 자주 오고 있습니다. 많은 보안솔루션들이 랜섬웨어 차단기능을 탑재하고 있음에도 불구하고, 윈도우서버의 경우 중요한 서비스를 하는 서버의 특수성으로 인해 엔드포인트 보안 기능을 PC용보다 강하게 설정하지 못하는 경우가 많이 있습니다.


주요서비스와 충돌이 있지는 않은지 하는 우려 때문일 것 입니다. 사실 어떤 서비스가 갑자기 중지되었을 때 우리는 늘 백신을 OFF하거나, 삭제하는 작업을 제일 먼저 수행해 보기도 합니다.


                                                        



KnowBe4라는 회사에서 무료로 제공하는 랜섬웨어 시뮬레이션툴인 RanSim을 통해 몇 개 엔드포인트 보안 솔루션의 랜섬웨어 탐지능력을 테스트 해 보았습니다. 1회성 테스트이고, 자동보호 옵션을 OFF한 결과값이기 때문에 객관적인 자료로 활용하기에는 무리가 있는 간단한 테스트 결과라고 이해를 부탁 드립니다. 



측정값의 의미


VULNERABLE : 랜섬웨어를 탐지하지 못함

NOT VULNERABLE : 탐지함

INCOMRRECTLY BLOCKED : 오탐 ( 랜섬웨어와 비슷한 정상 행위 )


해당 툴은 19개 유형의 시스템에 무해한 최신 랜섬웨어를 시뮬레이션합니다. 


측정 시 설정


대부분 보안소프트웨어는 자동보호/실시간탐지 기능에서 랜섬웨어 시뮬레이터라는 실행파일을 차단하는 경우가 많이 있어서 파일을 실행하는 부분은 차단이 안되도록 자동보호/실시간탐지를 off한 상태로 측정했습니다.



[ 윈도우10(1909) Defender ]




전체 19개의 시나리오 중에서 2개를 탐지, 16개는 미탐지.  ( 1개는 실행이 되지 않아서, 결과값 없음 )



[ SEP 14 (14.2 RU2 MP1 ) - 시만텍 ]








SEP의 Sonar엔진에서 2개를 탐지하고 Defender와 같은 결과값을 보여 줍니다.




[ Sophos Endpoint Protection with Intercept X ]





Sophos는 악성행위차단(HIPS)을 통해 13개로 비교적 많은 숫자를 차단했으며, 1개의 오탐이 있습니다.



[ Sonicwall Capture Client ]


Capture Client는 19개 모두를 탐지했습니다. 다만, 랜섬웨어와 유사한 2개의 행위를 오탐했는데, 이는 해당 프로세스를 

화이트리스트에 등록하면 해결이 됩니다.



Capture Client 소개


Capture Client는 네트워크 보안 전문회사인 미국 Sonicwall사의 엔드포인트보안 솔루션이며, 뛰어난 AI기반 행위기반탐지 기술로 유명한 Sentinelone 엔진이 포함되어 있습니다. 기본 EDR이 포함되어 있으며 설치도 간단하고, 시스템 리소스도 다른 '백신'보다는 덜 차지해서 부하가 거의 없습니다. 또한 기본 Sentinelone엔진에 소닉월자체의 웹필터링, 디바이스제어 등의 기능을 포함하며, 방화벽을 소닉월을 사용할 경우 연동을 통한 보안을 강화할 수 있습니다. 


가장 매력적인 기능은 아마도 Rollback 기능이 아닐까 합니다.



Rollback 기능은 윈도우 VSS(Volume Shadow Copy Service)를 이용하여 4시간 주기로 복원이미지를 생성하는 기능으로, 디스크의 최소 10%정도의 공간을 이미지 생성에 할당해 주면 됩니다. ( 이것은 현재 Caputre Client의 유일한 기능으로 알려져 있습니다. ) 


보통 랜섬웨어 차단 솔루션은 암호화한 데이터를 암호화되기 전에 백업을 받고, 암호화된 이후 다시 백업받은 데이터를 복원해 주는 기능을 포함하는 경우가 많습니다. 그런데 만일 솔루션이 랜섬웨어가 감염으로 변경된 파일,레지스트리,시스템환경 값 등을 솔루션이완벽하게 이전상태로 복원해 주지 않으면 악성코드가 여전히 시스템에 남아있거나, 좀비프로세스가 다시 활동을 준비 중일 수도 있을것 입니다. 그렇기 때문에 설사 랜섬웨어를 차단했어도 관리자는 시스템을 포멧하고 OS를 재설치 하고 싶다는  생각이 들기도 합니다.


가격이 저렴하고, 기본 클라우드 관리콘솔을 제공하기 때문에 중소기업에서는 매우 효과적인 솔루션 입니다.


감염되기 전 상태로 시스템을 복구할 수 있다면 시스템은 더 안전한 상태를 유지할 수 있을 것 입니다.


윈도우서버의 가장효과적인 랜섬웨어 대비책이 될 수 있습니다.

[출처] https://blog.naver.com/onclraon/221901266271

3개의 댓글이 있습니다.

4달 전

캡쳐 클라이언트가 상당히 매력적이네요
정보 공유 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4달 전 | (주)라온에스앤에스 | 010-4258-9414

실시간 감시에서 대부분 잡는다는 것은 장담할 수 없을 듯 합니다. 테스트 시뮬레이터는 대놓고 악성행위를 하는 실행 프로세스이고, 실제 악성코드는 이렇게 누구나 탐지할만한 실행파일 형태로 동작하지 않기 때문입니다.

홍보성 글이기도 하지만 저희도 테스트 해본 후 고객에게 정말 유용한 솔루션이라 생각이 들어 최근에 윈도우서버에 랜섬웨어가 감염되었다고 연락이 오는 고객사에게 제안을 드리고 있습니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4달 전

홍보이신듯하지만 그래도 재밌게 봤습니다
실시간 감시를 키면 대부분은 잡아내겠죠?

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입