안녕하세요. 오늘은 'Anti Reversing'을 주제로 포스팅을 하겠습니다.

 

1. Anti Reversing이란

 우선 'Reversing'이란 무엇일까요? 정보보안에서 Reverse Engineering이란 기계어로 이루어진 실행 파일을 분석하여 프로그램의 동작 방식(로직)을 유추하는 기술입니다.

 

 개발자가 아니신 분을 위해 설명을 덧붙이자면, 기계어란 컴퓨터가 이해할 수 있는 이진수로 작성하는 언어입니다. (ex. 0101010101...) 이진수로 이루어져 있기 때문에 사람이 기계어를 이해하기 쉽지 않죠.

개발자들은 C 또는 Java와 같은 인간이 이해하기 쉬운 프로그래밍 언어를 통해 프로그램의 소스코드를 작성하고,
이를 컴퓨터가 이해할 수 있는 언어인 기계어로 컴파일한 뒤 exe와 같은 실행 가능한 File로 프로그램을 빌드한 후 배포를 합니다.

 Reversing이 무엇인지 알았으니, 'Anti Reversing'이 무엇인지 바로 감이 올것입니다. 여러분이 생각대로 Anti Reversing이란 Reversing하는 것을 방해하는 기술입니다. 그럼 왜 Reversing하는 것을 막으려고 하는 것일까요? 그건 'Reversing'이라는 기술이 악의적인 목적으로 사용될 수 있기 때문입니다. 악의적인 목적으로 사용되는 예시를 들자면, Program Copy나 프로그램의 라이센스 없이 crack을 통해 사용하는 것 등이 있습니다. 총 정리해보면 'Anti Reversing'이란 '악의적인 목적을 가진 이가 Reversing하는 것을 방해하는 기술'이라고 할 수 있습니다.

Reverse Engineering은 개발자가 완성된 프로그램을 patch할 때나, 악성코드 분석 할 때 등 좋은 목적으로 사용되기도 합니다.

<Reversing의 정의>
   - 기계어로 이루어진 프로그램 실행 파일을 분석하여 프로그램의 동작 방식을 분석하는 것

<Anti Reversing의 정의>

   - Reversing을 방해하는 기술 (프로그램 로직을 분석할 수 없도록하는 기술)

   - 악의적인 목적을 가진 이가 Reversing하는 것을 방해한다                   

 

2. 마무리

 사실 Anti Reversing 기법의 종류에 대해서도 다룰려고 했으나, 워낙에 많은 기법들이 있어 소개해 드리기가 어려워 정의에 대해서만 짧게 알려드리고 마치게 되었습니다. (몇가지 알려드리자면 api를 이용해 debugger를 탐지하거나 TLS 기법을 이용한 방법들이 있습니다.) 그럼 오늘은 이렇게 'Anti Reversing'에 대한 포스팅을 끝마치겠습니다. (다음번에 시간이 된다면 anti-reversing 기법에 대해 추가로 포스팅 하겠습니다.) 읽어주셔서 감사합니다. 

 

'정보보안' 카테고리의 다른 글

5. 시스템 해킹 (System hacking)  (145) 2018.01.29
4. Worm  (2) 2018.01.11
3.메모리 보호기법  (2) 2018.01.05
Ransomware  (0) 2017.12.18

 첫 포스팅으로 최근 몇 년 동안 국내외로 큰 이슈를 일으켰던 랜섬웨어(Ransomware)에 대해 다루겠습니다. 

 

1. 랜섬웨어의 어원

 우선 어원부터 알아보겠습니다. 랜섬웨어의 어원은 '몸값, 몸값을 반환하다'라는 뜻의 'Ransom'과 프로그램이라는 뜻의 'Software'가 합쳐진 합성어입니다. 실제로 랜섬웨어는 피해자의 시스템을 인질로 금전(=몸값)을 요구하는 악성 프로그램입니다.

<Ransomware의 어원>
  - Ransom(몸값, 몸값을 반환하다) + Software의 합성어

<Ransomware의 정의>
  - 시스템을 잠그거나 피해자의 개인 데이터를 암호화해 접근할 수 없도록 한 후, 이를 인질로 금전을 요구하는 악성 프로그램 (Malware)

 

2. 잘 알려진 랜섬웨어

1). WannaCry

 먼저 올 한해 전 세계적으로 큰 피해를 입힌 'WannaCry'는 2017년 5월 12일부터 등장한 랜섬웨어로 이터널 블루라는 마이크로소프트 윈도우의 취약점을 악용하여 제작되었고, 감염이 되면 시스템 내의 파일들이 암호화됩니다.

 

2). Locky

 2016년 2월에 첫 등장한 'Locky'는 다양한 파일을 암호화한 후 확장자 명을 (.locky)로 변경시키는 랜섬웨어로, 'RSA-2048', 'AES-128'유형의 암호화 기법을 사용하며 locker 계통 중에서 가장 막강한 유형의 랜섬웨어입니다. 

 

3). TeslaCrypt

 'TeslaCrypt'는 'CryptoLocker'와 'CryptoWall'을 조합해서 만들어진 랜섬웨어로 문서파일뿐만 아니라 게임 파일까지 감염시킵니다. 

 

4). RaaS(Ransomware as a Service)

 'RaaS(Ransomware as a Service)'란 실제 랜섬웨어의 명칭이 아니라 랜섬웨어가 서비스 형태로 진화된 것을 말하는 것입니다. 여기서 말하는 서비스 형태란 실제 RaaS형 랜섬웨어를 제작한 사람인 '제작자'와 이 랜섬웨어를 사용해 공격하는 '공격자'가 나누어져 있는 것으로 '공격자'는 랜섬웨어를 제작할 기술적 역량이 없어도 제작자로부터 랜섬웨어를 제공받아 공격할 수 있습니다. (본래의 랜섬웨어는 제작자가 공격하는 형태였습니다.) 이러한 RaaS 계통의 랜섬웨어로는 '케르베르(Cerber)', '사탄(Satan)'등이 있습니다. 

<Ransomware>

  1). WannaCry (2017년 5월 12일 등장)

      -이터널 블루 취약점 사용 (마이크로소프트 윈도우)

      -한국어를 비롯한 28개의 다국적 언어를 지원

  2). Locky(2016년 2월 등장)

      -파일 암호화 후 확장자 명을 (.locky)로 변경

      -RSA-2048과 AES-128 유형의 암호화 기법 사용

      -locker 개통의 랜섬웨어 중에서 가장 막강

  3). TeslaCrypt 

      -'CryptoLocker'와 'CryptoWall'을 조합해 제작

      -문서 파일 외에도 게임 파일 또한 감염

  4). RaaS (실제 랜섬웨어 x, 신 유형의 랜섬웨어 o)

      -이전과는 달리 서비스 형태로 진화된 랜섬웨어들을 통칭

      -랜섬웨어 제작자가 공격자에게 랜섬웨어를 제공하면, 공격자가 제공받은 랜섬웨어를 통해 공격하는 형태

      -RaaS 계통의 랜섬웨어: 케르베르(Cerber), 사탄(Satan)

 

3. 감염 경로

 세 번째로 랜섬웨어 감염경로에 대해 알아보겠습니다. 감염 경로로는 '신뢰할 수 없는 사이트', '스팸메일', '파일 공유 사이트', 'SNS', '네트워크망' 이 있습니다. 신뢰할 수 없는 사이트의 경우 단순히 페이지 방문만으로도 Drive-by-Download 기법을 통해 랜섬웨어가 설치되어 감염될 수 있습니다. 스팸메일은 출처가 불분명한 이메일 수신 시 첨부파일 또는 메일에 URL 링크를 넣어 악성코드를 유포합니다. 파일공유 사이트는 Torrent, 웹하드 등 P2P 사이트를 통해 파일을 다운로드하고 이를 실행할 경우 감염됩니다. SNS로는 sns에 올라온 사진 및 단축 URL을 이용해 랜섬웨어를 유포합니다. 네트워크망으로는 네트워크를 통해 최신 보안패치가 적용되지 않은 PC를 스캔하여 악성코드를 감염 및 확산시킵니다.

<Ransomware 감염경로>

  1). 신뢰할 수 없는 사이트

      -단순한 페이지 방문으로도 감염

      -Drive-by-Download 기법을 통해 유포

  2). 스팸메일

      -첨부파일 및 메일에 URL 링크를 넣어 악성코드를 유포

  3). 파일공유 사이트

      -P2P 사이트에서 파일을 다운로드하고 이를 실행할 경우 감염 (Torrent, 웹 서버)

  4). SNS

      -SNS에 올라온 사진 및 단축 URL을 통해 유포

  5). 네트워크망

      -네트워크를 통해 최신 보안패치가 적용되지 않은 PC를 스캔하여 악성코드를 감염 및 확산.

 

4. 마무리

 이로써 랜섬웨어에 대한 포스팅을 마치겠습니다. 그리고 마지막으로 당부드리고 싶은 것은 랜섬웨어에 걸리지 않도록 위에 나와있는 감염경로를 조심하시고, 자신이 쓰는 운영체제의 보안 패치를 꼭 받는 것입니다. 읽어주셔서 감사합니다.

'정보보안' 카테고리의 다른 글

5. 시스템 해킹 (System hacking)  (145) 2018.01.29
4. Worm  (2) 2018.01.11
3.메모리 보호기법  (2) 2018.01.05
Anti Reversing  (0) 2017.12.27

+ Recent posts

티스토리툴바