첫 포스팅으로 최근 몇 년 동안 국내외로 큰 이슈를 일으켰던 랜섬웨어(Ransomware)에 대해 다루겠습니다. 

 

1. 랜섬웨어의 어원

 우선 어원부터 알아보겠습니다. 랜섬웨어의 어원은 '몸값, 몸값을 반환하다'라는 뜻의 'Ransom'과 프로그램이라는 뜻의 'Software'가 합쳐진 합성어입니다. 실제로 랜섬웨어는 피해자의 시스템을 인질로 금전(=몸값)을 요구하는 악성 프로그램입니다.

<Ransomware의 어원>
  - Ransom(몸값, 몸값을 반환하다) + Software의 합성어

<Ransomware의 정의>
  - 시스템을 잠그거나 피해자의 개인 데이터를 암호화해 접근할 수 없도록 한 후, 이를 인질로 금전을 요구하는 악성 프로그램 (Malware)

 

2. 잘 알려진 랜섬웨어

1). WannaCry

 먼저 올 한해 전 세계적으로 큰 피해를 입힌 'WannaCry'는 2017년 5월 12일부터 등장한 랜섬웨어로 이터널 블루라는 마이크로소프트 윈도우의 취약점을 악용하여 제작되었고, 감염이 되면 시스템 내의 파일들이 암호화됩니다.

 

2). Locky

 2016년 2월에 첫 등장한 'Locky'는 다양한 파일을 암호화한 후 확장자 명을 (.locky)로 변경시키는 랜섬웨어로, 'RSA-2048', 'AES-128'유형의 암호화 기법을 사용하며 locker 계통 중에서 가장 막강한 유형의 랜섬웨어입니다. 

 

3). TeslaCrypt

 'TeslaCrypt'는 'CryptoLocker'와 'CryptoWall'을 조합해서 만들어진 랜섬웨어로 문서파일뿐만 아니라 게임 파일까지 감염시킵니다. 

 

4). RaaS(Ransomware as a Service)

 'RaaS(Ransomware as a Service)'란 실제 랜섬웨어의 명칭이 아니라 랜섬웨어가 서비스 형태로 진화된 것을 말하는 것입니다. 여기서 말하는 서비스 형태란 실제 RaaS형 랜섬웨어를 제작한 사람인 '제작자'와 이 랜섬웨어를 사용해 공격하는 '공격자'가 나누어져 있는 것으로 '공격자'는 랜섬웨어를 제작할 기술적 역량이 없어도 제작자로부터 랜섬웨어를 제공받아 공격할 수 있습니다. (본래의 랜섬웨어는 제작자가 공격하는 형태였습니다.) 이러한 RaaS 계통의 랜섬웨어로는 '케르베르(Cerber)', '사탄(Satan)'등이 있습니다. 

<Ransomware>

  1). WannaCry (2017년 5월 12일 등장)

      -이터널 블루 취약점 사용 (마이크로소프트 윈도우)

      -한국어를 비롯한 28개의 다국적 언어를 지원

  2). Locky(2016년 2월 등장)

      -파일 암호화 후 확장자 명을 (.locky)로 변경

      -RSA-2048과 AES-128 유형의 암호화 기법 사용

      -locker 개통의 랜섬웨어 중에서 가장 막강

  3). TeslaCrypt 

      -'CryptoLocker'와 'CryptoWall'을 조합해 제작

      -문서 파일 외에도 게임 파일 또한 감염

  4). RaaS (실제 랜섬웨어 x, 신 유형의 랜섬웨어 o)

      -이전과는 달리 서비스 형태로 진화된 랜섬웨어들을 통칭

      -랜섬웨어 제작자가 공격자에게 랜섬웨어를 제공하면, 공격자가 제공받은 랜섬웨어를 통해 공격하는 형태

      -RaaS 계통의 랜섬웨어: 케르베르(Cerber), 사탄(Satan)

 

3. 감염 경로

 세 번째로 랜섬웨어 감염경로에 대해 알아보겠습니다. 감염 경로로는 '신뢰할 수 없는 사이트', '스팸메일', '파일 공유 사이트', 'SNS', '네트워크망' 이 있습니다. 신뢰할 수 없는 사이트의 경우 단순히 페이지 방문만으로도 Drive-by-Download 기법을 통해 랜섬웨어가 설치되어 감염될 수 있습니다. 스팸메일은 출처가 불분명한 이메일 수신 시 첨부파일 또는 메일에 URL 링크를 넣어 악성코드를 유포합니다. 파일공유 사이트는 Torrent, 웹하드 등 P2P 사이트를 통해 파일을 다운로드하고 이를 실행할 경우 감염됩니다. SNS로는 sns에 올라온 사진 및 단축 URL을 이용해 랜섬웨어를 유포합니다. 네트워크망으로는 네트워크를 통해 최신 보안패치가 적용되지 않은 PC를 스캔하여 악성코드를 감염 및 확산시킵니다.

<Ransomware 감염경로>

  1). 신뢰할 수 없는 사이트

      -단순한 페이지 방문으로도 감염

      -Drive-by-Download 기법을 통해 유포

  2). 스팸메일

      -첨부파일 및 메일에 URL 링크를 넣어 악성코드를 유포

  3). 파일공유 사이트

      -P2P 사이트에서 파일을 다운로드하고 이를 실행할 경우 감염 (Torrent, 웹 서버)

  4). SNS

      -SNS에 올라온 사진 및 단축 URL을 통해 유포

  5). 네트워크망

      -네트워크를 통해 최신 보안패치가 적용되지 않은 PC를 스캔하여 악성코드를 감염 및 확산.

 

4. 마무리

 이로써 랜섬웨어에 대한 포스팅을 마치겠습니다. 그리고 마지막으로 당부드리고 싶은 것은 랜섬웨어에 걸리지 않도록 위에 나와있는 감염경로를 조심하시고, 자신이 쓰는 운영체제의 보안 패치를 꼭 받는 것입니다. 읽어주셔서 감사합니다.

'정보보안' 카테고리의 다른 글

5. 시스템 해킹 (System hacking)  (145) 2018.01.29
4. Worm  (2) 2018.01.11
3.메모리 보호기법  (2) 2018.01.05
Anti Reversing  (0) 2017.12.27

+ Recent posts

티스토리툴바