Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
RANSOMWARE
HOW TO NOT BECOME A VICTIM
SESSION Q & A - TRACK 2 탐지 & 방어
Track 2 탐지 & 방어 세션에 대해 궁금하셨던 부분을 성함과 함께 남겨 주세요.
각 세션 종료후 발표자가 답변을 해드립니다.
* 질문이 채택 되신 분들께는
스타벅스 상품권, 텀블러, 핸드폰 거치대 등을 각 세션마다
다르게 제공하여 드립니다.
접속 URL : cdl2016track2.symflow.com • 위의 URL 또는 QR코드를 이용하여 접속하시거나 등록시 나누어 드린 안내장을 참고하시기 바랍니다.
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
3
TREND 2015
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
4
TREND 2015
• TREND 2
This Time It’s Personal
개인정보 유출 공격 유형 증가
• TREND 3
ATTACKS ON ENTERPRISE NETWORKING DEVICES
기업 네트워크 장비를 공격하는 유형 증가
• TREND 1
THE RISE OF BUSINESS DISRUPTION ATTACKS
비즈니스 연속성을 파괴하는 공격 유형 크게 증가
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
5
TREND 2015 – TREND 1
• 비즈니스 연속성을 방해/파괴 하는 공격 유형 크게 증가
악성코드 유형
- 시스템 파괴 형
- 랜섬웨어
피해 범위
- 회사 내 대외비 유출
- 회사 평판 하락
- 임원직 사퇴
- 랜섬웨어로 인한 많은 비용 지출/ 시스템 재건축으로 인한 비용 지출
mkdir “C:\emptydir” robocopy “C:\emptydir” “C:\windows\system32” /MIR | shutdown /s /t 1800
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
6
• 국내 랜섬웨어 사고 추이
TREND 2015 - RANSOMWARE
7 178 72 128 63 104 45 656 927
100
200
300
400
500
600
700
800
900
3월 4월 5월 6월 7월 8월 9월 10월 11월
WEB
66%
25%
해외 랜섬웨어 사고 추이
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
7
WEB ATTACK – DRIVE BY DOWNLOAD
• 최근 다양한 랜섬웨어들이 APT공격에서 사용하는 Exploit기법을 통해 전파되고 있음. .
기존 보안제품 체크
• 특히 웹브라우저 취약점을 이용한 Drive By Download방식으로 기존 보안제품을 우회하는
형태로 전파중.
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
8
EMAIL ATTACK – SPEAR PHISHING
• 이메일은 통해 문서프로그램(PDF, HWP, DOC등) 취약점을 이용한 공격이 끊임없이 발생되고
있으며 또한 이전에 자취를 감추었던 매크로 형태의 악성문서 파일이 최근 다시 유행처럼 번지고
있음.
난독화 매크로 코드 첨부파일 – 매크로 악성문서 스피어피싱 이메일
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
9
RANSOMWARE & APT
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
10
BIGGEST THREAT IN 2015
• 2015년도 주목할 만한 위협인 랜섬웨어
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
11
STATE-SPONSORED ATTACKS
• 국가 스폰을 받고 진행되는 랜섬웨어 - Codoso Hacking Team
Hackers using tactics and tools previously
associated with Chinese government-
supported computer network intrusions have
joined the booming cyber crime industry of
ransomware, four security firms that
investigated attacks on U.S. companies said.
지난해 9월 중국정부와 미국 오바마정부간 안보협약
Codoso와 같은 해커그룹이 랜섬웨어 공격 가담
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
12
VULNERABILITY & EVASION TECHNIC
• Operation Kofer
Kofer generates a new variant for every
target, based off an automatic algorithm,
which allows the malware to avoid
signature-based detection, as well as
sandbox detection.
Spanish, Polish, Swiss and Turkish target
Drive-by-Download Ransomware payload
Encryption Execute as child
process Evade sandbox
detection
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
13
TARGETED ATTACK
• Business Email Compromise SCAM
To elevate the chances of a successful targeted ransomware attack, the attackers must use APT-like tactics to learn about their targets’ networks and endpoints, evaluate the criticality of the stored data, and manually insert the malware. Indeed, recent reporting suggests that Chinese APT actors are employing ransomware for supplemental income.
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
14
SAMSAM RANSOMWARE
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
15
LOCKY RANSOMWARE
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
16
LOCKY RANSOMWARE
• 올해 2월에 새롭게 발견된 랜섬웨어로 수많은 국가에서 피해사례 발생
Executive Summary Locky is a new family of ransomware that emerged in February 2016. It has few capabilities that distinguish it from other prominent
families of ransomware; however, it has garnered much attention due to its attribution with the actors managing Dridex botnets and
may operate using an affiliate model. The malware is easily identified by the appended ".locky" extension to each file that it encrypts.
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
17
LOCKY RANSOMWARE
Scenario #2 Locky has also been identified dropping a Windows batch script in
Office documents. This script will launch a cscript.exe (legitmate
Windows process for Windows Host Scripts) process and download the
Locky binary.
Scenario #1 Locky has been primarily observed using Microsoft Office
attachments with embedded macros in massive spam campaigns,
namely the Bartallex downloader. Social engineering tactics entice
the user into believing that the document is encoded. Users are
then prompted to enable Office macros to view the content of the
document. These embedded macros serve as a downloader for the
Locky ransomware binary.
• 랜섬웨어 파일 전달 방법
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
18
LOCKY RANSOMWARE
초기 C&C 통신시, 감염 호스트에 대한 정보를 몇가지 파라미터값을 전달하며, C&C로부터 RSA 공개 Key 값을 받아서
암호화를 진행됨. 이때 C&C 통신이 차단되면 암호화 과정이 이루어지지 않습니다.
• 랜섬웨어 감염 행위
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
19
LOCKY RANSOMWARE
0.5 BTC (Bitcoin) 지불을 요구함 (시세 : 242,000원)
다른 랜섬웨어와는 달리 지불시간에 대한 제한은 없음.
• 랜섬웨어 요구 사항
감염시 지불 방법에 대한 정보를 알려줌
하루에 90000대의 사용자 감염으로 추정
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
20
WHO IS DRIDEX
• A SHIFT FROM BANKING TROJANS TO RANSOMWARE
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
21
DRIDEX & LOCKY
드라이덱스 URL: - http://[DOMAIN NAME]/[RANDOM HEXADECIMAL VALUE]/[RANDOM HEXDECIMAL VALUE].exe Locky URL: - http://[DOMAIN NAME]/[RANDOM HEXADECIMAL VALUE]/[RANDOM HEXADECIMAL VALUE]
• DRIDEX와 LOCKY의 상관관계
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
22
DRIDEX TACTICS, TOOLS
SCAM
2. ZIP 첨부파일(JS 파일)
CK, Angler Exploit Kit
• 전술과 전략에 사용된 도구
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
23
DEMO
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
24
CONCLUSION
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
25
CONCLUSION
• Q2. 랜섬웨어 피해를 당해본 적이 있는지
• Q3. 랜섬웨어가 아닌 APT 공격이였다면?
• Q1. APT 피해를 당해본 적이 있는지
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
26
THANK YOU