[AhnLab 랜섬웨어 알아보기] CLOP 랜섬웨어!!

 

2019년 상반기   랜섬웨어 감염 보고는 전년도 동기대비 감소 추세를 보이나 수집되는 악성코드 샘플은 크게 늘어나고 있습니다.
그만큼 변종 악성 코드들이 많이 생겨났다고 볼 수 있는데요,
이번에는 주목해야할 랜섬웨어로 2019년 상반기 가장 이슈가 된 CLOP 랜섬웨어에 대해서 알아보도록 하겠습니다

 

그림1) 2019년 상반기 랜섬웨어 통계

 

CLOP 랜섬웨어란?

  • CLOP이란 러시아어로 인간과 동물의 피를 빨아먹는 곤충인 침대벌레 즉, 빈대를 의미합니다.
  • CLOP 랜섬웨어는 기업정보 유출과 랜섬웨어 감염을 동시에 일으키는 악독한 랜섬웨어 입니다.

그림2) CLOP 랜섬웨어 정의

 

피해 업체수만 해도 369개, 13497대의 시스템이 피해를 입었으며, 기업 대상의 공격이라는 특성상 파악되지 않은  피해 시스템은 훨씬 많을 것으로 예상됩니다.

 

그림3) CLOP 랜섬웨어 피해 현황

 

그렇다면 CLOP 랜섬웨어는 어떤 방식으로 공격이 이루어 질까요??


그림4) CLOP 랜섬웨어 공격 프로세스

 

먼저 AD 서버에 연결되어 있는 시스템인지 확인 후 실행이 됩니다.
사회공학 기법으로 국세청 전자계산서 형태로 유포되기도 하며, 휴가철에는 전자항공권으로 위장한 Ammyy 해킹툴로 배포되기도 했었죠?

         그림5) CLOP 랜섬웨어 유포형태

 

그렇다면 실제 운영 환경에서 발생한 피해사례와 어떠한 조치가 필요한지, 그리고 조치 후 결과는 어떠한지 살펴보겠습니다!

실제 피해 사례 및 운영환경

 

          그림6) 실제 피해사례 및 운영환경

 

대응방안

그림7) 랜섬웨어 기본 대응방안

 

일반적인 대응방안은 이렇습니다, 하지만 공격기법은 계속해서 변화하고 진화하고 있습니다.
따라서 적절하고 보다 세심한 기술적/정책적 보안조치가 필요합니다.

 

  • 기술적 보안 조치 및 대응방안

 

그림8) 기술적 보안조치 및 대응방안 1

 

그림9) 기술적 보안조치 및 대응방안 2

 

  • 정책적 보안 조치 및 대응방안
    1      발급된 계정이 모두 ‘관리자 그룹’에 포함되는가?
    2      서비스 관리를 위해 서버에 ‘관리자 그룹’계정으로 로그온 하는가?
    3      시스템에 불필요하게 ‘관리자 그룹’ 계정으로 실행되고 있는 서비스가 있는가?
    4      긴급 상황 시, AD ‘관리자 그룹’계정의 비밀번호를 신속히 바꿀 수 있는가?
    5      백업 서버가 AD에 Join 되어 있는가?
    6      운영체제 업데이트가 최신 버전으로 유지되고 있는가?

 

이러한 보안조치를 통해서 사내 보안 환경은 안전하게 유지될 수 있습니다!!

그림10) 기술적 보안조치 결과

 

운영자들은 공격자들의 전략 변화를 읽을 수 있어야 하며, 개선된 공격에는 개선된 대응으로 맞설 필요가 있습니다.
이렇게 해야지만 우리는 진화하는 수많은 위협으로부터 자유로울 수 있습니다.