최근 광범위하게 유포되고 있는 랜섬웨어는 단순 파일 암호화 후 금전을 요구하는 기존 방식의 공격에서 벗어나 신 변종 유포, 사회공학적 공격 방법을 이용한 표적형 유포, 광고 서버를 해킹해 랜섬웨어를 대량으로 유포하는 멀버타이징 형태의 유포, RaaS 등을 통해 더욱 고도화, 지능화되고 있다. 특히, 보안솔루션을 우회하거나 파일암호화를 통해 파라미터 확인을 불가능하게 하고, APT 공격을 접목한 타겟형 랜섬웨어 공격 등으로 공격자에 대한 추적을 어렵게 하고 있다. 이와 같은 랜섬웨어의 위협에서 벗어나기 위해 다양한 탐지기법이 개발되고 있지만 새롭게 출몰하는 랜섬웨어에 대응하기에는 힘든 상황이다. 이에 본 논문에서는 시그니처 기반의 탐지 패턴 제작 및 그 문제점에 대해 알아보고, 랜섬웨어에 보다 더 능동적으로 대처하기 위해 일련의 과정을 자동으로 진행하는 랜섬웨어 감염 탐지 패턴 자동화 모델을 제시한다. 본 모델은 기업이나 공공 보안관제센터에서 다양한 응용이 가능할 것으로 기대된다.
최근 광범위하게 유포되고 있는 랜섬웨어는 단순 파일 암호화 후 금전을 요구하는 기존 방식의 공격에서 벗어나 신 변종 유포, 사회공학적 공격 방법을 이용한 표적형 유포, 광고 서버를 해킹해 랜섬웨어를 대량으로 유포하는 멀버타이징 형태의 유포, RaaS 등을 통해 더욱 고도화, 지능화되고 있다. 특히, 보안솔루션을 우회하거나 파일암호화를 통해 파라미터 확인을 불가능하게 하고, APT 공격을 접목한 타겟형 랜섬웨어 공격 등으로 공격자에 대한 추적을 어렵게 하고 있다. 이와 같은 랜섬웨어의 위협에서 벗어나기 위해 다양한 탐지기법이 개발되고 있지만 새롭게 출몰하는 랜섬웨어에 대응하기에는 힘든 상황이다. 이에 본 논문에서는 시그니처 기반의 탐지 패턴 제작 및 그 문제점에 대해 알아보고, 랜섬웨어에 보다 더 능동적으로 대처하기 위해 일련의 과정을 자동으로 진행하는 랜섬웨어 감염 탐지 패턴 자동화 모델을 제시한다. 본 모델은 기업이나 공공 보안관제센터에서 다양한 응용이 가능할 것으로 기대된다.
Recently, circulating ransomware is becoming intelligent and sophisticated through a spreading new viruses and variants, targeted spreading using social engineering attack, malvertising that circulate a large quantity of ransomware by hacking advertising server, or RaaS(Ransomware-as-a- Service), fr...
Recently, circulating ransomware is becoming intelligent and sophisticated through a spreading new viruses and variants, targeted spreading using social engineering attack, malvertising that circulate a large quantity of ransomware by hacking advertising server, or RaaS(Ransomware-as-a- Service), from the existing attack way that encrypt the files and demand money. In particular, it makes it difficult to track down attackers by bypassing security solutions, disabling parameter checking via file encryption, and attacking target-based ransomware with APT(Advanced Persistent Threat) attacks. For remove the threat of ransomware, various detection techniques are developed, but, it is very hard to respond to new and varietal ransomware. Accordingly, in this paper, find out a making Signature-based Detection Patterns and problems, and present a pattern automation model of ransomware detecting for responding to ransomware more actively. This study is expected to be applicable to various forms in enterprise or public security control center.
Recently, circulating ransomware is becoming intelligent and sophisticated through a spreading new viruses and variants, targeted spreading using social engineering attack, malvertising that circulate a large quantity of ransomware by hacking advertising server, or RaaS(Ransomware-as-a- Service), from the existing attack way that encrypt the files and demand money. In particular, it makes it difficult to track down attackers by bypassing security solutions, disabling parameter checking via file encryption, and attacking target-based ransomware with APT(Advanced Persistent Threat) attacks. For remove the threat of ransomware, various detection techniques are developed, but, it is very hard to respond to new and varietal ransomware. Accordingly, in this paper, find out a making Signature-based Detection Patterns and problems, and present a pattern automation model of ransomware detecting for responding to ransomware more actively. This study is expected to be applicable to various forms in enterprise or public security control center.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 연구에서는 날로 늘어나고 있는 랜섬웨어 등의 악성코드 자동분석 모델을 제시하였다. 제시한 모델은 악성코드의 파일수집부터 시스템 적용까지의 일련의 과정을 자동으로 생성할 수 있다.
그러나, 이 기법은 신·변종 랜섬웨어에 대한 대응이 어렵고, 분석가에 따른 차이로 시스템 성능저하 및 오탐을 야기할 수 있다는 단점이 있다. 이에 본연구에서는 이를 개선한 탐지 패턴의 자동화 모델을 제시하고자 한다.
제안 방법
랜섬웨어가 동작 시 명령제어서버로 전송하는 감염PC 정보나 추가 파일 다운로드를 요청하는 패킷을 대상으로 하기 때문에 방향성을 확인하여 Outbound 트래픽을 추출한다. 또한 생성된 시그니처의 정합성을 높이기 위하여 ip, port 정보 보다는 payload 내에서 고유 패턴을 찾아야 함에 따라 payload가 없는 패킷을 제외한다.
변종 랜섬웨어의 빈번한 등장으로 보안 담당자가 전통적인 시그니처 기반 탐지 방법으로는 적절한 대책 수립이 매우 어려워짐에 따라, 그림 5와 같이 파일 수집, 행위분석, 감염 신호 분류, 탐지패턴 생성, 네트워크 탐지 시스템 적용까지 일련의 과정을 자동으로 진행하는 대응 모델을 제안한다.
성능/효과
또한 한국인터넷진흥원에서 접수한 랜섬웨어 피해 신고 현황을 살펴보면 표 1과 같이, 2015년 770건에서 2016년 1,438건으로 전년대비 86.8% 증가한 것을 확인할 수 있다.
랜섬웨어의 종류별 비율도 상반기에는 록키 랜섬웨어가 높은 비율(79%)을 보였으나, 하반기에는 케르베르 랜섬웨어가 높은 비율(52%)로 유포되었음이 확인되었다. 하반기에 케르베르 랜섬웨어가 증가한 것은 서비스형 랜섬웨어의 대표적인 예로 지속적인 업데이트를 통해 지속 관리되고 있기 때문인 것으로 추정된다[7].
후속연구
2016년 하반기 크게 확산되었던 RaaS를 이용한 랜섬웨어 공격과 Exploit Kit을 이용한 공격도 더욱 증가되리라 예상되어지며, 수익성을 극대화하기 위해 지능형 지속위협(APT)공격을 접목한 타겟형 랜섬웨어 공격 시도가 증가할 것으로 전망된다. SNS 계정탈취 등 모바일을 통한 유포 및 사회적 이슈를 다룬 게시물을가장하여 랜섬웨어 유포용 가짜 페이지로 이동시켜 감염을 유도하는 공격방식도 예상되어진다[7, 13].
단, 본 연구에서의 실험은 일부 샘플에 한정되어 진행되었기 때문에 향후 연구에는 실제 운영계 데이터를 축척하여 다양한 시물레이션 환경과 확장된 샘플의 실험을 통해 신 변종 악성코드를 대응할 수 있도록 결과를 개선할 것이다.
제시한 모델은 악성코드의 파일수집부터 시스템 적용까지의 일련의 과정을 자동으로 생성할 수 있다. 본 연구의 모델은 기업이나 공공의 보안관제센터에서 구비된 시스템에 맞게 응용하여 활용이 가능할 것으로 기대된다.
질의응답
핵심어
질문
논문에서 추출한 답변
2015년 이후 랜섬웨어의 동향은 어떠했는가?
2016년 랜섬웨어의 동향을 살펴보면 기존의 단순 파일 암호화 후 금전을 요구하는 방식에서 벗어나 변화와소멸을 거듭하며 결과적으로 진화하는 양상을 보인다.2015년 악명을 떨쳤던 테슬라크립트(TeslaCrypt)나크립트XXX(CryptXXX)의 경우 2016년 7월 이후 잠잠해진 반면, 스팸메일을 통해 유포되는 록키(Locky)나음성으로 감염사실을 알려주는 케르베르(Cerber)가절반이상을 차지하였으며[3], 파일뿐만 아니라 MBR(Master Boot Record)까지 암호화해 PC 사용 자체를 방해하는 랜섬웨어도 등장했다.
랜섬웨어는 언제 국내에 출현했는가?
랜섬웨어는 이용자의 데이터(시스템파일, 문서, 이미지등)를 암호화하는 악성코드로, 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 한 뒤 이를 인질로 삼아금전을 요구하는 악성 프로그램을 말한다[1]. 원래 랜섬웨어는 미국을 중심으로 활동하는 악성코드였으나 컴퓨터 및 사용자 증가를 통해 전 세계적으로 급속하게유포되었으며 2015년 4월에는 국내에서도 출현하게 되었다[2].
랜섬웨어란?
2016년 한해 뉴스 등 언론을 통해 가장 많이 등장한보안용어는 바로 ‘랜섬웨어(Ransomware)’일 것이다.랜섬웨어는 이용자의 데이터(시스템파일, 문서, 이미지등)를 암호화하는 악성코드로, 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 한 뒤 이를 인질로 삼아금전을 요구하는 악성 프로그램을 말한다[1]. 원래 랜섬웨어는 미국을 중심으로 활동하는 악성코드였으나 컴퓨터 및 사용자 증가를 통해 전 세계적으로 급속하게유포되었으며 2015년 4월에는 국내에서도 출현하게 되었다[2].
참고문헌 (13)
B. J. Kim, W. S. Kim, J. H. Lee, S. H. Yim, S. G. Song, and S. J. Lee, "Design and implementation of a ransomware prevention system using process monitoring on android platform," Proceedings of the Korean institute of information scientists and engineers, pp. 852-853, Dec. 2015.
J. Y. Moon and Y. H. Chang, "Ransomware analysis and method for minimize the damage," The Journal of the Convergence on Culture Technology, vol. 2, no. 1, pp.79- 85, Feb. 2016.
Malwarebytes (2017, January). 2017 State of Malware Report[Internet]. Available: https://blog.malwarebytes.com/malwarebytes-news/2017/02/2016-state-of-malware-report/.
Badware.info (2016. December), Malicious Link Diffusion Detection System Trend Analysis Report [Internet]. Available: http://www.uproot.im/pdf/badware.pdf.
Korea Ransomware Infringement Response Center (2017. February). 2017 Ransomware Infringement Analysis Report [Internet], Available: https://www.rancert.com/bbs/bbs.php?bbs_idnotice&modeview&id52.
KISA (2017. January). 16-year Ransomware trend and 17-year outlook [Internet], Available: http://www.krcert.or.kr/data/reportView.do?bulletin_writing_sequence24983.
J. M. Youn, J. G. Jo, and J. C. Ryu, "Methodology for intercepting the ransomware attacks using file i/o intervals," Journal of The Korea Institute of Information Security & Cryptology, vol.26, no.3, pp.645-653, Jun. 2016.
G. S. Kim and M. S. Kang, "The next generation of cyber security issues and threats and countermeasures," Journal of the Institute of Electronics and Information Engineers, vol. 41, no. 4, pp. 69-77, Apr. 2014.
Kbench (2017. February). Evolving Korea customized Ransomware. Venus Locker variant disguised as educational schedule discovery in Korea [Internet]. Available: http://www.kbench.com/?qnode/172991.
Symantec (2016. June). An Special report: Ransomware and Business [Internet], Available: https://www.symantec.com/connect/blogs/report-organizations-must-respond-increasing-threat-ransomware.
Trendmicro (2016. July). Why Ransomware is 'Eaten' Part 2: Penteration Strategy [Internet]. Available: http://www.trendmicro.co.kr/kr/blog/ransomware-arrival-methods/index.html.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.