제2회 랜섬웨어 레질리언스 컨퍼런스 후기 및 정리

Yuta 2023. 9. 13. 03:09

2023. 9. 13. 03:09

이번으로 2회차를 맞이하는 랜섬웨어 레질리언스 컨퍼런스에 다녀왔다.
과학기술정보통신부에서 주최하고 한국인터넷진흥원에서 주관하는 컨퍼런스였으며, 9월 12일 화요일 낮에 진행되었다.

보통 평일 낮시간은 교육이나 다른 활동을 하느라 바쁘기 마련인데, 갑자기 왜 다녀오겠다는 생각을 했을까?

이유는 생각보다 간단했다.

평소 랜섬웨어에 대한 사전 대응책으로는 데이터 백업을, 사후 대응책으로는 랜선 뽑기만을 알고 있었다. 그런데 이것으로 컨퍼런스를 개최한다는 부분에서 내가 모르는 다른 기막힌 대응책이 있는 것일지에 대한 궁금증이 생겼다.

이에 더해 프로그램 목록에서 발견한 랜섬웨어 무력화 부분과 데이터 복구 전략 파트가 호기심을 자극하였고, 결국 사전등록 첫날 바로 등록 신청을 하게 되었다.

후기라면..

호기심으로 참석한 컨퍼런스였기에 사전에 랜섬웨어에 대한 많은 정보를 가지고 있었던 상태가 아니었다.

그러나 이번 컨퍼런스를 통해 랜섬웨어의 동작 방식과 암호화 과정 같은 기본적인 내용부터,
랜섬웨어 공격에 의해 암호화된 파일을 랜섬 지불 없이 자체적으로 복구하기 위한 여러 흥미로운 관점들,
그리고 랜섬웨어에 대응하기 위한 정책까지 한 번에 알아갈 수 있었던 유익한 시간이었다.

또한 컨퍼런스에 참석하기 전에 가졌던 호기심과 같이, 결과적으로는 백업을 이중, 삼중으로 해두고 망분리까지 시키는 등... 이미 알고 있는 기본적인 방법부터 충실히 하는 것이 현재로서는 랜섬웨어로부터 자산을 보호할 수 있는 방법이라는 생각을 하게 되었다. 랜섬웨어에 감염되었을 때 이를 자체적으로 복구하기 위한 기술들은 연구가 활발히 이루어지고 있으나 아직 연구 초기 단계이고 한계를 가지는 부분들도 존재한다. 또한 공격자들은 항상 방어자들의 한발 앞에서 새로운 공격 기법, 암호화 기법 등을 시도하기 때문에 좋은 도구를 만들더라도 이것이 안정화되기까지는 사전 방어에 계속 힘쓰는 것이 중요할 것이라 느꼈다.

이번 컨퍼런스를 통해 랜섬웨어에 대한 관심도가 높아져, 향후에 리버싱 공부를 더 하고... 악성코드 분석을 학습하게 된다면 랜섬웨어도 분석해보고 싶다는 생각을 하게 되었다 :)

+ 덧붙이자면.. 랜섬웨어 공격자들의 행태를 보다 보니 단순히 랜섬웨어 공격만 하고 끝나는 게 아니라, 랜섬웨어 공격 이후 시스템에 백도어를 심어 피해자가 공격에 어떻게 대응하는지 지켜보는 경우도 있었다. 피해자가 만일 돈을 지불하려 하지 않고 복구를 하려고 하는 등의 조짐이 보이면 2차 공격을 하기도 한다는데... 이러한 경우도 있기 때문에 보다 더 은밀하고 안전한 방법으로 랜섬웨어에 대응하기 위한 방안이 필요해 보였다. 이렇게 생각하니 레질리언스에 관한 컨퍼런스를 열어 함께 논의하는 장을 만들만한 것 같다는 생각이 들었다!

이후 내용은 각 강연 마다 들으면서 메모해 둔 내용들이니, 진행된 내용이 궁금하다면 참고해도 좋을 것 같다. 현장에서는 발표자료를 책자형태로 제작하여 배부해 주었는데 이를 별도로 웹 상에도 게시해 줄지는 잘 모르겠다..

[세션A] 랜섬웨어 공격에 대한 국내외 대응 동향

랜섬웨어 공격 동향

RaaS형 랜섬웨어 생태계
크로스 플랫폼 랜섬웨어 다수 발견
주로 GoLang, Rust 언어로 개발
사회 기반 시설, 일상 생활과 밀접한 서비스(콜택시)를 대상으로 공격 타겟 변화

랜섬웨어 대응 정책

국외
- 악의적으로 사용되는 가상회폐 거래소에 대한 제재
- 랜섬웨어 공격 그룹 자체 무력화
- 랜섬웨어 관련 범죄자 검거 및 제재

국내
- 국가중요시설-기업-국민 수요자별 선제적 예방
  : 백업 지원, 대응 역량 체크 서비스 지원 등
- 정보공유-피해지원-수사 등 사고 대응 지원
- 진화하는 랜섬웨어에 대한 대응 역량 제고
  : 랜섬웨어 공격 형태 분석, 대응 기술력 확보

랜섬웨어 복구 방안

랜섬웨어의 주된 특징이 암호 기술을 이용한다는 것에서 착안하여, 암호 기술의 암호학적 취약점에 기반한 분석 진행

Magniber, LooCipher, Immuni, Hive v1~v4에 대한 랜섬웨어 복구 분석 사례 소개
이 중 Hive v1 ~ v4의 경우 KISA에서 최초로 복구 도구 개발
KISA에서 랜섬웨어 국제 협력 프로젝트인 노모어랜섬(NoMoreRansom, NMR)에 약 160여종의 랜섬웨어 복구 도구 배포 중
KISA에서 복구 도구 개발 여부에 대한 검색 서비스 지원 예정

앞으로의 방향

매년 400개 이상의 신/변종 랜섬웨어가 발견되고 있어 분석량이 한계치에 도달함
-> 기존 랜섬웨어와의 유사도 분석을 통해 복구, 분석 자동화 도구 개발
사용자 중심의 피해 복구 지원
랜섬웨어 복구 협력 체계 구축 (레질리언스 확보)

[세션A] 산업계 랜섬웨어 침해동향과 레질리언스 전략

디지털 환경의 경영 리스크 분석

랜섬웨어 공격 시 문서 유실 문제 뿐만 아니라 문서 유출 문제도 함께 발생
중요 문서가 유출될 경우 이로 인한 리스크가 심각함
향후의 모든 악성코드가 랜섬웨어 형태로 변화할 것이라 전망

해킹형 랜섬웨어 공격대상 분석

주공격 대상: 코스피 & 코스닥 상장사
업종별 해킹형 랜섬웨어 공격 대상(2년간): 제조업, 병원, 제약사, 특허, 로펌
해커의 최종 목적: 금전 취득, 사이버 테러

2023년 랜섬웨어 공격기법 분석

해킹형 랜섬웨어 공격 프로세스

악성 메일 / 특정 WEB
백도어 감염
내부 공격
데이터 탈취
백업 삭제 (RDP를 경유하고, 보안 SW를 제거하여 서버에 접근)
암호화
데이터 탈취
탈취한 데이터를 다크웹에 게시
탈취된 데이터 구매

해킹형 랜섬웨어 공격기법의 기술적 진화

RaaS 형태의 플랫폼을 통해 쉽게 랜섬웨어를 구매할 수 있어 일반 해커들도 랜섬웨어 공격을 수행할 수 있다.
서비스 플랫폼을 제작하고 운영하기 위해 그룹형태로 조직을 운영한다. (ex. Conti, LockBit)

3단계 랜섬웨어 레질리언스 전략

1단계

보안 백업 체계 구축
랜섬웨어 전용백신 구축
개인사용자 보안수칙 및 주기적 교육

2단계

회사 정보시스템 보안 취약점 점검
해킹 시 회사 피해 범위와 법적 문제 시뮬레이션
: 정보자산 보유현황 실사
전사 데이터 거버넌스 정책수립 및 시스템 도입
: 데이터 자산 보유현황 실사

3단계

제로트러스트 보안전략 방어

[세션B] 랜섬웨어 무력화를 통한 신속한 감염파일 복구 기술

랜섬웨어의 파일 감염과 협상 과정

1단계: 파일 암호화

대칭키 암호화 기법을 사용하여 파일 암호화

2단계: 파일 키 암호화

비대칭키 암호화 기법을 사용하여 파일 암호화에 사용된 키 암호화
복호화를 위한 키 획득을 위해 공격자의 개인키 확보 필요

3단계: 협상과 복구

랜섬 지불
공격자의 개인키 내장된 복호화 툴 확보
공격자의 개인키를 이용하여 파일 키 복호화
복호화된 파일 키를 이용하여 파일 복구

복제 키를 이용한 감염파일 복구 기술

Key Idea: 랜섬웨어의 파일 암호화 시 사용되는 파일 키를 가로채자

단계

시스템에 Nubeva Key Sensor 설치
: 시스템에서 발생하는 신뢰할 수 없는 암호화 작업을 실시간으로 탐지
- NUBEVA SKI (대칭키 복사 기술) 사용
파일 키를 식별하고 가로채기
: 메모리 상에서 파일 암호화 시 사용되는 키 식별 및 가로챔
랜섬 비용 지불 없이 감염 파일 복구

-> 아직 기술적, 상황적 제약 상황이 있어 특허만 있는 상태라고 한다.

[세션B] 랜섬웨어와 딥/다크웹의 연관성 분석 및 추적

IAB(Initial Access Broker): RaaS 형태의 랜섬웨어 생태계에서 랜섬웨어 구매자 겸 미래의 공격자인 Affiliates가 공격의 첫발을 내딛을 수 있게 해주는 인물

접근 권한 획득 방법

다크웹에서 구매
Stealer campaign
취약점 이용(ex. Conti, Groove 유출 사이트)
Phishing campaign
내부자 위협

RaaS(Ransomware-as-a-Service)

정의와 개념

랜섬웨어를 개발하고 배포하기 위한 서비스 모델
랜섬웨어 개발에 필요한 도구와 인프라 제공
웹 플랫폼 형태로 제공되어, 쉽게 랜섬웨어 구매 및 사용 가능

제공 기능

RaaS 플랫폼
- 랜섬웨어 개발 및 배포에 필요한 모든 도구와 기능 제공
- 배포 시 스팸 메일, 악성 링크, exploit kit 등 다양한 공격벡터 사용
- 결제 처리 및 금전 거래 관리, 해독 키 관리, 복호화 서비스 등의 기능 제공

구독자
- 랜섬웨어의 설정, 암호화 방법, 대상 시스템 및 암호 해독 키 관리 등 설정 가능

[세션B] 블록체인(가상자산)을 통해 바라본 랜섬웨어 생태계와 온체인 분석의 중요성

블록체인 데이터를 통한 랜섬웨어 동향

Big game hunting 형태로 변화, 랜섬웨어 지불액 증가
랜섬웨어 종류의 증가, 수명 감소

블록체인 인텔리전스와 식별

가상자산 주소 자체에는 대상을 특정할 수 있는 어떠한 정보도 없다.
오로지 일련의 트랜잭션 단계를 이용하여 식별해야 한다.
이러한 이유로 온체인과 오프체인 정보를 조합하여 온-오프체인 간의 공통 pivot을 추려내 활용해야 한다.
(온체인 중간에 위치한 정보로는 공격자 식별이 어렵다. 이를 현금화 하는 과정에서 사용된 계정 정보 등을 이용하여 대상을 특정할 수 있다.)

블록체인과 사이버 킬체인

암호화폐 중심의 사이버 범죄가 증가함에 따라 공격자들은 가상 자산을 이용하여 킬체인의 각 단계를 수행한다.
온체인에서의 사이버 범죄 TTPs
온체인에서 식별 가능한 랜섬웨어 리브랜딩
Initial Access Broker를 식별 가능하게 하는 트랜잭션 형태

[세션C] 매그니베르 랜섬웨어 분석 사례 및 동향

매그니베르 랜섬웨어의 변종 발생 과정 (매그니베르 역사..?)

매그니베르 랜섬웨어에서 백신 우회를 위해 사용하는 기술
- NTFS 파일 시스템 내 데이터 스트림을 추가하는 방식으로 악성 파일 은폐
- 파일리스 기법: 정상 프로세스 실행 및 기존 실행되고 있는 프로세스에 악성 DLL 삽입
  -> 취약점 자체에 대한 행위 기반 탐지로 효과적인 탐지 가능
- 지속성 탐지 우회: 악성 행위 랜덤화 (행위 기반 탐지 우회)

[세션C] 손실에서 회복까지: 랜섬웨어 공격 이후 데이터 복구 전략

랜섬웨어 감염 후 데이터 특징

전체 암호화 수행
- 암호화된 파일의 엔트로피 측정 시 원본 파일과 불일치하는 경우가 많아 비교 및 분류 가능
간헐적 암호화 수행
- 암호화된 파일의 엔트로피 측정 시 원본 파일과 엔트로피가 유사
- 전체 암호화를 진행한 것보다 데이터 암호화 속도가 빠름
- 최근 랜섬웨어에서 자주 사용되는 암호화 방법 (ex. Black Basta, Hive)
- 파일 내에서 암호화 영역과 비암호화 영역이 번갈아가며 존재한다. 비암호화 영역의 크기는 해당 파일의 전체 크기와 관계된다.

암호학적 데이터 복호화 방안

개인키 획득
고정된 암호키 사용
메모리 내 잔여 데이터 이용
잘못된 알고리즘 사용
취약한 암호 알고리즘 사용

시스템적 데이터 복구 방안

백업 기반 데이터 복구
- 백업이 되어 있던 부분의 데이터만 복구 가능
- 백업을 했다고 하더라도 공격자에 의해 볼륨 복사본 VSC가 파괴된 경우 복구 불가능

파일 시스템 기반 데이터 복구
- 원본 파일을 덮어씌우는 식으로 암호화하는 방식 -> 복구 불가능
- 원본 파일을 유지한 채 이를 읽어 암호화한 새로운 파일을 생성하고 원본 파일을 삭제하는 경우 -> 경우에 따라 복구 가능
  : TRIM 또는 삭제 영역의 디스크가 사용되어 다른 데이터로 덮어씌워진 경우 복구 불가
- 원본 파일을 읽고 암호화한 상태로 덮어씌운 후 원본 파일 삭제 -> 복구 불가능

파일 구조 기반 데이터 복구
- 간헐적 암호화 방식에서 일부 데이터는 암호화되지 않은 상태로 존재함. 이 부분만 추출하여 최대한.. 원본 파일 복구 시도
  : CyberArk 업체의 White Phoenix 도구
- 복구 가능 범위: word, excel, ppt, zip, pdf
  -> 하나의 파일 내에 여러 파일 데이터가 담긴 형태
  - 온전히 복구되는 것은 아닐테고, 간헐적 암호화 방식 중 비암호화 영역에 운좋게 위치한 데이터에 한해 복구 가능하다.

저작자표시

'DFIR > IR' 카테고리의 다른 글

Slack을 활용한 자료 수집 시스템 구축하기(RSS/Github/Twitter) (2)	2023.07.14
MITRE ATT&CK Framework 개념 (0)	2023.06.23

Security Note