보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

코로나를 악용한 랜섬웨어 감염 탐지

2020.09.02

5,759

 

 

 

01. 개요

 

1) 코로나19 7월 추가 재난 지원금 신청? 혹 했다가 감염되는 랜섬웨어

 

최근 코로나19 사태를 악용한 랜섬웨어 공격이 급증하고 있다. 코로나19 사태가 잦아들 기미가 보이지 않는 가운데 코로나를 악용한 사이버 공격도 계속 증가하는 추세이다. 특히 최근 발생한 랜섬웨어는 대다수가 이름을 '코로나 바이러스' , '코로나19'등으로 변경하거나 랜섬노트 내에 '코로나'키워드를 언급하는 것으로 확인되었다. 이 랜섬웨어는 사용자의 호기심을 자극하는 키워드인 ‘추가 재난 지원금’, ’감염자 동선’, ‘마스크’등의 키워드를 사용하여 메일로 배포한다. 컴퓨터나 스마트폰에 수신된 메일이나 문자, SNS 메세지 등에 포함된 파일을 실행하거나 링크를 클릭하면 감염될 수 있기 때문에 사용자의 각별한 주의가 필요하다.

 



 

02. 탐지 시나리오

 



[그림 1] 탐지 시나리오

 

▶ 스팸메일에서 코로나19 피싱 메일 탐지

 

SpamMail탐지 솔루션을 통하여 제목에 '코로나19','corona','covid','재난지원금'을 포함하고 첨부파일이 존재하는 피싱 메일 탐지

 

▶ 백신에서 랜섬웨어 진단명 탐지

 

V3 백신에서 ‘Trojan/Win32.RansomCrypt’, ‘Malware/MDP.Ransom.M2812’, 

‘Malware/MDP,Manipulate.M2818’ 진단명으로 랜섬웨어 탐지

 

▶ PC에서 랜섬웨어 악성 파일 생성

 

감염된 PC에서 볼륨섀도 복사본 삭제 및 시스템 백업 삭제를 실행하는 랜섬웨어 악성 파일 'zgxl.exe' 

생성 탐지 

 

1) 스팸메일에서 코로나19 피싱 메일 탐지

 

공격자는 코로나 19 를 악용한 피싱 메일을 통해 불특정 다수의 공격 대상에게 메일을 전송한다.

메일을 수신하는 사용자는 ‘추가 재난지원금’ 처럼 궁금증을 유발하는 키워드로 인해 관련 메일로 착각하고 메일을 확인한다.

 


 

[그림 2] 코로나 19를 악용한 피싱메일

 

위와 같은 코로나 19 메일을 이용한 공격을 탐지하기 위해 아래와 같이 메일 보안 솔루션에 대해  ‘corvid`, ‘corona’, ’ 재난지원금’ 등의 문자열을 탐지하는 경보를 설정한다. 

 



[그림 3] 코로나 19 피싱 메일 탐지 경보

 

2) 백신에서 랜섬웨어 진단명 탐지

 

코로나 관련 메일의 첨부된 파일 (exe, doc 등)을 다운 받았을 시 백신 장비에서 치료 불가한 랜섬웨어를 탐지한다. V3에서 탐지되는 코로나 피싱메일 관련  랜섬웨어는 'Trojan/Win32.RansomCrypt’, 'Malware/MDP.Ransom.M2812‘ , 'Malware/MDP.Manipulate.M2818' 등이 있다.

 랜섬웨어 감염 시 SIEM에서  탐지하기 위해 아래와 같이 V3의 바이러스명에 랜섬웨어 관련 문자열을 탐지하는 경보를 설정한다. 

 



[그림 4] 파일 다운로드로 인한 랜섬웨어 탐지

 



[그림 5] 피싱사이트 접근 탐지 경보

 

3) PC에서 랜섬웨어 악성 파일 생성

 

코로나를 악용한 랜섬웨어에 감염되면 ‘코로나바이러스(CoronaVirus.txt)’ 라는 이름의 랜섬웨어 노트가 바탕화면에 생성된다. 해당 랜섬웨어 노트에는 복호화를 대가로 금전을 요구하는 내용이 작성되어 있다. 

이 랜섬웨어는 단순 파일감염 뿐만이 아니라 사용자 PC의 디스크 감염도 발생시킨다.

사용자의 PC가 랜섬웨어에 감염된 후 재부팅을 하게 되면 정상적인 부팅이 되지 않고 PC내 파일명에 해당 랜섬웨어 발송자의 이메일 주소가 추가되고 암호화 된다. 랜섬웨어 관련 실행 파일명은 “zgxl.exe” 작업관리자에서 확인할 수 있다. 

이 랜섬웨어는 추가로 시스템 백업까지 삭제하는 특징이 있다. 이로 인하여 윈도우 복구 기능을 통한 백업까지 무력화 시키는 것으로 확인 되었다. 

 



[그림 6] zgxl.exe 실행화면

 


 

[그림 7] 피싱사이트로 인한 Malware 감염 탐지 경보

 

03. 상관분석 룰 등록 및 상세분석


1) 상관분석 등록

 

앞서 등록한 단일 경보 3가지에 대하여 1단계 부터 3단계까지의 상관분석 등록을 하여 시나리오 탐지가 가능하다.

 

1. 스팸메일 솔루션을 통해 코로나 관련 피싱 메일이 사내 메일 서버에 수신된 로그를 탐지

2. 백신을 통해 피싱 메일을 수신한 PC에서 랜섬웨어 감염 로그를 탐지

3. SPiDER TM Agent를 통해 사내 PC에서 랜섬웨어 실행파일 로그를 탐지

 

• 승계 조건을 활용하여 연계 경보 탐지

1단계 -> 2단계 승계 조건 : 1단계 목적지 IP = 2단계 출발지 IP

2단계 -> 3단계 승계 조건 : 2단계 출발지 IP = 3단계 장비 IP

 



[그림 8] 상관분석 룰 설정 및 경보 발생 화면  

 

2) 상세분석

 

상세분석 기능을 이용하여 근거데이터, 경보 트렌드 분석이 가능하다.

발생된 룰셋에 대한 발생건수, 차트 및 근거이벤트 대표 출발지IP, 목적지IP의 상세정보, 경보의 원본로그 정보, 경보발생 그래프를 확인할 수 있다. 

 



[그림 9] 상관분석경보 상세내역 

 

04. 예방대책

 

랜섬웨어에 감염되지 않으려면 의심스럽거나 일반적이지 않은 이메일을 수신 시 열람하지 않고 삭제 해야 하며 업무와 관련된 것으로 보이는 이메일도 첨부 파일을 확인하거나 실행하기 전에 더욱 꼼꼼히 살펴보는 습관이 필요하다. 

랜섬웨어 공격은 운영체제 취약점을 이용하여 공격을 진행하기 때문에 운영체제 및 소프트웨어도 최신 업데이트 설정을 유지 해야 한다. 신뢰 할 수 없는 웹사이트 방문 및 파일 다운로드도 자제 해야 한다. 또한 백신의 엔진 버전을 최신 상태로 유지하고 실시간 검사 기능을 항상 활성화 해야 한다.

 

마지막으로 랜섬웨어 예방 중 가장 확실한 방법은 백업이다.

중요한 데이터는 백업 프로그램을 사용하는 등 백업을 습관화해야 소중한 자료나 데이터를 외부로부터 지킬 수 있다.