회사소개

제품

안내

고객지원

Company

Product

Information

Support

Thông tin về công ty

Sản phẩm

Thông tin

Hỗ trợ chung

ZombieZERO EDR for Ransomware

행위기반 + 실시간 백업 기술을 적용한 엔드포인트의 랜섬웨어 대응 솔루션

ZombieZERO EDR for Ransomware

ZombieZERO EDR for Ransomware 개요

EDR (EndPoint Detection & Response)은 엔드포인트에서 행위기반으로 신/변종 악성코드를 탐지/대응하여 시스템입니다.

ZombieZERO EDR for Ransomware 는 랜섬웨어를 행위기반 사전 탐지 및 차단 기능을 제공하며 엔드포인트 (PC) 데이터를 실시간으로 중앙서버에 백업하여 기업 및 기관의 데이터 통합 보호를 위한 랜섬웨어 전용 제품입니다.

Ransomware(랜섬웨어) 는 PC의 모든 문서파일이 암호화하여 접근을 제한하며 암호해제를 대가로 금전을 요구하는 악성코드의 일종으로, 최근 그 피해가 급증하고 있습니다.

※ EDR for Ransomware 는 ZombieZERO Manager(중앙관리 서버, 클라우드 타입)와 같이 구성되어 운영 가능

주요 기능

> 행위기반 랜섬웨어 사전차단

  • 행위기반 악성코드 탐지 및 치료로 알려지지 않은 랜섬웨어에 대한 즉각적인 대응
  • 랜섬웨어 패턴정보를 ZombieZERO Manager에 업로드 후 배포해 타 PC로 확산 방지
  • 네트워크를 우회해 유입되는 악성코드나 Zero-Day 공격에 실시간 대응
  • 확장자 기반 보호파일(화이트리스트)을 통한 접근통제
  • 공유폴더 보호 및 랜섬웨어로부터 안전한 경로 지정 기능

> PC 데이터 보안백업

  • ZombieZERO Manager에 의해 사용자 PC의 로컬드라이브 또는 외부 저장매체에 가상 보안드라이브가 생성돼 백업 데이터가 보관되어 랜섬웨어를 대비할 수 있습니다.
  • 데이터 백업(실시간/스케줄 관리 기능), 복사본, 단방향, 양방향 등의 다양한 옵션 지원
  • 버전 관리 : 하나의 파일을 여러번 백업해도 인덱스 정보를 활용해 필요한 시점으로 복원
  • 중복 데이터 제거기술과 데이터 압축으로 저장소 용량을 효율적으로 관리
  • 랜섬웨어에 감염된 파일은 백업에서 제외하여, 데이터 손실을 방지
  • 클라우드 업무 환경 지원 : 언제 어디서든 다양한 기기로 데이터에 접속 가능(옵션)

> 보안 공유/협업

  • 사용자 정책 및 권한에 의해 사용자별 또는그룹별 파일 및 폴더 공유/협업 (C:\ 드라이브 제외)
  • 공유폴더의 문서는 암호화돼 있어 인가자만 접근 가능
  • 노트북 도난/분실 시, 데이터 원격 삭제와 출장 등 외부에서도 보안이 유지되는 상태에서 업무 진행 가능

> Private Zone

  • ZombieZERO Manager에 의해 사용자 PC의 로컬드라이브에 가상 보안드라이브 생성 가능
  • 백업 목적이 아닌 개인이 관리하는 보안영역으로, 인가된 사용자 외 접근 불가
  • 서버인증 기반의 로그인과 일정시간 PC 유휴 시 자동 로그아웃 기능
  • 외부 침입자의 악의적 사용 또는 PC 분실/도난 시 Private Zone 접근 차단 및 삭제 기능

> 웹 및 이메일을 통한 랜섬웨어 공격 과정

  • 웹 기반 랜섬웨어는 다단계 프로세스에서 브라우저, 응용 프로그램 및 시스템 취약성을 이용하는 Drive-by-download 공격 기법을 주로 사용합니다.
  • 1단계 : 코드를 삽입하기 위해 합법적인 웹사이트를 감염시키거나 광고 네트워크를 해킹합니다.
  • 2단계 : 사용자 시스템을 프로파일링 하고 컴퓨터에 이전 버전의 Java 또는 Flash 같은 취약한 소프트웨어를 탐지하는 공격기법을 사용해 다른 웹페이지로 리디렉션 합니다.
  • 3단계 : 암호화되고 난독화된 악성 페이로드를 사용자 시스템에 전달합니다. 페이로드가 해독되면 랜섬웨어가 작동됩니다.
  • 4단계 : 공격자가 희생자의 데이터를 암호화하는 고유 키를 설정할 수 있도록 콜백 서버에 연결합니다.
  • 대부분의 랜섬웨어는 이메일 첨부파일 또는 포함된 링크를 통해 침투됩니다. CTA (Cyber Threat Alliance)의 보고서에 따르면 세계적으로 3억2천5백만 달러의 피해를 입힌 CryptoWall 3.0이 이메일 (67.3 %) 및 Drive-by-download (30.7 %)를 통해 피싱 방식으로 배포됐습니다.

> 행위기반 기술로 탐지하는 주요 랜섬웨어 종류

  • CryptoLocker : 2013년에 출현한 본격적인 랜섬웨어의 시초. PC에 저장된 문서를 암호화하여 비트코인으로 금액지불 요구.
  • TorrentLocker : 2014년 2월에 출현한 CryptoLocker의 일종. 암호화와 복호화에 동일한 키가 사용되며 파일 내에 복호화 키가 저장되어 있습니다.
  • TeslaCrypt – CryptXXX : 2016년 초부터 활발하게 활동하던 테슬라크립트가 2016년 5월 중순 갑작스럽게 활동을 종료한 이후 새롭게 등장한 것이 크립트XXX. 그러나 크립트XXX 또한 2016년 7월 말을 기점으로 활동이 중단됐습니다. 스팸메일과 Drive-by-download 방식으로 유포하며 파일 암호화 또는 확장자 변경함.
  • CryptoWall 4 : 중요 이메일로 위장한 피싱 이메일의 첨부파일을 다운받도록 하여 배포. 4.0은 최신 버전으로 암호화된 원본파일명을 알 수 없도록 랜덤하게 파일명을 변경합니다.
  • Locky : 2016년 2월에 등장해 Dridex 봇넷을 통해 이메일에 문서 파일(doc)을 첨부한 형태로 유포됐습니다. 2016년 3월 이후부터는 첨부파일을 스크립트 파일이 내장된 압축파일(zip)로 변경했으며 이를 다운받으면 PC에 저장된 다른 파일들의 확장자가 변경됩니다. Bart, Hucky 는 이를 모방한 랜섬웨어.
  • Cerber(케르베르) : 파일을 암호화한 후 이 사실을 음성으로 알려주는 방식. 스팸메일로 유포되며 확장자명을 변경시킵니다.
  • Petya : MBR(Master Boot Record) 영역을 암호화하여 몇 분안에 시스템 강제 재부팅되어 PC 사용 자체가 불가능
  • Mischa : MBR과 파일 둘 중 하나를 암호화 / GoldenEye : MBR과 파일을 동시에 암호화
  • 부모 랜섬웨어 : 실행 시 일반 프로세스 행위로 위장. 실제로는 또다른 랜섬웨어를 생성/다운로드
  • Jigsaw : 2016년 4월엔 공포영화 쏘우(Saw)를 모티브로 제작된 것으로 보이는 Jigsaw 랜섬웨어가 등장했습니다. 인터넷 연결이 되지 않은 환경에서도 파일을 암호화하는 오프라인 암호화(Offline Encryption) 방식이며, 1시간 단위로 암호화된 파일을 삭제하는 기능까지 포함돼있습니다. 매 시간마다 삭제되는 파일양은 증가하며, 몸값 지불시간 기한(72시간)이 지나면 모든 파일을 삭제합니다.
  • HDDCryptor : 지난 2016년 11월 27일, 미국 샌프란시스코에서 시내 열차 시스템 중 발권 및 배차 시스템을 마비시켰습니다. 사회기반시설의 랜섬웨어 감염으로 인해 실질적인 피해가 발생한 중요한 사례. 전체 시스템의 25%에 해당하는 2,000대 이상의 시스템이 피해를 입었고, 공격자는 7만 3,000 달러(한화 약 8천 500만원)를 요구한 것으로 알려졌습니다. MBR과 파일을 동시에 암호화하며 공유폴더 내 파일까지 암호화.
  • Telecrypt : 유명 메신저 텔레그램의 프로토콜을 이용. 2016년 11월 초에 발견됨.
  • Popcorn Time : 2016년 12월 초에 발견. 감염 시 금전 지불 외에 두 명 이상을 추가로 랜섬웨어에 감염시킬 경우 무료로 복구 키를 제공하는 선택을 제공한다. 랜섬웨어를 타인에게 전달하기 위한 전용 URL을 같이 제공. 2시간 이내에 복구 비용을 지불하지 않으면 암호화한 파일을 삭제.
  • 이슬람 국가 : 포켓몬고(PokemonGo) 게임으로 위장한 랜섬웨어
  • 한국 : 카카오톡으로 위장한 랜섬웨어. 2016년 8월에 발견됐으며, 한국어로 구성됨. 파일 암호화 후 ‘.암호화됨’이라는 한글로 된 확장자명이 추가됩니다. 오픈소스 랜섬웨어인 Hidden Tear 소스코드를 악용한 랜섬웨어입니다.
  • 미국 : 대통령 선거 (도널드 트럼프) 이슈를 악용한 랜섬웨어

랜섬웨어 대응 방법 1) 악성 엔트로피의 증가 탐지

‘ZombieZERO EDR for Ransomware’가 암호화 API, 파일조작 API, Sign 유무, 암호화 수 같은 행위탐지 카테고리로 분류해서 악성 엔트로피의 증가를 탐지. 임계치 이상의 엔트로피 발생 시, 랜섬웨어 프로세스라 판단하고 격리 후 패턴 정보를 ZombieZERO Manager에 업로드하여 같은 그룹 내 다른 PC(EDR 설치된)와 공유하여 확산 방지

npcore

랜섬웨어 대응 방법 2) 비인가프로그램의 행위 탐지

  • 특정 비인가 프로그램이 보유 파일을 수정/조작하는 행위 탐지/차단
  • I/O 드라이버단 설치로 외부 프로그램과의 충돌 방지해 안정적이며 PC 리소스 사용을 최소화

npcore

데이터 백업 방법 (2가지 타입)

  • 백업 데이터를 각 로컬드라이브에 보관하는 타입과 중앙 스토리지 서버에 보관하는 타입 중 선택

npcore

랜섬웨어 탐지/차단 화면

> Ransomware 탐지/차단 로그 메시지

npcore

> 격리 후 블랙리스트 자동 등록

npcore

> 블랙리스트 차단 로그 (실행 전 차단)

npcore

ZombieZERO EDR for Ransomware 설치를 위한 최소사양

Endpoint Manager
CPU DualCore 이상 Xeon 2.4Ghz 이상
Memory 4GB 이상 32GB 이상
HDD 여유공간 500MB 이상 256GB이상
파일 시스템 NTFS/ FAT32
운영체제 WindowsXP 이상 WindowsXP 이상
NIC 100/1000mbps 이상 1GB, 2Port 이상