랜섬웨어

매크로를 이용한 악성코드 분석

3,697    2017-07-18


개요  

파일 암호화, OS 구동 영역 감염 등 지속적으로 발생하는 신종, 변종 랜섬웨어로 인해 전 세계가 몸살을 앓고 있습니다.

또한 exe뿐만 아니라 dll, tmp 등 각종 Script를 이용하는 등 범행 수법이 점점 지능화돼 가며  피해 사례도 증가하고 있습니다.


악성코드 감염 수법 중 많이 이용되는 방법인 매크로에 대해 알아보도록 하겠습니다.



유입 경로 


▶ 메일로 유입된 첨부파일

 

메일을 통해 매크로가 포함된 파일 (Word, Excel 등)을 첨부하여 발송하는데 메일 제목 및 파일 제목을 평가 지표 자료, 퇴직연금 파일, 배송 관련 등으로 사칭하여 사용자들에게 의구심이 들지 않도록 작성하여 발송



[감염 Flow]

1. 메일에 첨부된 매크로 파일 (Word, Excel 등) 다운

2. 매크로 파일 실행

3, 매크로 실행 ▶ 매크로 실행 시 악성코드 다운로드 (dll 파일)

4. 매크로 실행 시 다운로드한 dll 파일을 rundll32.exe로 실행

5. 파일 암호화 (PC 감염)



[매크로 코드 예시_dll 감염 분석 예시]


▶ 매크로 코드



[매크로 코드]




감염  

PC 내 문서, 이미지, TXT 등 파일 암호화 및 복호화 비용 메시지가 발생합니다.

그러나, 복호화 비용을 지불해도 감염 전으로 복구될 확률이 희박합니다.



대응 방안  

​랜섬웨어 대응 방안은 검색 몇 번만 해도 비슷한 대응법을 확인하실 수 있습니다.


첫째, 주기적으로 데이터 백업 필요

둘째, 출처가 불분명한 파일은 다운로드 및 열람 금지

셋째, 보안 솔루션 사용

모두 랜섬웨어를 대응하기 위한 방안이 맞습니다.


그러나 PC를 포맷해야 하는 번거로움과 보안 솔루션이 모든 신종, 변종을 차단하기 어려우며 실행 후 차단되기 때문에 이미 악성코드에 감염될 확률이 높습니다.


그렇기 때문에 모든 실행 파일 즉, EXE 및 모든 Script (dll, tmp 등)를 차단하는 White 기반 솔루션을 이용해 프로세스 실행 시 유입될 수 있는 악성코드를 원천 차단해야 합니다.



* 별첨. 매크로 옵션


▶ Microsoft Office 매크로 옵션


· 모든 매크로 제외 (알림 표시 없음) 파일 실행 시 매크로를 사용하지 못하게 차단하며 알림 표시도 발생하지 않음

· 모든 매크로 제외 (알림 표시) : 기본 설정으로 파일 실행 시 매크로 사용 여부 알림 표시

· 디지털 서명된 매크로만 포함 : 디지털 서명이 없는 매크로는 모두 차단

· 모든 매크로 포함 (권장하지 않음) : 모든 매크로 파일이 실행 가능하며 악성코드 유입 확률이 가장 높음



관련 자료  

매크로 유입 영상

랜섬웨어 감염 영상

랜섬웨어 소개 및 대응 방안



댓글 : 0