랜섬웨어
원격(MSTSC)정보를 갈취하여 감염되는 Globelmposter 3.0변종 랜섬웨어
1,066 2018-10-25
개요
GlobeImposter 3.0 버전의 변종 랜섬웨어가 현재 국내에 감염사례가 발생 해당 랜섬웨어는 감염 PC의 Memory 인터셉터(갈취)를 통하여 원격 데스크톱 서비스 로그인 정보 획득 후 해당 PC 혹은 Server를 감염시키는 방식으로 전산이나 Server 유지보수 관련 인원이 사용하는 PC가 감염되었을 경우 접속 가능한 Server를 암호화 시킬 수 있어 심각한 피해를 발생 시킬 수 있음. |
유입경로
E-Mail, 출처가 불명확한 Web의 다운로드 파일, 감염 PC에서 갈취한 원격 데스크톱 서비스 정보 |
동작방식
· 사용자 PC 감염 · 부팅시 파일실행을 위한 정보를 레지스트리에 등록(%APPDATA% 경로) · 부팅 후 사용자 PC의 정보 수집(Memory 갈취) · 갈취한 정보 저장 및 저장정보에서 원격 데스크톱 로그인 정보 필터링(%Temp% 경로의 .bat 파일) · 갈취된 원격 데스크톱 정보로 랜섬웨어 파일 전송 및 실행 · 실행 후 랜섬웨어 파일 및 원격 데스크톱 갈취에 이용되었던 파일 모두삭제 진행 |
파일정보 및 특징
|
대응 방안
· 인가되지 않은 *.EXE 및 파일 실행을 통제할 수 있는 화이트리스트 기반 차단 솔루션 도입
· 출처를 알 수 없는 E-Mail 열람 자제
· 불필요한 공유 포트 끄기(3389, 445, 135, 139) 및 원격 데스크탑 암호 수준 최상 유지
· 엄격한 ACL(액세스 통제 목록) 관리
· 원격 데스크톱 서비스 사용 시 제한된 환경에서의 접속
관련 자료
댓글 : 0
