랜섬웨어

원격(MSTSC)정보를 갈취하여 감염되는 Globelmposter 3.0변종 랜섬웨어

933    2018-10-25


개요  

GlobeImposter 3.0 버전의 변종 랜섬웨어가 현재 국내에 감염사례가 발생 해당 랜섬웨어는 감염 PC의 Memory 인터셉터(갈취)를 통하여 원격 데스크톱 서비스 로그인 정보 획득 후 해당 PC 혹은 Server를 감염시키는 방식으로 전산이나 Server 유지보수 관련 인원이 사용하는 PC가 감염되었을 경우 접속 가능한 Server를 암호화 시킬 수 있어 심각한 피해를 발생 시킬 수 있음.



유입경로

E-Mail, 출처가 불명확한 Web의 다운로드 파일, 감염 PC에서 갈취한 원격 데스크톱 서비스 정보



동작방식 



· 사용자 PC 감염

· 부팅시 파일실행을 위한 정보를 레지스트리에 등록(%APPDATA% 경로)

· 부팅 후 사용자 PC의 정보 수집(Memory 갈취)

· 갈취한 정보 저장 및 저장정보에서 원격 데스크톱 로그인 정보 필터링(%Temp% 경로의 .bat 파일)

· 갈취된 원격 데스크톱 정보로 랜섬웨어 파일 전송 및 실행

· 실행 후 랜섬웨어 파일 및 원격 데스크톱 갈취에 이용되었던 파일 모두삭제 진행



파일정보 및 특징 




대응 방안  

· 인가되지 않은 *.EXE 및 파일 실행을 통제할 수 있는 화이트리스트 기반 차단 솔루션 도입

· 출처를 알 수 없는 E-Mail 열람 자제

· 불필요한 공유 포트 끄기(3389, 445, 135, 139) 및 원격 데스크탑 암호 수준 최상 유지

· 엄격한 ACL(액세스 통제 목록) 관리

· 원격 데스크톱 서비스 사용 시 제한된 환경에서의 접속



관련 자료  

랜섬웨어 소개 및 대응 방안

랜섬웨어 치료 및 복구, 예방 방법

iMON LOPE 소개자료.pdf

케르베르 랜섬웨어

오시리스 랜섬웨어



댓글 : 0