Traps를 통한 멀웨어 및 랜섬웨어 방지



 

This post is also available in: English (영어) 简体中文 (중국어 간체) 繁體中文 (중국어 번체) 日本語 (일어)

랜섬웨어가 새로운 악성 코드는 아니지만, WannaCry, Petya/NotPetya 그리고 최근 TrickBot 등의 주요 공격은 기존의 예방 방법이 지능형 랜섬웨어 공격을 방지하는 데 효과적이지 않다는 것을 보여주었습니다. 공격자들은 멀웨어의 접근법과 용도를 진화시켜 더 정교하고 자동화되고 표적화되고 매우 탐지하기 어렵게 만들었습니다.

WannaCry는 약 2년 전에 처음 공격했을 때 매우 효과적으로 침투되어, 우리는 이 위험한 멀웨어로 인한 유출 사고를 뉴스에서 계속 보아야 했습니다. WannaCry는 멀웨어와 익스플로잇의 조합을 사용하여 공격했기 때문에 계속해서 효과적일 수 있었습니다. 첫째, WannaCry는 Microsoft SMB 프로토콜의 취약점을 악용하여 커널 수준의 권한을 얻습니다. 이 공격이 은밀하게 이루어지는 것은 커널 APC(비동기 프로시저 호출) 공격을 사용하기 때문이기도 합니다. 커널에 대한 공격은 한동안 계속 이루어졌고 잘 알려져 있으며 보호가 가능합니다. 그러나 커널 APC 공격은 다른 차원의 공격입니다. WannaCry는 커널을 공격해서 권한을 얻는 것이 아닙니다. 커널 APC 공격은 커널 권한을 이미 갖고 있고 이를 이용하여 목적을 수행합니다. 이 경우에는 합법적인 프로그램이 합법적인 코드를 실행하는 것이 아니라 악성 코드를 실행하게 하는 방식으로 목표를 수행합니다.

최종 사용자의 관점에서 보면, 랜섬웨어 화면은 모든 사람에게 잠겨서 엔드포인트에서는 어떤 추가 활동도 보이지 않습니다. 하지만 동시에, 멀웨어는 계속 퍼져 나가 내부와 외부 모두에서 취약한 시스템을 최대한 많이 감염시킵니다.

간략하게 나타낸 WannaCry 공격 순서

 

Palo Alto Networks Traps를 시작하세요. Traps advanced endpoint protection 은 알려진 멀웨어와 알려지지 않은 멀웨어, 랜섬웨어 및 익스플로잇에 대한 여러 가지 예방 방법을 결합하여, 엔드포인트가 손상되기 전에 악성 프로그램의 실행을 중지시킵니다. 공격 주기의 중요한 단계에서 보호 기능을 적용함으로써, 운영 체제가 무엇이든, 엔드포인트가 온라인이든 오프라인이든, 회사 네트워크에 연결되었든 아니든 상관없이 랜섬웨어 공격을 방지할 수 있습니다.

WannaCry 공격이 발생하는 과정에서, Traps가 보호하는 엔드포인트는 공격 주기의 여러 지점에서 이러한 공격을 탐지하고 중단시킬 수 있었습니다. 먼저, Traps는 커널 권한을 사용자 수준으로 상승하려는 시도가 있을 때 익스플로잇 기법을 탐지하게 됩니다. Traps는 그 행동을 탐지하자마자 그 공격을 중단시키게 됩니다. 이 기능이 작동하지 않은 경우에는, 악성 프로세스 방지 모듈이 하위 프로세스를 생성하는 상위 프로세스를 탐지하고 중지시키게 됩니다. 이전 모듈에서 위협을 탐지하지 못하면, 에이전트가 로컬 분석을 통해, 랜섬웨어 방지 모듈을 통해, 또는 상세한 WildFire 분석을 통해 공격을 탐지하고 알려진 위협으로 식별하여 중지시키게 됩니다.

WannaCry 공격이 이루어지는 동안과 그 후에, WannaCry에 감염된 것으로 알려진 Palo Alto Networks 고객은 없었습니다. 영국 국민 건강 서비스가 공격을 받은 2017년 5월 12일이 되기 거의 한 달 전에 WildFire 멀웨어 예방 서비스에 이 위협이 제출되었기 때문입니다. AutoFocus를 살펴보면, WannaCry가 2017년 4월 16일에 처음 발견되었고 보호 기능이 만들어져 모든 Palo Alto Networks 방화벽, 엔드포인트 등에 배포되었다는 것을 알 수 있습니다.

결국, 공격자는 공격 주기의 모든 단계에서 성공해야 하고, 반면에 Traps 고급 엔드포인트 보호 기능은 한 단계에서만 방어에 성공해도 공격을 중단시킬 수 있습니다.

엔드포인트 보호에 대한 필수 요건에 대해 자세히 알아보려면 이 온디맨드 웹캐스트를 통해 Traps가 보호 기능을 단순화하고 리소스 민감성 환경 보호 비용을 절감하는 방법을 알아보세요.

Got something to say?

Get updates: Unit 42

Sign up to receive the latest news, cyber threat intelligence and research from Unit42

By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement.