• 화. 1월 26th, 2021

대표적인 기법들과 한계점

Avatar

Byadmin

8월 24, 2020

랜섬웨어 공격이 일반적으로 어떻게 이루어 지는가를 설명하고 있다. 그림에서와 같이 무작위나 표 적방식으로 선정된 대상 시스템에 다양한 공격방법을 이용하여 랜섬웨어 실행에 필요한 코드가 다운로드 되 고, 설치된 후, C&C 서버와의 통신을 통해 공격 지령을 받아, 대상 시스템의 중요 파일(백업 포함)들을 암호화 하고, 피해자에게 파일 복구를 빌미로 비트 코인 등의 금전적 요구를 하는 순서로 공격이 진행된다 공격을 진행하는 과정에서 랜섬웨어가 설치된 위치 의 가상 머신 여부의 체크, 정상 프로세스로 위장, 운영 체제의 보호 기능 차단, 시스템 복구기능 차단, 로깅 차 단 등을 진행하기 때문에 이들 공격에 적시 대응하는 것이 매우 어렵게 된다.

랜섬웨어 공격의 심각성이 날로 증가함에 따라 이를 해결하기 위한 대응 방법들 또한 속속 등장하고 있는데 이들은 그림 1과 같이 대응할 수 있는 공격단계 범위에 따라 탐지와 백업 두 가지 부류로 나눌 수 있다 탐지는 가급적 파일 암호화라는 파괴적 활동이 실행 되기 전에 랜섬웨어의 침입 징후를 식별하여 차단하는 것에 중점을 둔 기술로써, 이들은 다시 시그니처 탐지 (Signature Detection), 비정상탐지(Anomaly Detection), 변경 탐지(Change Detection)로 나눌 수 있다[8]. 표 1에 는 탐지 기술에서 활용되는 대표적인 기법들과 한계점 들이 정리되어 있다. 백업은 주요 데이터나 자료를 별도 로컬 영역 혹은 원격 서버에 보관함으로써 랜섬웨어 공격이 성공하여 파일들이 암호화된 이후라 하더라도 백업 본을 통해 시 스템을 복구할 수 있도록 하는 기술이다.

표 2에는 백 업에서 활용되는 대표적인 기법들과 한계점들이 정리되 어 있다 갈수록 정교해지고 변종이 빈번하게 발생하고 있는 랜섬웨어의 위협에 대해 기존의 대응기법은 II장에서 기술된 여러 한계점들로 인하여 이미 알려진 위협에 대 해서는 효과가 있으나 신종(또는 변종) 랜섬웨어에 의 한 미지의 공격에 대해서는 그 대응에 다양한 제약이 있을 수밖에 없다고 평가되고 있다. 본 논문에서는 대규모 데이터 서명 기술을 활용한 프로 세스 인증을 통하여 미지의 랜섬웨어들의 위협을 사전에 차단하고, 주요 데이터의 백업, 복구과정에서 유저 레벨 의 공격이 불가능한 커널 레벨의 보안 기법을 제안한다 사전에 운영시스템과 사용자 어플리케이션 등 시스템에 존재하는 모든 실행 이미지들의 안전성을 평가하여, 안전한 실행 이미지에 위조가 불가한 전자서명을 발행해 두고 해당 실행 이미지가 운영체제의 커널에 실행을 위한 허가를 요청 하는 시점에, 전자서명을 실시간으로 검증하여 유효한 서명 일 경우만 실행을 허가 한다면 어떠한 미지의 랜섬웨어라도 실행을 원천적으로 차단할 수 있다.

즉, 외부에서 유입된 악성 소프트웨어의 일종인 랜섬웨어는 정상적인 설치과정 을 거치지 않고 사용자 시스템에 설치되는 것이기 때문에 전자서명이 부여되어 있지 않고, 서명을 임의로 부여하고자 해도 위조가 불가능하기 때문에, 실행이 원천 차단되어 공격 행동을 사전에 예방하는 효과를 얻을 수 있는 것이다. 문제는 실시간으로 전자서명을 생성하고 검증하는데 기 존의 공개키 기반의 전자서명 방식을 사용할 경우 성능문제 로 적용이 비실용적이 된다는 것인데, 본 연구에서는 해시체 인을 응용한 전자서명 기술(공개키 기반 방식 대비 1,000배 이상의 속도 개선)을 이용하여 문제 해결을 하였다

출처 : 토토 ( https://1thing.io/ )

답글 남기기