데이터 개인정보 보호: 이것이 우리 모두에게 중요한 이유

CipherTrust Transparent Encryption Ransomware Protection를 통해 랜섬웨어를 차단하기

저희는 최근에 랜섬웨어 공격: 지속적이고 진화하는 사이버 보안 위협라는 제목의 블로그를 통해 랜섬웨어의 위험과 진화하는 사이버 보안 위협에 대해 설명했습니다. 이제는 공격의 여부가 아니라, 공격의 시기가 더 심각한 문제가 되어가고 있습니다.

​

BleepingComputer.com의 기사는 2024년 1월부터 3월까지 지난 몇 달 동안의 최근 랜섬웨어 공격에 대해 이야기하고 있습니다. 이 블로그에서는 공격을 받은 기업과 정부 기관에 Thales CipherTrust Transparent Encryption Ransomware Protection(CTE-RWP)을 설치한 경우, 데이터는 보호되고 안전했을 것입니다.

​

먼저, 오늘날 사이버 보안 전문가가 사용하는 일반적인 랜섬웨어 탐지 접근 방식 중 일부(행동 검사, 서명 검사, 바이너리 검사)를 검토해 보겠습니다.

​

서명 기반

​

많은 랜섬웨어 예방 제품은 시그니처 기반 제품입니다. 그들은 해당 프로세스의 기계 코드에 대한 해시를 계산하고 이를 알려진 랜섬웨어 서명 데이터베이스와 비교하여 특정 랜섬웨어를 인식합니다. 따라서 해당 랜섬웨어는 이전에 발견되어 해당 데이터베이스에 추가되었을 것입니다. 그러나 원본 랜섬웨어 소스 코드를 수정하고 다시 빌드하면 이러한 서명 기반 솔루션을 우회할 수 있습니다. 적절한 사례는 약 200개 버전, 즉 200개의 서명이 있는 Sugar라는 랜섬웨어입니다.

​

바이너리 검사 기반

​

다른 랜섬웨어 보호 제품은 바이너리 실행 파일에서 랜섬웨어 프로세스의 상표(예: 랜섬웨어 메모로 보이는 텍스트 또는 암호화 라이브러리 링크)를 검색하여 랜섬웨어를 탐지합니다. 일부 랜섬웨어 프로세스는 몸값 메모와 실행 가능한 기계어 코드를 난독화하고 실행 직전에 자체 바이너리 코드를 해독하여 이러한 탐지를 우회합니다. 따라서 프로세스 로드 시에는 감지되지 않습니다.

​

행동 기반

​

이제 행동 기반 솔루션을 만나보세요. 행동 기반 랜섬웨어 보호 제품은 공격 당시 또는 공격을 준비하는 시작 시 랜섬웨어의 행동에 의존합니다. CTE-RWP는 행동 기반입니다. CTE-RWP는 일반적인 동작을 감시할 뿐만 아니라 다른 랜섬웨어 보호 동작 기반 제품 외에도 CTE-RWP는 추상적인 원칙으로 이러한 기술을 강조합니다.

​

한 가지 중요한 점은 CTE-RWP가 비동기식 파괴라고 불리는 기능을 활용한다는 것입니다. 케이크를 굽고 먹는 것에 대한 비유를 생각해 보십시오. 케이크를 굽는 데는 한 사람이 필요하며 일련의 단계는 동기화된 순서로 수행되어야 하지만 많은 사람이 동시에 그 케이크를 먹거나 파괴할 수 있습니다.

​

마찬가지로, 랜섬웨어 동작은 비동기화 유형의 동작 쪽으로 기울어집니다. 프로세스의 다양한 스레드에 의해 삭제된 많은 파일이 순서 없이 무작위로 앞뒤로 전환되는 것을 볼 수 있습니다. 왜? 랜섬웨어는 귀하의 데이터에 관심이 없기 때문입니다. 그들은 동기화 없이 신속하게 데이터를 암호화하고 원본 사본을 파기하기를 원합니다. 비동기식 파괴는 CTE-RWP가 감시하는 랜섬웨어 유사 동작의 특성 중 하나일 뿐입니다.

​

이러한 원칙의 기본은 파일 내에서 또는 파일 전체에서 암호화된 쓰기로 명확한 읽기를 감시하는 기본 기술입니다. CTE-RWP는 이러한 비정상적인 지우기-읽기-암호화-쓰기 동작을 감지하고 페이징 IO가 암호화된 페이지를 디스크에 쓰기 전에 종종 해당 프로세스를 신속하게 차단할 수 있습니다. 수학적 차이, 바이트 값 빈도, 섹션의 압축성 및 기타 측정은 CTE-RWP가 읽기 및 쓰기 전반에 걸쳐 파일 전체가 일반 데이터에서 암호화된 데이터로 변경되는지(해당 파일 내에서 또는 다른 파일 내에서) 결정하는 데 도움이 됩니다.

​

CTE-RWP는 좋은 행동과 나쁜 행동을 구별하기 위해 특허 기술을 사용하여 잘못된 적중률이 매우 낮습니다. 마지막으로, 프로세스가 여전히 랜섬웨어와 유사한 동작을 잠깐 동안 나타내는 경우 CTE-RWP는 면제된 프로세스 목록을 제공합니다. 바이러스 백신은 일반 파일을 검사하지만 암호화된 로그 항목을 로그에 기록하므로 이 범주에 속합니다. 이를 통해 짧은 순간 동안 랜섬웨어 동작을 모델링할 수 있습니다.

​

결과

​

Thales 연구소에서는 뉴스에 나온 최근 랜섬웨어 공격 10건을 테스트했으며 CipherTrust Transparent Encryption Ransomware Protection이 경고를 보내고 10건 모두 차단했습니다.

​

우리 연구실에서는 vx-underground 연구 사이트에서 해당 랜섬웨어를 찾을 수 있는 최근 공격 상위 10개를 선택했고, CTE-RWP가 어떻게 행동하는지 확인하기 위해 해당 랜섬웨어로 우리 자신을 공격했습니다. 최근 테스트된 랜섬웨어 10개는 다음과 같습니다.

​

1. 1개의 락비트

2. 블랙바스타

3. 리시다

4. 하이브

5. 아키라

6. 트리고나

7. 플레이

8. 비안리안

9. 메두사로커

10. 포보스

​

다음 비디오를 통하여 각 공격이 어떻게 차단되었는지 확인하실 수 있습니다.

​

​

코드 변경, 임계값 변경 또는 공격 전후에 다른 변경 사항은 이루어지지 않았습니다. 이는 이미 출시된 CTE-RWP 제품에 대한 기본 테스트였으며, 뉴스에서 언급된 이러한 공격 이전에 생성된 빌드를 사용했습니다.

​

9건의 사례 중, 우리는 각 랜섬웨어 공격을 디스크에 암호화된 데이터가 기록되기 직전에 즉시 탐지하고 차단했습니다. 10번째 사례에서는 최대 5개의 작은 파일이 차단되기 전에 디스크에 암호화되었습니다.

​

각 경우에서 CTE-RWP는 이전에 언급한 수학적 분산, 바이트 값 빈도 및 섹션 압축성 측정을 사용하여 데이터 읽기/쓰기가 암호화되었는지 또는 명확한지를 판단함으로써 각 랜섬웨어의 동작을 관찰하여 암호화되지 않은 읽기 및 암호화된 쓰기 IO 패턴을 감지할 수 있었습니다. 암호화되지 않은 읽기는 랜섬웨어 활동의 핵심 지표입니다.

​

현재 진행 중인 실시간 랜섬웨어 테스트

​

우리는 현재 vx-underground.org 멀웨어 연구 사이트에 보관된 랜섬웨어 55종을 테스트했으며, CTE-RWP는 모두 탐지하고 차단합니다. 우리는 새로운 랜섬웨어 제출을 위해 vx-underground 사이트를 계속 모니터링하고 있습니다.

앞서 언급했듯이, CTE-RWP가 해당 랜섬웨어에 공격당한 기업, 정부 기관 또는 기타 기관에 설치되어 있었다면 문제가 없었을 것이며, 이는 행동 기반 랜섬웨어 보호 접근 방식의 힘을 확인시켜줍니다.

​

추가적 정보

​

• 5월 2일 라이브 웨비나 '랜섬웨어와의 전쟁 - 암호화의 힘을 활용하기'에 참여하세요.

• 최근 10건의 랜섬웨어 공격 VS. CipherTrust Transparent Encryption Ransomware Protection 비디오 시청

• CipherTrust Transparent Encryption Ransomware Protection 상세 페이지 확인

• 전문가와 상담하려면 문의하세요.

​

---

Thales DIS CPL소개

​

오늘날의 기업은 클라우드, 데이터, 소프트웨어를 활용하여 비즈니스의 중대한 결정을 내립니다. 전 세계 유수의 브랜드와 기업들이 클라우드와 데이터 센터에서 디바이스, 네트워크에 이르는 모든 곳에서 생성, 공유 및 저장되는 민감정보와 소프트웨어에 안전하게 접근하기 위해 탈레스의 솔루션을 활용합니다. 탈레스의 솔루션을 도입한 기업은 안정적으로 클라우드로 이전하면서도 확실하게 데이터 보안 규제를 준수할 수 있습니다. 현재, 매일 수백만 명의 소비자가 사용하는 서비스와 디바이스를 통해 탈레스의 고객들은 보다 큰비즈니스 가치를 창출하고 있습니다.

https://cpl.thalesgroup.com/ko

​

탈레스 소개

​

귀하의 데이터를 보호하는 기업들은 탈레스를 통해 자신들의 데이터를 보호합니다. 데이터 보안에 대해 중요한 결정을 내려야 하는 순간이 증가하고 있습니다. 암호화 전략을 수립하거나, 클라우드로 데이터를 이전하거나, 규제 준수 요구사항을 충족시켜야 하는 모든 순간에 탈레스를 믿고 찾아주십시오. 탈레스는 귀하의 안전한 디지털 트랜스포메이션을 지원합니다