ransomware - fireeye dayfireeyeday.com/1604/pdf/track_2_2.pdf · the rise of business disruption...

COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.

RANSOMWARE

HOW TO NOT BECOME A VICTIM

SESSION Q & A - TRACK 2 탐지 & 방어

Track 2 탐지 & 방어 세션에 대해 궁금하셨던 부분을 성함과 함께 남겨 주세요.

각 세션 종료후 발표자가 답변을 해드립니다.

* 질문이 채택 되신 분들께는

스타벅스 상품권, 텀블러, 핸드폰 거치대 등을 각 세션마다

다르게 제공하여 드립니다.

접속 URL : cdl2016track2.symflow.com • 위의 URL 또는 QR코드를 이용하여 접속하시거나 등록시 나누어 드린 안내장을 참고하시기 바랍니다.


3

TREND 2015


4

TREND 2015

• TREND 2

This Time It’s Personal

개인정보 유출 공격 유형 증가

• TREND 3

ATTACKS ON ENTERPRISE NETWORKING DEVICES

기업 네트워크 장비를 공격하는 유형 증가

• TREND 1

THE RISE OF BUSINESS DISRUPTION ATTACKS

비즈니스 연속성을 파괴하는 공격 유형 크게 증가


5

TREND 2015 – TREND 1

• 비즈니스 연속성을 방해/파괴 하는 공격 유형 크게 증가

악성코드 유형

- 시스템 파괴 형

- 랜섬웨어

피해 범위

- 회사 내 대외비 유출

- 회사 평판 하락

- 임원직 사퇴

- 랜섬웨어로 인한 많은 비용 지출/ 시스템 재건축으로 인한 비용 지출

mkdir “C:\emptydir” robocopy “C:\emptydir” “C:\windows\system32” /MIR | shutdown /s /t 1800


6

• 국내 랜섬웨어 사고 추이

TREND 2015 - RANSOMWARE

7 178 72 128 63 104 45 656 927

100

200

300

400

500

600

700

800

900

3월 4월 5월 6월 7월 8월 9월 10월 11월

WEB

66%

Email

25%

해외 랜섬웨어 사고 추이


7

WEB ATTACK – DRIVE BY DOWNLOAD

• 최근 다양한 랜섬웨어들이 APT공격에서 사용하는 Exploit기법을 통해 전파되고 있음. .

기존 보안제품 체크

• 특히 웹브라우저 취약점을 이용한 Drive By Download방식으로 기존 보안제품을 우회하는

형태로 전파중.


8

EMAIL ATTACK – SPEAR PHISHING

• 이메일은 통해 문서프로그램(PDF, HWP, DOC등) 취약점을 이용한 공격이 끊임없이 발생되고

있으며 또한 이전에 자취를 감추었던 매크로 형태의 악성문서 파일이 최근 다시 유행처럼 번지고

있음.

난독화 매크로 코드 첨부파일 – 매크로 악성문서 스피어피싱 이메일


9

RANSOMWARE & APT


10

BIGGEST THREAT IN 2015

• 2015년도 주목할 만한 위협인 랜섬웨어


11

STATE-SPONSORED ATTACKS

• 국가 스폰을 받고 진행되는 랜섬웨어 - Codoso Hacking Team

Hackers using tactics and tools previously

associated with Chinese government-

supported computer network intrusions have

joined the booming cyber crime industry of

ransomware, four security firms that

investigated attacks on U.S. companies said.

지난해 9월 중국정부와 미국 오바마정부간 안보협약

Codoso와 같은 해커그룹이 랜섬웨어 공격 가담


12

VULNERABILITY & EVASION TECHNIC

• Operation Kofer

Kofer generates a new variant for every

target, based off an automatic algorithm,

which allows the malware to avoid

signature-based detection, as well as

sandbox detection.

Spanish, Polish, Swiss and Turkish target

Drive-by-Download Ransomware payload

Encryption Execute as child

process Evade sandbox

detection


13

TARGETED ATTACK

• Business Email Compromise SCAM

To elevate the chances of a successful targeted ransomware attack, the attackers must use APT-like tactics to learn about their targets’ networks and endpoints, evaluate the criticality of the stored data, and manually insert the malware. Indeed, recent reporting suggests that Chinese APT actors are employing ransomware for supplemental income.


14

SAMSAM RANSOMWARE


15

LOCKY RANSOMWARE


16

LOCKY RANSOMWARE

• 올해 2월에 새롭게 발견된 랜섬웨어로 수많은 국가에서 피해사례 발생

Executive Summary Locky is a new family of ransomware that emerged in February 2016. It has few capabilities that distinguish it from other prominent

families of ransomware; however, it has garnered much attention due to its attribution with the actors managing Dridex botnets and

may operate using an affiliate model. The malware is easily identified by the appended ".locky" extension to each file that it encrypts.


17

LOCKY RANSOMWARE

Scenario #2 Locky has also been identified dropping a Windows batch script in

Office documents. This script will launch a cscript.exe (legitmate

Windows process for Windows Host Scripts) process and download the

Locky binary.

Scenario #1 Locky has been primarily observed using Microsoft Office

attachments with embedded macros in massive spam campaigns,

namely the Bartallex downloader. Social engineering tactics entice

the user into believing that the document is encoded. Users are

then prompted to enable Office macros to view the content of the

document. These embedded macros serve as a downloader for the

Locky ransomware binary.

• 랜섬웨어 파일 전달 방법


18

LOCKY RANSOMWARE

초기 C&C 통신시, 감염 호스트에 대한 정보를 몇가지 파라미터값을 전달하며, C&C로부터 RSA 공개 Key 값을 받아서

암호화를 진행됨. 이때 C&C 통신이 차단되면 암호화 과정이 이루어지지 않습니다.

• 랜섬웨어 감염 행위


19

LOCKY RANSOMWARE

0.5 BTC (Bitcoin) 지불을 요구함 (시세 : 242,000원)

다른 랜섬웨어와는 달리 지불시간에 대한 제한은 없음.

• 랜섬웨어 요구 사항

감염시 지불 방법에 대한 정보를 알려줌

하루에 90000대의 사용자 감염으로 추정


20

WHO IS DRIDEX

• A SHIFT FROM BANKING TROJANS TO RANSOMWARE


21

DRIDEX & LOCKY

드라이덱스 URL: - http://[DOMAIN NAME]/[RANDOM HEXADECIMAL VALUE]/[RANDOM HEXDECIMAL VALUE].exe Locky URL: - http://[DOMAIN NAME]/[RANDOM HEXADECIMAL VALUE]/[RANDOM HEXADECIMAL VALUE]

• DRIDEX와 LOCKY의 상관관계


22

DRIDEX TACTICS, TOOLS

SCAM

2. ZIP 첨부파일(JS 파일)

CK, Angler Exploit Kit

• 전술과 전략에 사용된 도구


23

DEMO


24

CONCLUSION


25

CONCLUSION

• Q2. 랜섬웨어 피해를 당해본 적이 있는지

• Q3. 랜섬웨어가 아닌 APT 공격이였다면?

• Q1. APT 피해를 당해본 적이 있는지


26

THANK YOU

ransomware - fireeye dayfireeyeday.com/1604/pdf/track_2_2.pdf · the rise of business disruption...

Documents