원문 : http://www.ischo.net -- 조인상 // 시스템 엔지니어

Writer : http://www.ischo.net -- ischo // System Engineer in Replubic Of Korea

+++++++++++++++++++++++++++++++++++++++++++++++++++++++

 

 

 

 

 

출처 : https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=28455

 

 

최근 국내 기업을 타깃으로 유포되는 클롭(CLOP) 랜섬웨어의 변종이 잇따라 나타나면서 피해가 확산되고 있다. 안랩 시큐리티대응센터(이하 ASEC)에 따르면 클롭 랜섬웨어는 올해 초 이메일에 실행 파일(.exe), 워드(.doc)나 엑셀(.xls) 파일을 첨부해 유포되었으며, 5월말 경부터 스크립트(HTML)을 첨부하는 방식으로 변화했다.


다양한 산업 분야에서 클롭 랜섬웨어 피해가 확인됐다. 공격자는 Ammyy 해킹툴을 이용해 기업 내부의 중앙 관리 서버에 침투한 후 관리 서버에 연결된 시스템을 클롭 랜섬웨어에 감염시킨다. 또한 Ammyy 해킹툴은 침투 후 내부 시스템의 OS 정보, 권한, 사용자 이름, 컴퓨터 이름 등 기본 정보를 획득해 해당 시스템에 대한 원격 제어를 할 수 있으며, 이를 통해 지속적으로 기업 내부 시스템을 침해할 가능성이 높다.


또한, 지난 2017년 전 세계적인 피해를 입혔던 워너크라이(워너크립터) 랜섬웨어 유포에 이용된 바 있는 SMB 취약점(MS17-010)을 이용한 마이너(Miner) 악성코드와 클롭 랜섬웨어가 함께 발견된 사례도 있었다. 따라서 기업 내 사용 중인 공유폴더와 주요 OS 및 소프트웨어의 패치 관리에 더욱 각별한 주의가 필요하다.


이와 관련해 안랩은 다음과 같은 대응 조치를 권고하고 있다.


[V3 제품의 랜섬웨어 대응 기능 활성화]
1. V3 엔진을 항상 최신 버전으로 유지 및 주기적인 정밀 검사 실시
2. 실시간 감시 기능 활성화(On)
3. ‘네트워크 침입 차단’ 기능 활성화(On) - SMB 취약점 패킷 차단 룰이 적용되어 있음
4. ‘유해 사이트 차단’ 기능 활성화(On) – 피싱 사이트, 악성 사이트, 불필요한 사이트 등에 대한 접근 차단
5. ‘행위 기반 진단’ 기능 활성화(On) - 디코이(Decoy) 기술을 이용한 랜섬웨어 진단
6. ‘랜섬웨어 보안 폴더’ 기능 이용 – 사용자가 허용한 프로세스 외에는 해당 폴더 내 파일에 대한 쓰기/수정 등 불가

 

[AhnLab MDS 제품을 활용한 랜섬웨어 대응]

7. AhnLab MDS(MTA)의 ‘악성 이메일 자동 격리’ 기능 활성화 – 스피어 피싱 등 악성 메일 차단 
- 관련 기능 설정
① 관리>탐지/대응>대응 기본 설정 > 악성 메일 탐지 시 위험도별 ‘메일 차단’ 설정
② 실행 파일, 문서 파일 외에 html, htm 등의 첨부 파일에 대한 동적 분석을 위해 추가 옵션 활성화 - CLI를 이용해 관련 옵션 활성화 가능(*제품 도움말 문서 참고)​

8. AhnLab MDS 에이전트(Agent)의 ‘실행 보류(Execution Holding)’ 기능 활성화 – 랜섬웨어 악성 파일 실행 방지 가능
- 관련 기능 설정

① 관리 > 탐지/대응 > 대응 기본 설정 > '자동 대응' 항목에서 ‘악성 파일 탐지 시’ 위험도별 ‘파일 삭제’ 항목 설정
② 관리 > 에이전트 > 에이전트 정책 > ‘정책 수정’을 통한 ‘파일 실행 보류’설정 ​​


[공유폴더 조치]
9. ‘ADMIN$’ 공유폴더를 비롯한 관리 목적의 공유폴더 사용을 지양할 것을 권장함
- 불가피하게 공유폴더를 사용해야 할 경우, 각별한 주의 요망


[AD/계정관리]
10. AD(Active Directory) 환경의 관리자 계정 보호 및 운영 방안을 참고하여 기술적 보호 대책 마련 권고
- AD(Active Directory) 관리자가 피해야 할 6가지 AD 운영 사례
11. 감염된 시스템(PC 및 서버)의 계정 및 패스워드를 반드시 변경


[보안 패치 관리]
12. 주요 보안 취약점 발견 시 즉각적인 패치 적용 프로세스 및 관리 방안 수립•적용
- 주요 보안 취약점 발견 시, 패치 적용 및 현황 모니터링 체계 수립
- 서버 예방을 위한 정비 주기(Pre-Maintenance) 단축 및 패치 적용 체계 수립
13. MS에서 제공하는 SMB 취약점(MS17-010) 관련 패치 적용
- 일부 클롭 랜섬웨어와 함께 SMB 취약점(MS17-010)을 이용한 악성코드가 함께 발견됨
- 추가 피해 예방 위해 Microsoft의 윈도우(Windows) SMB 취약점 패치 적용 필수
- MS의 SMB 취약점 패치 다운로드 페이지


[이메일 관리]
14. 이메일에 첨부된 파일이 실행 가능한 .exe 파일인 경우, 업무 관련 파일인지 재확인 후 실행
15. 이메일에 첨부된 파일이 doc, pdf, xls 등 문서 파일 또는 html 파일인 경우, 업무 관련 파일인지 재확인 후 실행

 

[네트워크 연결 차단]
16. 클롭 랜섬웨어 감염 및 확산에 사용되는 아래 IP에 대한 네트워크 연결 차단

<Cobalt Strike Beacon 업로드 IP 리스트>

194.68.27.18 
194.165.16.228

185.17.121.188

89.144.25.19

89.144.25.20

89.144.25.21

89.144.25.22

89.144.25.23

89.144.25.25

89.144.25.27

89.144.25.92

89.144.25.94

89.144.25.95

89.144.25.96

89.144.25.97

89.144.25.99

89.144.25.165

89.144.25.170

89.144.25.171

89.144.25.172

89.144.25.173

89.144.25.174
89.144.25.176

45.227.252.54

105.201.1.186

105.201.1.249​


안랩 시큐리티대응센터(ASEC)는 지속적으로 클롭 랜섬웨어를 모니터링 및 대응하고 있으며, ASEC 블로그를 통해 신속하게 상세한 내용을 공유하고 있다.

 

[관련 자료 – ASEC블로그]

국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일 (2019.02.14)
해킹툴 Ammyy를 이용한 CLOP 랜섬웨어 유포(?) (2019.03.07)
기업 사용자를 타켓하여 설치되는 해킹툴 Ammyy (CLOP 랜섬웨어) (2019.03.08)
[주의] 국내에서 확산되고 있는 SMB취약점(MS17-010) 공격 시도 (2019.03.26)
[주의] 국내 기업을 대상으로 대량 유포되는 엑셀 파일 분석 - Ammyy 원격제어 백도어와 CLOP 랜섬웨어 유포 (2019.05.29)
[주의] 국세청 사칭 악성 메일 대량 유포 (Ammyy, CLOP) (2019.05.30)
다양한 형태로 유포되는 CLOP 랜섬웨어 (2019.06.27)
3대 국내 사용자 타깃 악성코드 ♥ Amadey 봇의 은밀한 관계 (2019.07.02)

 

번호 제목 글쓴이 날짜 조회 수
공지 [공지] 게시자료 열람자유. 불펌금지입니다. 조인상 2010.12.07 20213
» [보안 권고] 클롭(CLOP) 랜섬웨어 동향 및 대응 방안 - 스크랩 ischo 2019.09.10 20
98 스크립트 : 활성 NIC에 DNS서버 변경하기 ischo 2017.09.01 3745
97 Windows 2012 에서 원격데스크탑 세션 개수 무제한 처리 조인상 2017.01.10 5858
96 특정포트로 ping을 날리는 유틸 file 조인상 2016.10.07 7150
95 RS232C Null Modem Female-to-Female 핀배열 조인상 2015.09.03 7952
94 업데이트 에러 : 0x8024800a 해결방법 조인상 2015.07.17 8790
93 7-zip 으로 폴더 압축후 백업디렉토리로 옮긴후 지정일 이후 파일 삭제하기 조인상 2015.02.27 11659
92 windows 7에서 C드라이브만을 백업대상으로 해서 D드라이브로 이미지백업하기 조인상 2014.09.19 10608
91 ahnlab V3 update용 도메인 및 IP 조인상 2014.07.19 10517
90 windows update를 위한 도메인 및 IP리스트 조인상 2014.07.18 13647
89 Microsoft Remote Desktop Connection Manager - RDCM file 조인상 2014.06.18 9071
88 FTP 백업 스크립트 조인상 2014.05.13 12046
87 Remote Desktop Organizer file 조인상 2014.02.26 8505
86 Windows 에 기록된 NIC 의 MAC Address 확인 방법 조인상 2013.11.13 13590
85 작업관리자가 비활성화 되어있는 경우 조인상 2013.10.21 14446
84 usrmgmt.msc(로컬사용자및그룹) 실행시 MMC를 열수 없다고 에러 메시지 발생 file 조인상 2013.08.31 13428
83 Windows 2008 환경에서 분실한 패스워드 초기화 조인상 2013.06.05 21477
82 Windows 2012 메트로UI 를 기존 UI로 변경하기 조인상 2013.01.31 12552
81 운영체제별 TTL값 차이 조인상 2013.01.18 15463
80 특정디렉토리내 오래된 파일 자동삭제하기 [1] file 조인상 2012.11.15 18461
서버에 요청 중입니다. 잠시만 기다려 주십시오...