WannaCry 랜섬웨어 SHIELDEX CDR 처리 결과

    보안 이야기 2017.06.01 09:47



    지난 2017년 5월 12일, 전 세계적으로 WannaCry 랜섬웨어를 이용한 대규모 사이버 공격이 발생하여

    많은 기업들이 피해를 입었습니다.


    WannaCry는 마이크로소프트 윈도우의 파일 공유에 사용되는 서버 메세지 블록(SMB) 원격코드의 취약점을

    악용한 것으로, 이메일 첨부파일을 통해 유포되는 일반적인 랜섬웨어와 달리 인터넷 네트워크에 접속만 해도

    감염 됩니다. MS에서는 이 취약점을 보완하는 패치를 3월부터 제공 했었습니다. 


    WannaCry 유포 초창기에는 드라이브 바이 다운로드(Drive-by download) 방식이나

    이메일 첨부를 통한 고전적인 방식으로 유포되었기 때문에

    아무리 패치를 적용했다 하더라도 WannaCry에 감염되지 않을 것이라고 확신할 수는 없습니다. 


    이에 소프트캠프에서는

    WannaCry에 포함되어 있던 문서파일을 추출 후,

    실덱스(SHIELDEX) CDR(Content Disarm & Reconstruction) 기술을 통해

    악성코드 차단 가능 여부를 모의 테스트 하였습니다. 




    WannaCry 랜섬웨어 문서파일 분석 및 CDR 결과


    □ 문서파일 분석 



    소프트캠프는 WannaCry 파일로 공개된 SHA256 해쉬 리스트 596개 중

    568개에 대한 원본 파일들을 수집하였습니다. (95% 수집)


    수집된 원본파일 568개에서 78개의 Non-PE 파일을 스캔한 결과

    문서 형식으로 만들어진 .rtf 파일 28개를 추출하였습니다.

    .rtf 파일 중 임의로 1개를 선택하여 CDR 전, 후의 결과를 비교해 보았습니다. 




    □ 문서파일 분석 결과


    ▲ 바이너리 비교


    .rtf 파일의 16진수 바이너리를 CDR 전, 후로 비교해 보았습니다. / 비교주소 00009000 ~ 00009360


    CDR 전 바이너리에서는 사용자에게 불필요한 Hidden Attachment가 발견 되었으며,

    CDR 후 바이너리에서는 악성코드가 삽입될 수 있는 Hidden Attachment가 삭제되고,

    사용자에게 필요한 Visible Content(텍스트, 이미지, 템플릿, 스타일, 슬라이드 등)로만 

    재구성 되어 깨끗한 문서로 만들어지는 것을 확인할 수 있습니다.  



    ▲ VirusTotal 비교


    CDR 전, 후의 파일을 악성코드 분석 서비스인 VirusTotal을 통해 비교해 보았습니다. 


    CDR 전의 파일을  VirusTotal에서 분석한 결과, 16개의 백신에서 악성코드가 탐지 되었으나,

    CDR 후의 파일에서는 악성코드가 전혀 발견되지 않는다는 결과를 확인할 수 있었습니다. 




    ▲ 파일 속성 및 출력물 비교 


    CDR 전, 후의 파일 속성과 출력물 결과를 비교해 보았습니다. 


    CDR 전, 파일 속성의 파일 크기는 37.4KB 였지만,

    CDR 후, 파일 크기는 36.8KB로 0.6KB 용량이 줄어 들었습니다. 

    이는,  CDR 기술을 통해 사용자에게 악영향을 끼칠 수 있는 불필요한 코드를 제거하였기 때문입니다.

     



    CDR 기술로 불필요한 코드를 제거했지만, 출력물 결과는 CDR 전과 동일하게 불편함 없이 확인할 수 있습니다. 





    WannaCry 랜섬웨어 대응 솔루션 SHIELDEX

     

    소프트캠프 CDR / 무해화 솔루션 실덱스(SHIELDEX)는

    CDR 기술을 기반으로 외부에서 유입되는 문서파일에 의한 랜섬웨어 공격에 대응할 수 있는 솔루션 입니다. 


    실덱스는 망이 분리된 환경에서 인터넷, 이메일, USB, 망간자료전송 등

    다양한 외부 경로를 통해 유입되는 모든 문서파일을 CDR 기술로 무해화 한 후 재구성하는 방식으로

    안전한 컨텐츠만 내부로 들여보내기 때문에 악성코드를 포함한 외부유입파일이 

    시스템 중요영역으로 접근할 수 없도록 원천적으로 차단해 줍니다. 


    즉, 문서파일에 구성된 컨텐츠의 텍스트, 도형, 그림, 표 등에 대한 모든 구성 요소의 구조를 검사한 후,

    승인된 요소들만 추출하여 파일을 재구성하는 방식 입니다. 


    이렇게 재구성된 파일은 원본 파일 그대로의 형식으로 깨끗하고 안전한 컨텐츠로만 구성된 파일로

    재탄생 되기 때문에 랜섬웨어에 철저하게 대응할 수 있습니다. 


    □ SHIELDEX 정보 

      · SHIELDEX CDR/파일 무해화 무료 체험

      · CDR, 파일무해화 솔루션으로 망분리 보안 강화, 악성코드 대응


    □ SHIELDEX 컨셉


    □ SHIELDEX 특징

     

     망분리 환경에 최적화되어 망분리 보안 강화

     망분리 환경에서 주요 경로를 통해 유입되는 외부유입파일을 무해화 하여

     안전한 파일로 재구성

     

     기존 보안방식 한계점 보완

     CDR 기술로 문서 구조 분석방식을 통해 기존 솔루션들이 탐지할 수 없는

     문서파일 형태의 악성코드에 대응

     내부정보유출방지, 랜섬웨어 대응

     CDR 기술로 악성파일을 막아 안전한 파일을 내부로 유통,

     악성코드로 인한 보안위협 원천 차단



    □ SHIELDEX 적용대상


     

      망분리 환경에서 파일무해화에 대한 보안강화를 고려하고 있는 조직

     

      APT, 랜섬웨어 등 사이버 위협에 대한 대응 방안을 고려하고 있는 조직

     

      Zero Day 등 알려지지 않은 공격에 대한 강화된 보안대책 마련이 필요한 조직






    저작자 표시 비영리 변경 금지
    신고

    티스토리 툴바