13. 랜섬웨어, Heart Bleed 공격, APT 공격

💵 랜섬웨어

• 랜섬웨어란?
  
  • Ransom(몸값)+Ware(제품)의 합성어.
  • 사용자 컴퓨터의 화면을 잠그거나 문서 암호화 후 복호화 대가로 금전적 보상을 요구하는 악성코드
  • 이메일, SNS, 웹사이트 방문 등으로 감염된다.
• 기존 악성코드와 차이
  
  • 정보를 유출하는 대신 정보 접근을 차단 
  • 자신의 존재를 숨기는 기존 악성코드와 달리 피해자에게 접근, 금전적 보상 요구
  • 악성코드 사용이 비교적 용이
• 랜섬웨어의 종류
  
  1. Locker Ransomware  : 화면 등을 잠금으로써 사용자 접근을 차단
  2. Crypto Ransomware  : 파일을 암호화 함으로써 사용자의 정보 접근 차단
• 랜섬웨어 사례
  
  • 모바일 랜섬웨어 Android Defender : 가짜 백신행세, 단순히 화면을 잠그는 lockscreen을 수행
    → 스마트폰의 안전모드 부팅으로 치료
  • 모바일 랜섬웨어 Simplocker : SD카드 각종 파일 → AES 사용 암호화 → 금전요구
• 랜섬웨어 공격 과정
  
  • 악성코드 통해 PC에 침투 →  중요문서 암호화 → 금품 요구, 협박 → 송금해도 복구여부 미지수

 

---

🧡 Heart Bleed 공격

• SSL과 Open SSL이란? 
  
  • SSL(Secure Sockets Layer)
    • 넷스케이프가 전자상거래 등에서 보안을 위해 개발한 프로토콜
    • TLS 표준화 됨 / 가장 많이 사용되는 프로토콜 / FTP 등에 사용 가능
  • Open SSL(Open Secure Sockets Layer)
    • SSL 프로토콜을 오픈소스로 구현해 놓은 프로그램
    • 다양한 알고리즘 지원, 오픈소스 구현 → 뱅킹, 전자 상거래에서 많이 사용
• 하트블리드(Heart Bleed)란?
  
  • OpenSSL의 주요 기능 중 하나인 Heartbeat에서 발견된 버그라 하트블리드라고 불림
  • 암호화에 사용되어지는 개인 암호 키가 노출될 수 있는 취약점을 가지고 있다.
  • 전세계 웹 사이트의 2/3이 사용되어 치명적
  • 1,000만 건 이상의 개인정보와 400건 이상의 데이터 유출 사고 하트블리드로 인해 누출
• SSL을 이용한 공격 방법
  
  • Heartbeat 기능 : 서버의 정상동작 확인을 위한 기능
  • Heartbeat을 보낼 때 자신이 보내는 데이터의 길이를 정의
    → 서버는 수신 데이터와 동일한 데이터로 응답을 하게끔 디자인됨
  • SSL은 받은 데이터의 길이를 검증하지 않는 취약점이 존재
      → EX) ‘HELLO’라는 메시지 데이터 이후에 여러 가지 개인정보가 저장
      → 정상적인 Heartbeat의 경우 ‘HELLO’ 메시지만 응답 메시지로 전송
      → 비정상적인 Heartbeat의 경우 받은 메시지가 ‘HELLO’의 실제 글자 길이보다 더 길게 전송
      → ‘HELLO’ 이후 메모리에 저장되어 있는 개인키 값 등의 데이터까지 함께 응답 메시지로 전송
• 하트블리드 예방법
  
  • OpenSSL 최신 버전 업데이트 (1.0.1g 이후 버전으로 패치)

---

👥 APT 공격

• APT 공격이란?
  
  • Advanced Persistent Threats의 약자로, 특정 타겟에 대한 지능적이고 지속적인 위협
  • 기존에 알려지지 않았던 취약점들을 활용하는 지능적인 공격
  • 제로데이 공격, 악성코드 유포, 사회공학적 기법 등 모든 수단 동원해 특정 대상에게 지속적 공격
  • 가장 최신 해킹 기법 사용
  • 처음엔 군사기관이 타겟 → 민간 기업까지 공격의 타깃이 됨
• 기존 공격과의 비교
  
  • 모듈화된 악성코드 + 부가기능 업데이트 가능하게 제작 ↔ ( 기존 공격 : 단일 악성코드 )
    ( = Advanced )
  • 장기간에 걸친 은닉 + 2차 전이 공격 ↔ ( 기존 공격 : 감염 PC에 국한된 피해 )
    ( = Persistent )
  • 특정 공격 대상  ↔ ( 기존 공격 : 불특정 공격 대상 )
    ( = Targeted Threat )
• APT 공격 프로세스
  
  • 1. 침투 ( 임직원 단말 통제권 확보 등 )
  • 2. 검색
  • 3. 수집 ( 핵심 시스템 제어권 확보 )
  • 4. 유출 ( 개인정보, 기밀문서 탈취 )
• APT 공격 트렌드
  
  • Web,SNS 발달로 정보 수집 용이 
  • SNS 서비스를 공격 경로로 활용
  • 비실행 파일인 문서 파일의 취약점 이용한 공격이 증가

---

 

 

* 이 게시글은 K-MOOC 정보보호와 보안의 기초 (링크) 강의를 듣고 개인 학습용으로 정리한 내용입니다.