[모의해킹] 랜섬웨어 모의실험과 예방법: 함께 배우고 데이터를 지키세요

랜섬웨어 복구는 신중히 하셔야 합니다!이 글에서는 실제 포트스캔을 당했을경우의 log와 랜섬웨어를 본인의 가상환경에서 구동하면서 랜섬웨어의 원리에 대해 간략히 알아보겠습니다.랜섬웨어는 디지털 시대에서 발생하는 위험 중 하나로, 많은 기업과 개인에게 심각한 피해를 주고 있으며 악의적으로 금전적인 이득을 취하기 위해서 고안된 방법입니다.

 

 

1. 랜섬웨어란?

다시 요약해서 말하자면 랜섬웨어는 해커들이 컴퓨터 시스템 또는 데이터에 접근을 막고, 해제를 위해서는 일정 금액의 금전을 요구하는 악성 소프트웨어입니다 아주! 아주! 무서운 소프트웨어이며 , 백업서버를 따로 가동하지 않거나, 백업용 보호 폴더 등을 만들지 않는다면... 정말 돌이킬 수 없는  큰 피해를 입습니다!

 

2. 랜섬웨어의 감염 경로

보통 SSH,RDP 기본포트, 원격접속, 트로이목마를 통해서 가동 중인 시스템에 접속할 수 있는

게이트를 만들어서 시스템에 접근한 후 백신, 안티 바이러스 소프트웨어, winow defender 등 보안 프로그램의 가동을 중지합니다. 그 후에  FTP, Wget, curl 등 파일을 업로드받을 수 있는 여러 툴을 통해서 랜섬웨어 구동에 필요한 파일을 시스템에 다운로드를 진행한 후 작업을 진행하며 그림과 같은 순서로 이루어집니다 (사진에 있는 모든 사진은 저의 직접적인 경험을 토대로 보여드리는 것이며 인터넷에서 가져온 자료가 아님을 명시합니다)

 

 

1. 포트스캔

웹 nmap 포트 스캔을 감지하기위해 로직구현 - 결과 - console.log로 출력

 

2. 원격 접속을 위한 well - known 포트 발견 후 무차별 대입 공격

 

보안전문가라면 단번에 눈치채셨을 거라 생각합니다 네 바로 이벤트뷰어를 통해서 무차별 탐지해 냈는데요

 

여기서 이벤트 ID 4625 란?

출처:  https://learn.microsoft.com/ko-kr/windows/security/threat-protection/auditing/event-4625

4625(F): 계정이 로그온 하지 못했습니다.

로그온 실패에 대해 기록됩니다.

로그온 시도가 수행된 컴퓨터에서 생성됩니다(예: 사용자의 워크스테이션에서 로그온을 시도한 경우) 이벤트가 이 워크스테이션에 기록됩니다.

이 이벤트는 도메인 컨트롤러, 멤버 서버 및 워크스테이션에서 생성됩니다.

3, 우선 공격 지는 해외 ip - ip 탐지를 우회하기 위한  ip , 해킹한 구형 키오스크 와 같은 장비를 통해서 접근한 것으로 추측되며 다중 공격을 행한 것으로 추측하고 있습니다.

 

 

어떤 방법들이 있는지는 악의적인 사용을 유도할 수 있으므로 명시하지는 않겠습니다 

 

 

2. 작동 원리

랜섬웨어는 크게 두 가지 유형으로 나뉩니다: 암호화형 랜섬웨어와 잠금형 랜섬웨어가 있는데요 구독자 여러분들의 금요일 시간을 많이 뺏고 싶지 않기에.. 잠금형 랜섬웨어보다는 암호화형 랜섬웨어를 집중적으로 설명드리겠습니다

2.1 암호화형 랜섬웨어

암호화형 랜섬웨어는 주로 파일을 암호화하여 사용자의 데이터에 접근을 차단합니다. 해킹자는 암호화된 데이터를 해독할 수 있는 키를 보유하고 있으며, 금전을 지불하지 않으면 키를 제공하지 않는다고 협박하여 금전을 요구하는 범죄입니다

.

파일이 어떻게 암호화가 되나요? (config file 포함)

1. 암호화 키 생성: 랜섬웨어가 시스템 내부에서 동작을 실행하면  아래와 같은 설정값을 바탕으로 실행되며 이때, 고유한 암호화 키를 생성합니다. 이 키는 피해자의 데이터를 암호화하고 암호해독기를 생성하는 데 사용됩니다.

랜섬웨어 config 파일의 구조

 

encrypt_mode

암호화 모드 (“fast” or “auto”)

encrypt_filename

파일명 암호화

impersonation

“impers_accounts” Key에 저장된 자격증명을 이용해 로그인

skip_hidden_folders

숨김 폴더를 암호화에서 제외

language_check

감염 시스템이 CIS(독립국가연합)에 해당하는지 확인

local_disks

로컬 드라이브 암호화

network_shares

네트워크 드라이브 및 공유 폴더 암호화

kill_processes

“kill_processes” Key에 저장된 프로세스 종료

kill_services

"kill_services" Key에 저장된 서비스 종료

running_one

하나의 프로세스만 동작 (중복실행 방지)

print_note

연결된 프린터를 통해 랜섬노트 출력

set_wallpaper

바탕화면 변조

set_icons

암호화된 파일의 아이콘 변경

send_report

감염 시스템 정보 수집

self_destruct

악성행위 완료 후 자가 삭제

kill_defender

안티바이러스 소프트웨어 종료

wipe_freespace

자가 삭제 시, 완전 삭제를 위해 Wipe Free space 작업을 추가로 진행

psexec_netspread

psexec를 이용하여 네트워크 전파

gpo_netspread

그룹정책(GPO)을 통한 네트워크 전파

gpo_ps_update

파워쉘을 이용하여 모든 도메인의 그룹정책(GPO) 업데이트

shutdown_system

시스템 재부팅

delete_eventlogs

이벤트 로그 삭제

delete_gpo_delay

생성한 그룹정책(GPO) 삭제

white_folders

암호화 제외 폴더

white_files

암호화 제외 파일

white_extens

암호화 제외 확장자

white_hosts

암호화 제외 호스트 네임

kill_processes

프로세스 종료 대상

kill_services

서비스 종료 대상

gate_urls

C2 URL

impers_accounts

로그온에 사용할 자격증명

#분석내용은 인터넷상에 있는 자료들을 참고하였고  비교하면서 만들었습니다

 

 

2. 파일 암호화: 생성된 암호화 키를 사용하여 사용자의 파일들을 암호화합니다. 주로 AES 암호화와 같은 강력한 암호화 알고리즘을 사용하여 파일을 변조하고 암호화합니다.

3. 암호화된 파일 확장자 변경: LockBit 3.0은 암호화된 파일의 확장자를 일반적으로 '. lockbit'으로 변경합니다. 이로써 사용자는 어떤 파일이 감염되었는지 쉽게 식별할 수 있습니다.

 

암호화 된 파일의 형태

 

질문 1: 랜섬웨어에 걸렸는데 돈을 송금해야 하나요?

1. 절대 이협박에 넘어가서는 안됩니다. 왜냐면..  암호화키를 제공하면서 내부적으로 새로운 백도어를 생성할 수 있는 로직을 숨겨놓을 수 있습니다
2. 돈을 받은 후에 종적을 감추는 경우와 초보 해커들이 랜섬웨어를 실행할 수 있는 툴만 가지고 랜섬웨어만 실행하고 암호 해독기 파일을 자신의 서버로 전송하지 않고 피해자와 대화할 수 있는 채널만 열어두는 경우가 다반사이다
3. 범죄자와의 합의는 또 다른 범죄에 당할 수 있는 길이 될 수도 있다. (금적적보상을 제공한 후 부족하다는 식으로 돈을 더 요구하는 경우)

 

추가 중요 사항  --  피해자들만을 대상으로 한  범죄

랜섬웨어 암호 해독기를 판다는 네티즌들이 있는데 아마 파일을 구매하시면  이런 파일일 거예요

랜섬웨어 암호 해독기 파일

사실 이 파일은 사셔도 소용이 없습니다. 왜냐하면 랜섬웨어를 통한 암호화가 실행될 때 암호는 각 개인의 파일에 대한 암호화가 진행되고, 그것에 맞게 1대 1 대응으로 만들어지는 게 이 암호 해독기라는 것입니다. 참고적으로 보여드리자면 

 

랜섬웨어 암호 해독기 동작 영상

이런 식으로 암호화된 파일들을 불러와서 암호화를 해제하기 위한 사전에 만들어진 암호해독용 파일에서 정보들을 불러오죠. 그렇게 암호화된 파일에 대한 정보 + 암호해독코드가 결합되면 다시 내 파일로 원상복구가 되는 구조예요!

 

 

2.2 잠금형 랜섬웨어

잠금형 랜섬웨어는 컴퓨터나 모바일 장치에 접근을 막는 방식으로 작동합니다. 사용자는 잠긴 화면을 통해 해제를 위한 지시사항과 금전 지불 방법을 확인할 수 있습니다. 일반적으로 해제 키나 비밀번호를 받기 위해서는 해킹자에게 일정 금액을 지불해야 합니다. 

3. 예방과 대처 방법

랜섬웨어의 피해를 최소화하기 위해서는 다음과 같은 예방 및 대처 방법을 고려해야 합니다.

• 정기적인 백업: 중요한 데이터를 정기적으로 백업하여 악성 소프트웨어에 감염되더라도 데이터를 복구할 수 있도록 합니다.
• 보안 소프트웨어 사용: 신뢰할 수 있는 보안 소프트웨어를 사용하여 악성 코드의 감지와 차단을 강화합니다.
• 파일 확장자 숨김: 일반적인 파일 확장자를 숨기는 설정을 통해 랜섬웨어의 공격을 어렵게 만듭니다.
• 실시간 업데이트: 운영체제와 소프트웨어를 최신 버전으로 유지하여 보안 취약점을 최소화합니다.
• 암호는 항상 어렵게: 무차별대입은 정말 0~모든 경우의 수를 대입하는 방법, 사람들이 자주 쓰는 비밀번호,APT 형태의 비밀번호 추리 형태 (예시 : 아버지가 자주쓰는 비밀번호는?) 등으로 실행하게 되죠
• 원격접속 프로그램 사용주의: RDP, VNC, SSH, TELENT 등 사용 시에는 무조건 잘 알려진 포트 번호가 아닌 최소 4 자릿수이상의 포트번호를 쓰도록 저는 권장드립니다
• 비밀번호 입력 횟수 제한: 아이폰처럼 비밀번호를 몇 번 틀릴 시에는 컴퓨터가 잠기거나 몇 분 뒤에 다시 시도할 수 있도록 한다든지, iP 차단이라든지를 구현하세요!
• 파일의 관리자권한은 항상 신중히 사용하기: 관리자의 권한이 있으면 언제든지 안티 바이러스, 랜섬웨어 방지와 같은 기능을 끌 수 있어요.. 명령어로 말이죠! 그러니 파일을 실행할 때 관리자 권한에 대한 액세스 승인 여부가 뜬다면 조심해서 사용해 주세요!
• 윈도우 디펜더 끄지 않기:우선 윈도 사용을 하고있으시다면 윈도우 디펜더가있을텐데요! 웬만해서는 윈도우 디펜더는 무조건 사용하시길 추천드려요.. 얘가 정말 대부분의 실수를 방지해 주거든요!

4. 마무리

랜섬웨어는 현대 사회에서 심각한 디지털 위협으로 작용하며, 피해자들에게 큰 손실을 안겨왔습니다. 이에 대비하여 적절한 예방과 대처 방법을 적용하여 개인 및 기업의 데이터 보안을 강화하는 것이 중요합니다. 정보보안을 유지하는 것은 우리 모두의 책임이며, 안전한 디지털 환경을 만들기 위해 노력해야 합니다