미로 탈출 방법: 미로 랜섬웨어 방어를 위한 빠른 가이드

2019년 말부터 MAZE 랜섬웨어는 암호화, 데이터 탈취, 그리고 탈취한 데이터의 판매로 악명을 떨치기 시작했습니다. 이 랜섬웨어가 인기를 끄는 또 다른 이유는 독특한 공격 대상과 높은 몸값 요구 때문입니다.

2019년 XNUMX월경 처음 시작된 MAZE 공격자들은 민감한 데이터를 보유한 의료 및 연구 분야를 비롯한 여러 분야를 노리고 있습니다. 정부 및 민간 기업 또한 이 랜섬웨어의 주요 표적입니다. 공격자들은 정부 기관이나 보안 업체를 사칭하여 이메일/웹사이트의 첨부 파일을 열도록 유도하는 사례가 많았습니다. 어떤 경우에는 실제 랜섬웨어 공격이 발생하기 훨씬 전에 이미 피해자의 컴퓨터가 침해된 상태였습니다. Maze 그룹의 몸값 요구는 침해된 네트워크(피해자)에서 획득한 데이터와 피해자의 지불 능력에 따라 다릅니다. 이러한 요구는 대부분 수백 달러에서 수백만 달러에 달하는 비트코인으로 이루어졌습니다.

Maze는 이메일, RDP, 그리고 Fallout EK, Spelevo EK와 같은 익스플로잇 키트를 사용해 왔으며, 이러한 키트는 Adobe Flash Player와 Internet Explorer의 취약점(예: CVE-2018-8174, CVE-2018-4878, CVE-2018-15982)을 악용했습니다. 이러한 사례들은 과거의 사례이지만, MAZE 공격자들이 새로운 공격을 위해 다른 공격 경로를 사용할 가능성이 있습니다.

Maze 랜섬웨어가 사용하는 일반적인 랜섬 노트입니다. 이 랜섬 노트는 모든 암호화된 폴더에 저장됩니다.

몸값

 

공격이 성공한 후에도 피해자가 몸값 요구에 응하지 않으면 적대자는 암호화된 데이터를 공개하거나 지하 포럼에 판매합니다.

Quick Heal 제품은 IDS/IPS, DNA 스캔, 이메일 스캔, BDS, 웹 보호 및 특허받은 랜섬웨어 탐지 등 다층적인 탐지 기술을 탑재하고 있습니다. 이러한 다층적인 보안 접근 방식은 Maze 랜섬웨어를 비롯한 알려진 또는 알려지지 않은 위협으로부터 고객을 효율적으로 보호하는 데 도움이 됩니다.

 

예방 대책:

Maze 랜섬웨어가 사용하는 일반적인 감염 경로는 MS Office 첨부 파일이 포함된 피싱 이메일과 익스플로잇 키트가 포함된 가짜/피싱 웹사이트입니다. 따라서 최종 사용자는 출처를 알 수 없는 이메일을 처리하거나, MS Office 첨부 파일을 다운로드하거나, 매크로를 활성화하거나, 의심스러운 링크를 클릭할 때 각별히 주의하시기 바랍니다.

공격 표면을 최소화하고 IT 인프라에 대한 피해 가능성을 최소화하는 데 도움이 되는 몇 가지 추가 지침은 다음과 같습니다.

 

OS 및 소프트웨어 패치:

• 운영 체제와 기타 소프트웨어를 최신 상태로 유지하세요. 소프트웨어 업데이트에는 공격자가 악용할 수 있는 새롭게 발견된 보안 취약점에 대한 패치가 자주 포함됩니다.
• Microsoft Office, Java, Adobe Reader, Adobe Flash 및 Internet Explorer, Chrome, Firefox, Opera 등과 같은 인터넷 브라우저(브라우저 플러그인 포함)에 대한 패치 및 업데이트를 적용합니다.
• 컴퓨터를 새로운 변종 맬웨어로부터 보호하려면 보안 소프트웨어(바이러스 백신, 방화벽 등)를 항상 최신 상태로 유지하세요.
• 크랙되거나 불법 복제된 소프트웨어를 다운로드하지 마세요. 이러한 소프트웨어는 컴퓨터에 악성 소프트웨어가 침투할 위험이 있습니다.
• 신뢰할 수 없는 P2P 또는 토렌트 사이트에서 소프트웨어를 다운로드하지 마세요. 대부분의 경우 악성 소프트웨어가 숨겨져 있습니다.

 

사용자 및 권한:

• '로컬/도메인 사용자'를 감사하고 원치 않는 사용자를 제거/비활성화합니다.
• 모든 사용자 계정의 비밀번호를 변경하고 고유하고 복잡한 비밀번호를 설정하세요(대문자, 소문자, 숫자, 이전에 사용되지 않은 특수 문자 포함). 하지만 P@ssw0rd, Admin@123# 등과 같이 흔히 사용되는 비밀번호는 좋지 않은 예입니다.
• 비밀번호 만료 및 계정 잠금 정책을 설정합니다(잘못된 비밀번호가 입력된 경우).
• 사용자에게 관리자 권한을 할당하지 마세요.
• 가능한 경우 다중 요소 인증을 활성화하여 모든 로그인이 합법적인지 확인하세요.
• 꼭 필요한 경우가 아니면 관리자로 로그인 상태를 유지하지 마세요.
• 관리자로 로그인한 상태에서는 탐색, 문서 열기 또는 기타 일반적인 업무 활동을 하지 마세요.

 

Microsoft Office에서 매크로 비활성화:

• 문서 실행 시, 특히 이메일로 받은 첨부 파일의 경우 기본적으로 '매크로'나 '편집 모드'를 활성화하지 마세요. 많은 악성코드 감염은 사용자의 매크로 활성화 동작을 통해 이루어집니다.
• Microsoft Office Viewers 설치를 고려해 보세요. 이 뷰어 애플리케이션을 사용하면 Word나 Excel에서 문서를 열지 않고도 문서의 모양을 확인할 수 있습니다. 더 중요한 것은 이 뷰어 소프트웨어가 매크로를 전혀 지원하지 않기 때문에 의도치 않게 매크로를 활성화할 위험이 줄어든다는 것입니다.

 

바이러스 백신 소프트웨어와 서명을 최신 상태로 유지하세요.

• 보안 측면에서 보면, 바이러스 백신과 기타 서명 기반 보호 기능을 최신 상태로 유지하는 것이 확실히 유익합니다.
• 서명 기반 보호만으로는 기존 보호 기능을 회피하도록 설계된 정교한 랜섬웨어 공격을 탐지하고 예방하기에 충분하지 않지만, 포괄적인 보안 태세의 중요한 구성 요소입니다.
• 최신 바이러스 백신 보호 기능은 이전에 발견된 적이 있고 인식 가능한 서명이 있는 알려진 맬웨어로부터 조직을 보호할 수 있습니다.
• 행동 기반 탐지 시스템과 랜섬웨어 방지 시스템에서 발생하는 경고에 신중하고 현명하게 대응하십시오. 이러한 시스템에서 탐지된 알 수 없는 애플리케이션은 차단/거부하는 것이 좋습니다.

휴리스틱 탐지 모듈의 사용자 결정 프롬프트의 대표 이미지

 

보안 검색:

• 항상 브라우저를 업데이트하세요
• 토렌트와 같은 사이트에서 불법 복제/크랙된 미디어나 소프트웨어를 다운로드하지 않도록 하세요.
• 브라우저에서 광고 팝업을 차단하세요.
• 브라우저 주소창을 확인하여 정품 사이트에 접속했는지 항상 확인하세요. 피싱 사이트는 정품 사이트처럼 보이는 콘텐츠를 표시할 수 있습니다.
• 피싱 피해를 예방하려면 중요한 사이트를 북마크하세요.
• 이름, 연락처 번호, 이메일 주소, 소셜 네트워킹 사이트 자격 증명과 같은 개인 정보를 알 수 없는 웹사이트에 공유하지 마세요.
• 제대로 알지 못하는 브라우저에 확장 프로그램을 설치하지 마세요. 사칭 웹페이지를 주의 깊게 살펴보고, 방문 중인 알 수 없는 웹페이지에서 어떠한 메시지도 허용하지 마세요. 크랙 소프트웨어 다운로드 웹사이트 방문을 자제하세요.

 

네트워크 및 공유 폴더:

• 로그인 계정과 네트워크 공유에 대해 강력하고 고유한 비밀번호를 유지하세요.
• 불필요한 관리자 공유(예: admin$)를 비활성화합니다. 요구 사항에 따라 공유 데이터에 대한 액세스 권한을 부여합니다.
• RDP 접근을 감사하고 필요하지 않으면 비활성화하세요. 그렇지 않은 경우, 특정 호스트에서만 접근을 허용하도록 적절한 규칙을 설정하세요.
• 공격자는 거의 모든 경우 PowerShell 스크립트를 사용하여 취약점을 악용하므로 다음을 비활성화합니다. PowerShell을 네트워크에서 PowerShell을 내부용으로 사용해야 하는 경우 PowerShell.exe가 공용 액세스에 연결되는 것을 차단해 보세요.
• 게이트웨이 시스템을 감사하고 잘못된 구성이 있는지 확인합니다. (예: 잘못된 전달이 수행된 경우)
• RDP를 인터넷에 노출하는 대신, VPN을 사용하여 네트워크에 액세스하세요.
• 공유 네트워크 폴더에 대한 액세스를 관리할 때 각 사용자별로 별도의 네트워크 폴더를 만들고, 불필요하다고 판단되면 비활성화합니다.
• 공유 소프트웨어를 실행 가능한 형태로 보관하지 마세요.

 

데이터와 파일을 백업하세요.

• 중요한 파일은 에어갭 스토리지(보안되지 않은 네트워크와 물리적으로 분리된)를 사용하여 지속적으로 백업하는 것이 중요합니다. 가능하면 직원들의 자동 백업을 활성화하여 직원들이 스스로 정기 백업을 수행하도록 의존하지 않도록 하세요.
• 모든 백업을 고유하고 복잡한 비밀번호(사용자 및 권한에 명시됨)로 보호합니다.
• 항상 온라인과 오프라인 백업을 병행해서 사용하세요.
• 컴퓨터가 랜섬웨어에 감염되면 맬웨어가 제거된 후 오프라인 백업에서 파일을 복원할 수 있습니다.
• 랜섬웨어가 공격하면 데이터가 암호화될 수 있으므로 오프라인 백업을 시스템에 연결해 두지 마세요.

 

이메일 보안 :

• 유해한 첨부 파일을 감지하기 위해 이메일 보안을 강화하세요
• 모든 로그인이 합법적인지 확인하려면 다중 요소 인증을 활성화하세요.
• 비밀번호 만료 및 계정 잠금 정책 설정(잘못된 비밀번호가 입력된 경우)
• 알 수 없거나, 예상치 못했거나, 원치 않는 발신자로부터 보낸 이메일의 첨부 파일과 링크를 열지 마세요. 알 수 없는 발신자로부터 받은 의심스러운 이메일, 특히 링크나 첨부 파일이 포함된 이메일은 삭제하세요. 사이버 범죄자들은 ​​'소셜 엔지니어링' 기법을 사용하여 사용자를 속여 감염된 웹사이트로 연결되는 첨부 파일을 열거나 링크를 클릭하게 합니다.
• 항상 바이러스 백신 소프트웨어의 이메일 보호 기능을 켜세요.

 

필요한 사람에게만 접근을 제한하세요:

• 성공적인 계획의 잠재적 영향을 최소화하려면 중매 공격 조직에 대한 공격을 방지하려면 사용자가 작업 수행에 필요한 정보와 리소스에만 접근할 수 있도록 해야 합니다. 이 조치를 취하면 랜섬웨어 공격이 네트워크 전체로 확산될 가능성을 크게 줄일 수 있습니다. 단일 사용자 시스템에 대한 랜섬웨어 공격에 대응하는 것은 번거로울 수 있지만, 네트워크 전체에 대한 공격의 영향은 훨씬 더 큽니다.

 

직원 교육:

• 직원들에게 인식하도록 교육하세요 잠재적 인 위협랜섬웨어 공격에 가장 흔히 사용되는 감염 방법은 여전히 ​​스팸과 피싱 이메일입니다. 사용자의 인식을 통해 공격 발생 전에 예방할 수 있는 경우가 많습니다. 시간을 내어 사용자를 교육하고, 비정상적인 상황을 발견하면 즉시 보안팀에 보고하도록 하십시오.

 

주제별 전문가: Jayesh Kulkarni, 우마르 칸 | Quick Heal 보안 연구소