Symantec Endpoint Protection
및 Symantec Endpoint Security를 통한 랜섬웨어 완화 및 차단

랜섬웨어란?

랜섬웨어는 문서를 암호화하여 사용할 수 없도록 하면서 나머지 시스템 액세스는 가능하게 남겨두는 멀웨어의 한 카테고리입니다. 랜섬웨어 공격자는 특별히 언급된 지불 방식으로 대가를 지불하도록 피해자를 강요하며 피해자가 대가를 지불한 후 데이터에 액세스하도록 허용하거나 그렇지 않을 수도 있습니다.
표적 랜섬웨어는 원래 랜섬웨어 공격보다 복잡하며 초기 감염 이상의 위험 요소를 포함합니다. 공격자는 피해자 조직을 갈취하는 더 많은 방법을 찾았으며 다양한 배포 방법을 사용합니다.
  • 피싱
    : 업무 관련 서신으로 위장한 이메일을 직원에게 전송합니다.
  • 멀버타이징
    : 소프트웨어 업데이트로 변조하는 JavaScript 기반 프레임워크(SocGholish)를 포함하는 악성 광고를 제공하도록 미디어 웹사이트를 침해합니다.
  • 취약점 악용
    : 공용 서버에서 실행되는 취약한 소프트웨어를 악용합니다.
  • 2차 감염
    : 피해자의 네트워크에 대한 공격 거점을 확보하기 위해 기존 봇넷을 활용합니다.
  • 제대로 보호되지 않는 서비스
    : 제대로 보호되지 않는 RDP 서비스를 통해 조직을 공격하여 누출되거나 취약한 인증 정보를 활용합니다.

Symantec Endpoint Protection Manager
또는 Symantec Endpoint Security를 사용하여 랜섬웨어로부터 보호

표적 랜섬웨어 공격은 초기 침해, 권한 에스컬레이션 및 인증 정보 도용, 수평 이동, 백업 암호화 및 삭제 등의 다양한 단계로 나눌 수 있습니다. 가장 좋은 방법은 여러 종류의 공격을 차단하고 대부분의 사이버 범죄 조직이 보안 우선순위를 파악하는 데 사용하는 공격 체인을 숙지하는 것입니다. 안타깝게도 제거 도구를 사용하여 랜섬웨어를 암호 해독할 수 없습니다.
Symantec Endpoint Protection Manager
또는 Symantec Endpoint Security에서 다음 기능을 배포 및 실행하십시오. 일부 기능은 기본적으로 실행됩니다.
기능
Symantec Endpoint Protection
Symantec Endpoint Security
파일 기반 보호
시만텍은 다음 파일 유형을 검역소에 보관합니다. Ransom.Maze, Ransom.Sodinokibi 및 Backdoor.Cobalt
바이러스 및 스파이웨어 차단은 기본적으로 실행됩니다.
클라이언트 시스템에서 바이러스 및 스파이웨어 공격 차단 및 처리
맬웨어 방지 정책은 기본적으로 실행됩니다.
SONAR
SONAR의 동작 기반 보호 기능은 멀웨어에 대한 다른 중요한 방어 수단입니다. SONAR는 크립토락커와 같은 랜섬웨어 변종의 이중 실행 파일 이름이 실행되는 것을 방지합니다.
바이러스 및 스파이웨어 차단 정책에서
SONAR
>
SONAR 실행
(기본적으로 실행됨)을 누르십시오.
SONAR 관리
맬웨어 방지 정책에서
동작 분석 실행
(기본적으로 실행됨)을 누르십시오.
다운로드 인사이트 또는 집중 보호
Symantec Insight를 수정하여 시만텍 고객 베이스에서 아직 안전한 파일로 검증되지 않은 파일을 검역소에 보관하십시오.
다운로드 인사이트는 기본
바이러스 및 스파이웨어 - 높은 보안
정책의 일부입니다.
다운로드 인사이트는 항상 실행되며, 이는
집중 보호
정책의 일부입니다. 집중 보호 설정을 수정하려면 다음을 참조하십시오.
침입 차단 시스템(IPS)
  • IPS는 기존 바이러스 정의로만은 중지할 수 없는 일부 위협 요소를 차단합니다. IPS는 드라이브 바이 다운로드에 대한 최고 방어 수단입니다. 드라이브 바이 다운로드는 소프트웨어가 인터넷에서 의도치 않게 다운로드되는 경우 발생합니다. 공격자는 흔히 익스플로잇 킷을 사용하여 드라이브 바이 다운로드를 통해 크립토락커와 같은 웹 기반 공격을 수행합니다.
  • 경우에 따라 IPS는 명령 및 제어(C&C) 통신을 중단하여 파일 암호화를 차단할 수 있습니다. C&C 서버는 공격자 또는 사이버 범죄자가 제어하는 시스템이며, 멀웨어로 손상된 시스템으로 명령을 전송하고 대상 네트워크에서 도난된 데이터를 수신하는 데 사용됩니다.
  • URL 평판
    은 웹 페이지의 평판 점수를 기준으로 웹 위협 요소를 차단합니다.
    URL 평판 실행
    옵션은 평판 점수가 특정 임계값 미만인 웹 페이지를 차단합니다. (14.3 RU1 이상)
네트워크 침입 차단 또는 브라우저 침입 차단 실행
URL 평판은 기본적으로 실행됩니다.
Getting started with Intrusion Prevention(영문)
URL 평판은 기본적으로 실행되지 않습니다.
PDF 파일 및 스크립트 차단
예외 정책에서
Windows 예외
>
파일 액세스
를 누르십시오.
허용 목록과 거부 목록을 사용하여 알려진 악성 파일과 도메인을 차단하십시오.
설정
>
거부 목록 및 허용 목록
을 누르십시오.
웹 응용 프로그램 프레임워크, 웹 브라우저 및 웹 브라우저 플러그인에 대한 최신 패치를 다운로드하십시오.
  1. 응용 프로그램 및 장치 제어를 사용하여 응용 프로그램이 Local 및 LocalLow 같은 사용자 프로파일 디렉터리에서 실행되지 않도록 차단하십시오. 랜섬웨어 응용 프로그램은 Local\Temp\Low 외에도 많은 디렉터리에 설치됩니다.
  2. Endpoint Detection Response(EDR)를 사용하여 랜섬웨어 동작이 있는 파일을 식별하십시오.
    1. 이메일을 통해 전송되는 MS Office 파일에서 매크로 스크립트를 실행 중지하십시오.
    2. 탐지된 엔드포인트를 마우스 오른쪽 버튼으로 누르고
      격리
      를 선택하십시오. 콘솔에서 엔드포인트를 격리하고 다시 연결하려면 Symantec Endpoint Protection Manager에서 호스트 무결성 정책에 할당된 검역소 방화벽 정책이 있어야 합니다.
  • 검색 검사 - 클라우드 콘솔은 사용자 환경에 나타나는 파일, 응용 프로그램, 실행 파일의 종합 보기를 제공합니다. 이러한 검색된 항목과 관련된 위험 요소, 취약점, 평판, 원본 및 기타 특징에 대한 정보를 볼 수 있습니다.
  • EDR이 실행되는 경우 검색된 항목을 사용하십시오. SES의 검색 에이전트는 SEP의 단독 실행 탐지기와 유사하지만 개별 파일 및 응용 프로그램에 대해 훨씬 더 많은 정보를 제공합니다.
  • 응용 프로그램 제어는 사용자 환경에서 원치 않고 승인되지 않은 응용 프로그램 사용을 제어 및 관리합니다. SES의 응용 프로그램 제어는 SEP에서와는 다른 기능입니다.
    Getting started with Application Control(영문)
    • Symantec Agent 14.3 RU1 이상에서는 응용 프로그램 격리 및 응용 프로그램 제어를 사용하지 않는 엔드포인트에 대한 동작 격리를 사용하십시오. 동작 응용 프로그램 격리 정책은 신뢰하는 응용 프로그램에서 수행될 수 있는 의심스러운 동작 처리 방법을 식별합니다. 정책에서 새 동작 시그니처 또는 기존 동작 시그니처를 사용할 수 있는 경우 클라우드 콘솔에서 알림을 받고 정책에서 메시지가 표시됩니다. 동작이 파일에 대한 공격 결과인지 여부를 확인하고 그에 대한 작업을 지정합니다.
Symantec Endpoint Security Complete(영문)의 일부
네트워크 트래픽 리디렉션 및 Web Security Service
네트워크 트래픽 리디렉션 및 보안 연결 설정을 사용하면 엔드포인트가 기업 네트워크상에서, 가정에서 또는 사무실 외부에서 Symantec Web Security Service(WSS)와 통합될 수 있습니다. NTR은 클라이언트의 인터넷 트래픽을 Symantec WSS로 리디렉션하며, Symantec WSS에서는 WSS 정책에 따라 트래픽이 허용 또는 차단됩니다.
메모리 악용 완화
공격자가 악용하는 JBoss 또는 Apache 웹 서버와 같이 패치되지 않은 소프트웨어에서 알려진 취약점으로부터 보호합니다.
AMSI 및 파일을 사용하지 않는 검사
타사 응용 프로그램 개발자는 동적 스크립트 기반 멀웨어와 전통적인 방식을 따르지 않는 사이버 공격으로부터 고객을 보호할 수 있습니다. 타사 응용 프로그램은 Windows AMSI 인터페이스를 호출하여 Symantec Endpoint Protection 클라이언트로 라우팅되는 사용자 제공 스크립트의 검사를 요청합니다. 클라이언트는 응답으로 스크립트 동작이 악의적인지 여부를 나타내는 판정을 보냅니다. 동작이 악의적이지 않으면 스크립트 실행이 진행됩니다. 스크립트의 동작이 악의적이면 응용 프로그램이 해당 스크립트를 실행하지 않습니다. 클라이언트에서는 탐지 결과 대화 상자에 "액세스 거부됨" 상태가 표시됩니다. 타사 스크립트의 예로는 Windows PowerShell, JavaScript 및 VBScript가 있습니다. 자동 보호를 실행해야 합니다. 이 기능은 Windows 10 이상의 시스템에서 작동합니다.
14.3 이상.
사용할 수 없습니다.
Endpoint Detection and Response(EDR)
EDR은 파일이 아닌 동작에 포커스를 두며 스피어 피싱 및 자급자족(LotL) 공격에 대한 방어 기능을 강화할 수 있습니다. 예를 들어 Word가 고객 환경에서 정상적으로 PowerShell을 실행하지 않는 경우 차단 모드에 배치되어야 합니다. 고객은 EDR의 UI를 사용하여 일반적이며 허용되는 동작, 발견되어도 알림이 실행되어야 하는 동작, 그리고 일반적이지 않으며 차단되어야 하는 동작을 쉽게 이해할 수 있습니다. 또한 인시던트 알림에 대한 조사 및 대응의 일환으로 갭에 사후 대처할 수 있습니다. 인시던트 알림은 위반의 일부로 관찰된 모든 동작을 표시하고 이를 인시던트 상세 내역 페이지에서 바로 차단 모드에 할당하는 기능을 제공합니다.
Symantec Endpoint Security Complete(영문)의 일부.
AI 기반 보호
시만텍의 표적 공격 클라우드 분석은 고급 시스템 학습을 활용하여 표적 공격과 관련된 작업 패턴을 파악합니다.
Symantec Endpoint Security Complete(영문)의 일부.
감사 도구를 사용하여 랜섬웨어가 확산되기 전에 기업 네트워크상의 엔드포인트 및 기업 네트워크 외부의 엔드포인트에 대한 인사이트를 확보하십시오.
메모리 악용 완화를 사용하여 오탐지를 테스트하십시오.
메모리 악용 완화 정책을 통해 메모리 임의 변경 공격에 대비해 Windows 클라이언트 강화

랜섬웨어 완화 베스트 프랙티스

Hardening Your Environment Against Ransomware(영문)
SEP 또는 SES 보호를 실행하는 것과 더불어 랜섬웨어 감염을 방지하려면 다음 단계를 수행하십시오.
단계
설명
1. 로컬 환경 보호
  1. 최신 버전의 PowerShell이 있는지 확인
    하고 로그가 실행되어 있는지 확인하십시오.
  2. RDP 서비스에 대한 액세스를 제한하십시오.
    알려진 특정 IP 주소에서만 RDP를 허용하고 다중 요소 결합 인증을 사용하고 있는지 확인하십시오. 파일 서버 리소스 관리자(FSRM)를 사용하여 사용자 쓰기 액세스 권한을 필요로 하는 파일 공유에 대해 알려진 랜섬웨어 확장자를 작성하는 기능을 잠그십시오.
  3. 타사 통지를 고려하도록 계획을 세우십시오.
    FBI 또는 다른 법 집행 기관/에이전시와 같은 필수 조직의 올바른 통지를 확인하기 위해서는 이를 확인하기 위한 계획을 수립해야 합니다.
  4. 모든 중요한 관리 정보에 대한 하드 카피 및 아카이브된 소프트 카피 형태의 자료를 담은 "점프백"을 만드십시오.
    이러한 중요 정보의 가용성이 침해되지 않도록 보호하려면 문제 해결에 필요한 하드웨어 및 소프트웨어와 함께 점프백에 보관하십시오. 네트워크 파일이 암호화되어 있는 경우 이 정보를 네트워크 상에 저장하는 것은 도움이 되지 않습니다. 관리 계정 사용에 대해 적절한 감사 및 제어 기능을 구현하십시오. 또한 관리 작업을 위해 일회성 인증 정보를 구현하여 관리자 인증 정보의 도용 및 사용을 방지할 수 있습니다.
  5. 관리 도구를 사용할 수 있는 프로파일을 작성하십시오.
    이러한 도구 중 상당수는 공격자가 네트워크를 통해 탐지되지 않은 상태에서 수평 이동하는 데 사용됩니다. 소수의 시스템에서 PsInfo/PsExec을 사용하여 admin으로 실행한 기록을 가진 사용자 계정은 정상일 수 있지만, 모든 시스템에서 PsInfo/PsExec을 실행하는 서비스 계정은 의심스러운 경우입니다.
2. 이메일 시스템 보호
  1. 피싱 공격 도중 인증 정보가 손상되는 것을 방지하려면 2단계 인증(2FA)을 실행하십시오.
  2. 이메일 시스템의 보안 아키텍처를 강화
    하여 최종 사용자의 받은 편지함에 도달하는 스팸의 양을 최소화하고, 피싱 공격을 차단하는 기타 방어 수단 및 SPF 사용을 포함하여 이메일 시스템에 대한 베스트 프랙티스를 준수하도록 하십시오.
3. 백업 만들기
클라이언트 및 서버 둘 모두의 파일을 정기적으로 백업하십시오. 시스템이 오프라인 상태일 때 파일을 백업하거나 네트워크와 연결된 시스템 및 서버가 쓰기 작업을 수행할 수 없는 시스템을 사용하십시오. 전용 백업 소프트웨어가 없는 경우 중요한 파일을 이동식 미디어에 복사할 수도 있습니다. 그런 다음 이동식 미디어를 뽑아 연결 해제하십시오. 이동식 미디어를 연결 상태로 유지하지 마십시오.
  1. 백업 복사본을 위한 오프 사이트 저장소를 구현하십시오.
    매주 전체 백업 및 매일 증분 백업에 대해 최소 4주간의 오프 사이트 저장소를 마련하십시오.
  2. 온사이트에 오프라인 백업을 구현하십시오.
    네트워크에 연결되지 않은 백업을 구현하여 랜섬웨어에 의해 암호화되지 않도록 하십시오. 위협 요소가 잠재적으로 확산되는 것을 방지하기 위해서는 네트워크에서 시스템을 차단하는 것이 가장 좋습니다.
  3. 서버 수준 백업 솔루션을 확인하고 테스트하십시오.
    이는 이미 재해 복구 프로세스에 포함되어 있어야 합니다.
  4. 백업 및 백업 데이터베이스에 대한 파일 수준 권한을 보호하십시오.
    백업이 암호화되지 않도록 하십시오.
  5. 복원 기능을 테스트하십시오.
    복원 기능이 비즈니스 요구 사항을 지원하는지 확인하십시오.
암호 및 액세스 제어 제한으로 보안을 적용하여 연결된 네트워크 드라이브를 잠그십시오. 파일에 대한 쓰기 액세스 권한이 전적으로 필요하지 않은 한 네트워크 드라이브의 파일에 대해 읽기 전용 액세스 권한을 사용하십시오. 사용자 권한을 제한하면 위협 요소가 암호화할 수 있는 파일이 제한됩니다.

랜섬웨어에 감염된 경우 어떻게 해야 합니까?

랜섬웨어 제거 도구는 없습니다. 랜섬웨어가 암호화한 파일의 암호를 해독할 수 있는 보안 제품은 없습니다. 대신 클라이언트 시스템이 랜섬웨어에 감염되고 데이터가 암호화된 경우 다음 단계를 따르십시오.
  1. 대가를 지불하지 마십시오.
    대가를 지불하는 경우:
    • 공격자가 시스템의 잠금을 해제하거나 파일의 암호를 해독하는 방법을 제공한다는 보장은 없습니다.
    • 공격자는 지불한 금액을 이용하여 다른 사용자를 대상으로 추가의 공격을 수행합니다.
  2. 랜섬웨어가 액세스 권한이 있는 네트워크 드라이브를 공격할 수 있기 전에 감염된 시스템을 격리하십시오.
  3. Symantec Endpoint Protection Manager
    또는 SES를 사용하여 바이러스 정의를 업데이트하고 클라이언트 시스템을 검사하십시오.
    새 정의를 통해 랜섬웨어를 탐지하고 교정할 가능성이 있습니다. 클라이언트가 관리 서버 또는 클라우드 콘솔에 연결되고 관리되는 경우
    Symantec Endpoint Protection Manager
    은(는) 바이러스 정의를 클라이언트에 자동으로 다운로드합니다.
    • Symantec Endpoint Protection Manager
      에서
      클라이언트
      를 누르고, 그룹을 마우스 오른쪽 버튼으로 누르고,
      그룹에서 명령 실행
      >
      컨텐츠 업데이트 및 검사
      를 누르십시오.
    • Symantec Endpoint Security에서
      지금 검사
      명령을 실행하십시오.
      Running commands on client devices(영문)
  4. 새로 설치를 사용하여 재설치하십시오.
    암호화된 파일을 백업에서 복원하는 경우 복원된 데이터를 가져올 수 있지만 공격 과정에서 다른 멀웨어가 설치되었을 수도 있습니다.
  5. 해당 멀웨어를 시만텍 보안 연구소에 제출하십시오.
    악성 이메일 또는 실행 파일을 식별할 수 있는 경우 시만텍 보안 연구소에 제출하십시오. 이러한 샘플을 통해 시만텍은 새 시그니처를 생성하고 랜섬웨어에 대한 방어 기능을 개선할 수 있습니다.