RaaS: Difference between revisions

From CS Wiki
(새 문서: '''Ransomware as a Service''' RaaS란 다크웹과 같은 익명 네트워크를 이용하여 비용만 지급하면 랜섬웨어 공격을 할 수 있게끔 서비스 형태로 제...)
 
No edit summary
Line 3: Line 3:
RaaS란 다크웹과 같은 익명 네트워크를 이용하여 비용만 지급하면 랜섬웨어 공격을 할 수 있게끔 서비스 형태로 제공되는 랜섬웨어를 말한다.
RaaS란 다크웹과 같은 익명 네트워크를 이용하여 비용만 지급하면 랜섬웨어 공격을 할 수 있게끔 서비스 형태로 제공되는 랜섬웨어를 말한다.


== 특징 ==
==특징==
{| class="wikitable"
{| class="wikitable"
|'''이원화'''
|'''이원화'''
Line 15: Line 15:
|}
|}


== 공격 수행 과정 ==
==공격 수행 과정==
{| class="wikitable"
{| class="wikitable"
!순서
!순서
Line 46: Line 46:
|}
|}


== 종류 ==
==종류==
{| class="wikitable"
{| class="wikitable"
!랜섬웨어 명
!랜섬웨어 명
Line 54: Line 54:
(Cerber)
(Cerber)
|
|
* 2016년 3월 처음 발생
*2016년 3월 처음 발생
* 파일과 데이터를 암호화하고 음성으로 피해자에게 금전 요구
*파일과 데이터를 암호화하고 음성으로 피해자에게 금전 요구
* 무작위 숫자+영문자를 포함한 4글자 확장자로 암호화
*무작위 숫자+영문자를 포함한 4글자 확장자로 암호화
|-
|-
|사탄
|사탄
(Satan)
(Satan)
|
|
* 제작자는 별도 비용 없이 랜섬웨어 코드 제공
*제작자는 별도 비용 없이 랜섬웨어 코드 제공
* 개인용 PC에 존재하는 파일들을 .stn이라는 확장자로 암호화
*개인용 PC에 존재하는 파일들을 .stn이라는 확장자로 암호화
* 공격자는 피해자가 금전을 지불하면 30%를 제작자에게 수수료로 지급
*공격자는 피해자가 금전을 지불하면 30%를 제작자에게 수수료로 지급
|-
|-
|스템파도
|스템파도
(Stampado)
(Stampado)
|
|
* 2016년 7월 발견
*2016년 7월 발견
* 39달러를 받고 공겨갖에게 스템파도 악성코드를 제공
*39달러를 받고 공겨갖에게 스템파도 악성코드를 제공
* 안티바이러스 제품의 탐지망을 피하는 기능
*안티바이러스 제품의 탐지망을 피하는 기능
* 케르베르 등 다른 랜섬웨어에 감염돼 암호화된 파일을 다시 암호화
*케르베르 등 다른 랜섬웨어에 감염돼 암호화된 파일을 다시 암호화
|-
|-
|필라델피아
|필라델피아
(Philadelphia)
(Philadelphia)
|
|
* 2016년 9월 발견
*2016년 9월 발견
* 오토잇(AutoIt) 스크립트 언어를 통해 제작 가능
*오토잇(AutoIt) 스크립트 언어를 통해 제작 가능
* 상용 제작툴을 이용해 암호화할 확장자 등 설정가능
*상용 제작툴을 이용해 암호화할 확장자 등 설정가능
* 선다운(sundown) 익스플로잇킷을 통해 국내 유포
*선다운(sundown) 익스플로잇킷을 통해 국내 유포
|}
|}


== 대응 방안 ==
==대응 방안==
기존 [[랜섬웨어]]와 동일
기존 [[랜섬웨어]]와 동일
{| class="wikitable"
{| class="wikitable"
Line 104: Line 104:
|}
|}


== 참고 문헌 ==
==참고 문헌==


* [https://cafe.naver.com/itpelist/7878 The 스페셜리스트 기술사 스터디]
*[https://cafe.naver.com/itpelist/7878 The 스페셜리스트 기술사 스터디]
 
[[분류:보안]]
[[분류:보안 공격]]

Revision as of 07:46, 19 March 2022

Ransomware as a Service

RaaS란 다크웹과 같은 익명 네트워크를 이용하여 비용만 지급하면 랜섬웨어 공격을 할 수 있게끔 서비스 형태로 제공되는 랜섬웨어를 말한다.

특징

이원화 제작자와 공격자가 따로 존재
수익 공유 랜섬웨어 공격을 한 후 그 수익금을 제작자와 분배하는 방식
사후관리 랜섬웨어 제공부터 유포 및 업데이트까지 제공

공격 수행 과정

순서 공격방식 설명
1 랜섬웨어 구매의뢰 공격자는 제작자에서 랜섬웨어를 구매의뢰함
2 랜섬웨어 Tool 제공 제작자는 공격자에게 랜섬웨어 코드나 Tool을 제공
3 공격 및 금전요구 공격자는 피해자의 자료 암호화 후 복호화를 대가로 금전요구
4 비트코인 제공 복호화 키를 받는 조건으로 비트코인 등 대가를 지급하는 경우
5 수익금 배분 수익금에 대하여 일정비율로 분배함
6 업데이트 제공 지속적으로 업데이트 및 애프터서비스 지원

종류

랜섬웨어 명 설명
케르베르

(Cerber)

  • 2016년 3월 처음 발생
  • 파일과 데이터를 암호화하고 음성으로 피해자에게 금전 요구
  • 무작위 숫자+영문자를 포함한 4글자 확장자로 암호화
사탄

(Satan)

  • 제작자는 별도 비용 없이 랜섬웨어 코드 제공
  • 개인용 PC에 존재하는 파일들을 .stn이라는 확장자로 암호화
  • 공격자는 피해자가 금전을 지불하면 30%를 제작자에게 수수료로 지급
스템파도

(Stampado)

  • 2016년 7월 발견
  • 39달러를 받고 공겨갖에게 스템파도 악성코드를 제공
  • 안티바이러스 제품의 탐지망을 피하는 기능
  • 케르베르 등 다른 랜섬웨어에 감염돼 암호화된 파일을 다시 암호화
필라델피아

(Philadelphia)

  • 2016년 9월 발견
  • 오토잇(AutoIt) 스크립트 언어를 통해 제작 가능
  • 상용 제작툴을 이용해 암호화할 확장자 등 설정가능
  • 선다운(sundown) 익스플로잇킷을 통해 국내 유포

대응 방안

기존 랜섬웨어와 동일

대응방안 상세 내역
백업 수행 필요시 롤백할 수 있도록 지속적 스냅샷 및 백업 수행
사용자 교육 수행 지속적인 보안인식 교육/ 보안인식 취약점 개선활동 수행
악성메일/압축파일 주의 출처확인 및 lnk 파일 열람금지
최신패치 작업수행 최신 패치를 확인하여 누락되지 않게 설치 및 관리
화이트리스트 기반관리 사용자 접속/프로세스 실행을 원천적으로 차단하는 방식

참고 문헌