RaaS: Difference between revisions
From IT Wiki
(새 문서: '''Ransomware as a Service''' RaaS란 다크웹과 같은 익명 네트워크를 이용하여 비용만 지급하면 랜섬웨어 공격을 할 수 있게끔 서비스 형태로 제...) |
No edit summary |
||
| Line 3: | Line 3: | ||
RaaS란 다크웹과 같은 익명 네트워크를 이용하여 비용만 지급하면 랜섬웨어 공격을 할 수 있게끔 서비스 형태로 제공되는 랜섬웨어를 말한다. | RaaS란 다크웹과 같은 익명 네트워크를 이용하여 비용만 지급하면 랜섬웨어 공격을 할 수 있게끔 서비스 형태로 제공되는 랜섬웨어를 말한다. | ||
== 특징 == | ==특징== | ||
{| class="wikitable" | {| class="wikitable" | ||
|'''이원화''' | |'''이원화''' | ||
| Line 15: | Line 15: | ||
|} | |} | ||
== 공격 수행 과정 == | ==공격 수행 과정== | ||
{| class="wikitable" | {| class="wikitable" | ||
!순서 | !순서 | ||
| Line 46: | Line 46: | ||
|} | |} | ||
== 종류 == | ==종류== | ||
{| class="wikitable" | {| class="wikitable" | ||
!랜섬웨어 명 | !랜섬웨어 명 | ||
| Line 54: | Line 54: | ||
(Cerber) | (Cerber) | ||
| | | | ||
* 2016년 3월 처음 발생 | *2016년 3월 처음 발생 | ||
* 파일과 데이터를 암호화하고 음성으로 피해자에게 금전 요구 | *파일과 데이터를 암호화하고 음성으로 피해자에게 금전 요구 | ||
* 무작위 숫자+영문자를 포함한 4글자 확장자로 암호화 | *무작위 숫자+영문자를 포함한 4글자 확장자로 암호화 | ||
|- | |- | ||
|사탄 | |사탄 | ||
(Satan) | (Satan) | ||
| | | | ||
* 제작자는 별도 비용 없이 랜섬웨어 코드 제공 | *제작자는 별도 비용 없이 랜섬웨어 코드 제공 | ||
* 개인용 PC에 존재하는 파일들을 .stn이라는 확장자로 암호화 | *개인용 PC에 존재하는 파일들을 .stn이라는 확장자로 암호화 | ||
* 공격자는 피해자가 금전을 지불하면 30%를 제작자에게 수수료로 지급 | *공격자는 피해자가 금전을 지불하면 30%를 제작자에게 수수료로 지급 | ||
|- | |- | ||
|스템파도 | |스템파도 | ||
(Stampado) | (Stampado) | ||
| | | | ||
* 2016년 7월 발견 | *2016년 7월 발견 | ||
* 39달러를 받고 공겨갖에게 스템파도 악성코드를 제공 | *39달러를 받고 공겨갖에게 스템파도 악성코드를 제공 | ||
* 안티바이러스 제품의 탐지망을 피하는 기능 | *안티바이러스 제품의 탐지망을 피하는 기능 | ||
* 케르베르 등 다른 랜섬웨어에 감염돼 암호화된 파일을 다시 암호화 | *케르베르 등 다른 랜섬웨어에 감염돼 암호화된 파일을 다시 암호화 | ||
|- | |- | ||
|필라델피아 | |필라델피아 | ||
(Philadelphia) | (Philadelphia) | ||
| | | | ||
* 2016년 9월 발견 | *2016년 9월 발견 | ||
* 오토잇(AutoIt) 스크립트 언어를 통해 제작 가능 | *오토잇(AutoIt) 스크립트 언어를 통해 제작 가능 | ||
* 상용 제작툴을 이용해 암호화할 확장자 등 설정가능 | *상용 제작툴을 이용해 암호화할 확장자 등 설정가능 | ||
* 선다운(sundown) 익스플로잇킷을 통해 국내 유포 | *선다운(sundown) 익스플로잇킷을 통해 국내 유포 | ||
|} | |} | ||
== 대응 방안 == | ==대응 방안== | ||
기존 [[랜섬웨어]]와 동일 | 기존 [[랜섬웨어]]와 동일 | ||
{| class="wikitable" | {| class="wikitable" | ||
| Line 104: | Line 104: | ||
|} | |} | ||
== 참고 문헌 == | ==참고 문헌== | ||
* [https://cafe.naver.com/itpelist/7878 The 스페셜리스트 기술사 스터디] | *[https://cafe.naver.com/itpelist/7878 The 스페셜리스트 기술사 스터디] | ||
[[분류:보안]] | |||
[[분류:보안 공격]] | |||
Revision as of 21:46, 19 March 2022
Ransomware as a Service
RaaS란 다크웹과 같은 익명 네트워크를 이용하여 비용만 지급하면 랜섬웨어 공격을 할 수 있게끔 서비스 형태로 제공되는 랜섬웨어를 말한다.
특징
| 이원화 | 제작자와 공격자가 따로 존재 |
| 수익 공유 | 랜섬웨어 공격을 한 후 그 수익금을 제작자와 분배하는 방식 |
| 사후관리 | 랜섬웨어 제공부터 유포 및 업데이트까지 제공 |
공격 수행 과정
| 순서 | 공격방식 | 설명 |
|---|---|---|
| 1 | 랜섬웨어 구매의뢰 | 공격자는 제작자에서 랜섬웨어를 구매의뢰함 |
| 2 | 랜섬웨어 Tool 제공 | 제작자는 공격자에게 랜섬웨어 코드나 Tool을 제공 |
| 3 | 공격 및 금전요구 | 공격자는 피해자의 자료 암호화 후 복호화를 대가로 금전요구 |
| 4 | 비트코인 제공 | 복호화 키를 받는 조건으로 비트코인 등 대가를 지급하는 경우 |
| 5 | 수익금 배분 | 수익금에 대하여 일정비율로 분배함 |
| 6 | 업데이트 제공 | 지속적으로 업데이트 및 애프터서비스 지원 |
종류
| 랜섬웨어 명 | 설명 |
|---|---|
| 케르베르
(Cerber) |
|
| 사탄
(Satan) |
|
| 스템파도
(Stampado) |
|
| 필라델피아
(Philadelphia) |
|
대응 방안
기존 랜섬웨어와 동일
| 대응방안 | 상세 내역 |
|---|---|
| 백업 수행 | 필요시 롤백할 수 있도록 지속적 스냅샷 및 백업 수행 |
| 사용자 교육 수행 | 지속적인 보안인식 교육/ 보안인식 취약점 개선활동 수행 |
| 악성메일/압축파일 주의 | 출처확인 및 lnk 파일 열람금지 |
| 최신패치 작업수행 | 최신 패치를 확인하여 누락되지 않게 설치 및 관리 |
| 화이트리스트 기반관리 | 사용자 접속/프로세스 실행을 원천적으로 차단하는 방식 |
