랜섬웨어(Ransomware) 예방 및 걸렸을때 치료 방법에 대해 알려드리겠습니다.



[랜섬웨어 예방 방법]



항상 가장 좋은 시나리오는 감염되기 전에 예방이 최선이죠! 아래에 있는 경로로 가셔서 랜섬웨어 방지 툴을 설치 합니다.


1. 랜섬웨어 방지 툴 설치

<안랩 안티랜섬웨어 툴(Beta)> - http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=120




2. 중요한 데이터 백업

랜섬웨어에 의한 피해를 최소화 하기 위한 가장 좋은 방법은 데이터의 정기적인 백업입니다.

최근에 발견된 많은 랜섬웨어는 외장 드라이브나 네트워크/클라우드 드라이브 등을 포함해 시스템에 매핑된 모든 드라이브 내의 파일들을 암호화하기 때문에, 백업 작업 시에만 드라이브를 연결하고 백업이 완료된 후에는 해당 드라이브와의 연결을 끊도록 하는것도 필수입니다.


요약 : 정기적(1달에 한번 또는 2주일에 한번씩) 중요 데이터 Back-up




3. 소프트웨어(S/W) 최신버전 유지

악성코드 제작자들은 운영체제(OS)나 어플리케이션의 취약점을 자주 이용하기 때문에 사용 중인 S/W를 최신 버전으로 유지할 경우 악성코드 감염의 가능성을 현저히 줄일 수 있습니다.


요약 : 윈도우 OS 또는 어플리케이션 최신 업데이트 자동 기능 활성화


<어플리케이션 최신 업데이트>

Java, Adobe Flash Player, Adobe Reader 등 


<Windows OS 최신 업데이트>

제어판 > WIndows Update > 설정 변경 > 업데이트 자동 설치(권장) 선택 > 확인




4. 스팸성(의심스러운) 이메일 열람 자제

익명 또는 알수 없는 이로 부터 제목 또는 파일명이 Account, Payment, Report 등 일반 비즈니스 메일 형태로 위장된 메일은 클릭을 자제하도록 하빈다.




5. 불건전 사이트 방문 및 문자/SNS 내 URL 클릭 자제

토렌트, 음란물, 무료 게임, 크랙 사이트 등은 방문을 자제합니다.

굳이 토렌트가 하고 싶다면.... 가상 머신 또는 포맷해도 무방한 세컨(Second) 피씨에서 하는 것을 추천드립니다.








[랜섬웨어 대응 및 치료 방법]



결론부터 말씀드리자면 랜섬웨어는 원래 PC 및 서버에 있는 파일을 암호화 시켜 돈을 요구하기 위해 복구 및 치료를 할 수 없도록 만들어진 프로그램 이게 때문에 치료를 못하는게 슬픈 현실입니다.ㅠㅠ



1. 외부 저장장치 및 인터넷(Lan Cable) 연결 해제

랜섬웨어 감염이 의심될 경우, 공유폴더, USB나 외장하드 등 외부 저장장치도 암호화 되는 것을 방지하기 위해 즉시 감염된 PC 와 외부 저장장치(외장 하드 등) 및 인터넷(Lan Cable)의 연결을 해제해야 합니다.




2. PC의 전원을 끄지 않도록 주의

일부 랜섬웨어는 감염 알림 메시지창이 나타난 상태에서 사용자가 PC를 종료할 경우 PC의 파일들을 삭제하기 때문에 PC의 전원을 켜둔 상태로 유지하도록 합니다.




3. 랜섬웨어 종류 식별

감염된 PC의 랜섬웨어 종류를 알기 위해 ID Ransomware 사이트에 접속 하여 감염된 파일을 해당 사이트에 업로드 하여 랜섬웨어 종류를 식별한다.





ID Ransomware - https://id-ransomware.malwarehunterteam.com/





4. 사용 가능한 복원 도구 확인

악의 적인 해커들도 가끔씩 양심이 찔려 복구 툴을 공개 하는 경우도 있습니다.


특정 랜섬웨어 크립트XXX(CryptXXX) 3.x 버전, 2.x 버전, 나부커(Nabucur), 테슬라크립트(TeslaCrypt) 등 감염된 PC에 대한 랜섬웨어 복구 툴이 존재하는지 검색하여 복원 툴이 있으면 종류에 맞는 툴로 복원 하도록 합니다.




안랩 랜섬웨어 복구 툴 - http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do

트렌드마이크로 랜섬웨어 복구 툴(영문)- https://success.trendmicro.com/solution/1114221




5. 추가정보 검색

랜섬웨어에 대한 더욱 자세한 사항을 알기위해 한국 랜섬웨어 침해대응센터에 방문하여 관련 정보를 습득하는 것도 중요합니다.


한국랜섬웨어침해대응센터 - https://www.rancert.com/



The Curious Mr. X의 주어진 정보와 문제는 아래와 같습니다.

 

 ---------------------------------------------------------------------------------------------------

[주어진 정보]

Mr.X가 네트워크에서 정찰(reconnaissance) 활동을 했음…

4번에서는 주어진 정보는 거의 없다… 하지만 아래에 보이는 것 처럼 문제를 통해 출제자가 원하는 것은 포트스캔에 관련한 문제임을 파악할 수 있습니다.

 

 

[문제]

1. What was the IP address of Mr. X’s scanner?

2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the scan consisted of many thousands of packets.) Pick one:

● TCP SYN, ● TCP ACK, ● UDP, ● TCP Connect, ● TCP XMAS, ●TCP RST

3. What were the IP addresses of the targets Mr. X discovered?

4. What was the MAC address of the Apple system he found?

5. What was the IP address of the Windows system he found?

6. What TCP ports were open on the Windows system? (Please list the decimal numbers from lowest to highest.)

X-TRA CREDIT (You dona€™t have to answer this, but you get super bonus points if you do): What was the name of the tool Mr. X used to port scan? How can you tell? Can you reconstruct the output from the tool, roughly the way Mr. X would have seen it?

 ---------------------------------------------------------------------------------------------------


문제1. What was the IP address of Mr. X’s scanner?

1번은 Scan을 수행한 IP에 관련해 묻는 문제입니다.

evidence04.pcap를 다운받고 Wireshark로 분석해보면 

가장 먼저, 10.42.42.253의 IP가 다른 IP로의 Well Known 포트(80, 23, 22 등)로 요청하는 패킷을 쉽게 발견할 수 있습니다. 

따라서 Mr.X의 IP는 10.42.42.253이라는 사실을 추론해 볼 수 있습니다.



1번) 10.42.42.253



문제2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the scan consisted of many thousands of packets.) Pick one:

● TCP SYN, ● TCP ACK, ● UDP, ● TCP Connect, ● TCP XMAS, ●TCP RST

 

이 문제는 포트 스캔 시, 포트스캔 방법을 물어보는 문제인데요 Mr.X가 포트스캔을 시도한 패킷을 봐 보면 아래와 같이 Syn Flag에만 1이 표시 되어 있음을 확인 할 수 있습니다. 따라서 답은 TCP SYN 또는 TCP Connect 중 하나로 나뉜게 되겠죠?




아래에서 연두색 박스를 확인해 보면 열린 포트에 대하여 SYN, > SYN+ACK > ACK 순서의 패킷을 발견할 수 있습니다. 

이는 곳 TCP Connect를 의미하기 때문에 답은 TCP SYN이 될 수 없습니다. 

하지만 저는 열린포트에 대한 정보를 확인하지 않았기 때문에 TCP SYN으로 오답을 기입하였죠ㅠㅠ




2번) TCP Connect



문제3. What were the IP addresses of the targets Mr. X discovered?

위 문제는 Mr.X가 발견한 호스트 IP에 대한 물음입니다. 

해당 정보는 Wireshark에 Statistics > IPv4 Statistics > All Addresses 버튼을 클릭하여 확인이 가능합니다.




아래와 같이 발견한 호스트 IP 확인.




3번) 10.42.42.25, 10.42.42.50, 10.42.42.56




문제4. What was the MAC address of the Apple system he found?

 

Apple 시스템의 MAC 주소를 묻는 문제입니다. 

처음 문제를 접했을 때 어떻게 Apple 시스템을 찾을까 고민하다가 단순하게 Find 기능으로 Apple을 검색해보자는 생각으로 검색해보니.. 다음과 같이 바로 찾을 수 있었습니다. 완전 행운~


4번) 00:16:cb:92:6e:dc





문제5. What was the IP address of the Windows system he found?

다음 문제는 예전에 해커스쿨에서 TTL 값으로 운영체제를 구분하는 만화를 봤던 기억을 되살려 

검색을 통해 윈도우 시스템을 찾을 수 있었습니다. 

검색결과 대부분의 Windows 시스템의 TTL 값은 128임을 알 수 있죠.



패킷 필터링을 Protocol 종류 icmp로 필터링하여 ttl 값을 확인해 보니 128의 값을 가진 IP는 10.42.42.50 이렇게 하나의 시스템을 확인 할 수 있습니다.




이외에도 최강의 툴인 NetworkMiner를 통해 Hosts를 확인해 보면 해당 시스템이 윈도우인지 리눅스인지 바로 확인이 가능합니다.



5번) 10.42.42.50



문제6. What TCP ports were open on the Windows system? (Please list the decimal numbers from lowest to highest.)?


Windows 시스템(10.42.42.50)에서 열려있는 포트가 무었있지 열려있다면 낮은 숫자에서 높은숫자로 정렬하라는 요구의 문제입니다.




해당 문제는 포트가 열려있다면 SYN, ACK패킷을 전송하였을 것이라는 생각으로 다음과 같이 필터링을 정요하였다. ip.addr == 10.42.42.50 && tcp.flags.ack == 1 && tcp.flags.syn == 1

 

필터링을 적용하니 135, 139번의 포트가 열려있음을 확인 할 수 있었다.

 

6번) 135, 139



4. The Curious Mr. X에 대한 모든 정답은 아래에 있습니다.

---------------------------------------------------------------------------------------------------

1. What was the IP address of Mr. X’s scanner?

A : 10.42.42.253

2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the scan consisted of many thousands of packets.) Pick one:

● TCP SYN, ● TCP ACK, ● UDP, ● TCP Connect, ● TCP XMAS, ●TCP RST

A : TCP Connect

3. What were the IP addresses of the targets Mr. X discovered?

A : 10.42.42.25, 10.42.42.50, 10.42.42.56

4. What was the MAC address of the Apple system he found?
A : 00:16:cb:92:6e:dc
5. What was the IP address of the Windows system he found?

A : 10.42.42.50

6. What TCP ports were open on the Windows system? (Please list the decimal numbers from lowest to highest.)?

A : 135, 139

---------------------------------------------------------------------------------------------------


Ann’s AppleTV의 주어진 정보와 문제는 아래와 같습니다.


---------------------------------------------------------------------------------------------------

[주어진 정보]

AppleTV static IP : 192.168.1.10



[문제]

1. What is the MAC address of Ann’s AppleTV?

2. What User-Agent string did Ann’s AppleTV use in HTTP requests?

3. What were Ann’s first four search terms on the AppleTV (all incremental searches count)?

4. What was the title of the first movie Ann clicked on?

5. What was the full URL to the movie trailer (defined by “preview-url”)?

6. What was the title of the second movie Ann clicked on?

7. What was the price to buy it (defined by “price-display”)?

8. What was the last full term Ann searched for?

---------------------------------------------------------------------------------------------------




문제1. What is the MAC address of Ann’s AppleTV?

1번은 Wireshark만 실행 해서 단순 필터링 만으로 금방 답을 찾을 수 있습니다.


아래 사진과 같이 ip필터링을 걸은 후 아래 패킷의 상세 정보를 확인해 보면...

AppleTV의 MAC address는 00:25:00:fe:07:c4 를 확인 할 수 있다.

 



1번) 00:25:00:fe:07:c4



문제2. What User-Agent string did Ann’s AppleTV use in HTTP requests?

두번째 문제는 AppleTV의 User-Agent를 묻는 문제입니다.

이것도 간단한 필터링 만으로 답을 찾을 수 있는데요


아래와 같은 필터링으로 AppleTV가 HTTP를 요청한 것을 알 수 있습니다.

필터링 : ip.addr == [AppleTV’s IP] && http


출발지가 AppleTV(192.168.1.10)인 패킷 중, 아무거나 클릭 후 그 안에 있는 User-Agent를 확인하여 보면 “AppleTV/2.4”를 확인 할 수 있습니다.





 

2번) AppleTV/2.4




문제3. What were Ann’s first four search terms on the AppleTV (all incremental searches count)?


위 문제는 Ann이 가장 처음으로 검색한 4가지 키워드를 찾는 문제이다.


해당 정보는 Follow HTTP Stream을 통해서 찾아 내었는데요.. 답이 있는 위치는 tcp.stream eq 2에 위치하고 있는데

먼저 아래와 같이 Follow HTTP Stream을 클릭하여 보면

 





다음과 같이 query의 약자인 q=h로 시작하는 부분을 검색 할 수 있습니다.

패킷의 흐름을 보면서 스크롤을 내리다보면 Ann은 h, ha, hac, hack 순서로 검색했음을 확인 할 수 있습니다.





또한 NetworkMiner에서 Parameters 부분을 확인하여 보면 Ann이 요청하였던 모든 파라미터를 편리하게 다음과 같이 확인 할 수 있습니다. 이것 또한 역시 NetworkMiner의 위대함(?) 이지요...





 

3번) h, ha, hac, hack






문제4. What was the title of the first movie Ann clicked on?


Ann 이 클릭한 첫 번째 영화를 묻는 문제인데요

저는 Follow HTTP Stream을 통해서 패킷 하나하나의 진행을 보면서 답을 찾아내다보니 이곳에서 시간을 꽤 많이 소비하였네요... 정보는 tcp.stream eq 5 위치해 있었으며 Ann은 제목(Title)이 Hackers라는 영화를 클릭했습니다.


 




<key>Tiltle</key> 옆에 Hackers를 확인 할 수 있다.






 

4번) Hackers





문제5. What was the full URL to the movie trailer (defined by “preview-url”)?


이 문제는 위에 주어진 힌트인 ”preview-url”를 Find 기능으로 찾아서 풀 수 있었습니다.

다음과 같이 해당 키워드인 preview-url를 Packet details로 옵션을 준 후 검색합니다.






다음과 같이 빨간줄로 그어진 것과 같이 http://a227.v.phobos.apple.com/~~ 로 시작하는 URL을 확인 할 수 있습니다.






5번) http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640x278.h264lc.d2.p.m4v






문제6. What was the title of the second movie Ann clicked on?


위 문제는 첫번째에 이어서 Ann이 두번째로 클릭한 영화를 묻는 문제입니다. 

해당 문제도 Follow HTTP Stream으로 찾았고 시간을 많이 소비하였는데요

찾는 방법은 첫번째 영화(Hackers)와 같이 Sneakers라는 것을 확인 할 수 있습니다.

 




6번) Sneakers



문제7. What was the price to buy it (defined by “price-display”)?

두번째 영화의 구입 가격을 묻는 문제입니다. 해당 문제도 price-display로 힌트가 주어졌네요.

하지만 price-display로 검색하게 되면 아래와 같이 price-display와 rent-price-display를 확인이 가능한데 문제의 취지는 구입 가격임으로 $9.99가 정답이였습니다.





7번) $9.99




문제8. What was the last full term Ann searched for?

마지막 문제는 Ann이 마지막으로 검색한 키워드가 무엇인지 찾는 문제입니다. 

해당 문제는 역시 NetworkMiner에서도 확인이 가능한데요

패킷의 흐름을 보면서 확인 하기위해 Follow HTTP Stream으로 확인하여 보니 tcp.stream eq 18번 위치에 “q=iknowyourewatchingme” 를 검색 하였음을 확인 할 수 있었습니다.


 




8번) iknowyourewatchingme





[문제 정답]

1. What is the MAC address of Ann’s AppleTV?

A : 00:25:00:fe:07:c4

2. What User-Agent string did Ann’s AppleTV use in HTTP requests?

A : AppleTV/2.4

3. What were Ann’s first four search terms on the AppleTV (all incremental searches count)?

A : h, ha, hac, hack

4. What was the title of the first movie Ann clicked on?

A : Hackers

5. What was the full URL to the movie trailer (defined by “preview-url”)?

A : http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb. .640x278.h264lc.d2.p.m4v

6. What was the title of the second movie Ann clicked on?

A : Sneakers

7. What was the price to buy it (defined by “price-display”)?

A : $9.99

8. What was the last full term Ann searched for?

A : iknowyourewatchingme.

+ Recent posts