업무간 이메일을 통해 입사 지원서와 급여 등의 내용으로 Email을 통해 사람들의 관심을 유발 하여 계정정보 탈취 및 악성코드가 첨부된 메일을 통한 피해가 많이 발생 하고 있습니다. 특히 랜섬웨어를 배포하여 금전을 요구하는 사례가 많이 발생 하고 있습니다. 이 처럼 오늘날 이메일은 APT 공격을 시작하는 주요 수단 중 하나입니다.
랜섬웨어 란?
사용자의 컴퓨터 시스템 감염을 통해 접근을 제한하며 문서 및 사진 등 파일 다양한 데이터를 암호화 하여 인질로 삼아 정상적 작동을 위해 금품을 요구하는 악성 코드 입니다.
감염시 복구가 가능 한가?
백업의 경우 랜섬웨어에 감염이 되기전 데이터들이 백업이 잘되어 있다면 복구 과정을 통해 전혀 문제가 없을 것 입니다. 하지만 대부분 완벽한 백업 구성을 갖추고 있지 않기 때문에 문제 해결이 쉽지만은 않습니다.
암호화된 데이터를 복호화하기 위해선 해당 복호화 키가 필요합니다. 운이 좋다면 안티바이러스 업체에서 찾아낸 복호화 키를 통해 복구롤 할 가능성도 있습니다.
대부분의 랜섬웨어는 인질로 삼은 데이터들을 이용해 금전을 요구하고 있습니다. 금전을 지불 할 경우 암호화된 데이터의 복호화 키를 제공한다고 안내를 하고 있습니다.
지난번 다룬 미국 송유관 해킹 사건의 회사인 콜로니얼 파이프라인 또한 결국 거액을 지불하며 복호화 키를 제공 받아 문제를 해결 할 수 있었습니다. 하지만 금전만 취득 하고 실제 복호화 키를 제공하지 않는 경우도 있어 해당 방법도 완벽한 복구 방안이라고 볼 수 없기 때문에 예방이 가장 중요합니다.
이메일 보안을 담당하는 Trellix Email Security Sever EX
Email APT EX 의 분석 과정
Email APT EX는 메일의 첨부 파일 뿐만 아니라 메일 내에 존재하는 URL 등의 분석을 진행합니다.
단순 정적 분석만 하는 것이 아니라 가상머신을 통해 메일에 존재하는 URL접근과 첨부파일 실행을 통해 동적 분석을 진행 하게 됩니다.
EX의 가상머신은 Email 내에 존재하는 URL에 접근하는 과정 중 캡처 하여 제공 합니다.
이때 메일의 본문에 있는 URL뿐 만 아니라 첨부된 문서 파일내에 존재하는 URL 또한 분석이 가능 합니다.
EX을 통해 Email에 zip파일로 앞축되어 첨부 된 랜섬웨어를 탐지 하여 제공 되는 UI로 가상머신을 통해 실행 된 exe파일이 행하는 행위들을 제공 하고 있습니다.
이메일을 통한 위협으로 부터 침해의 위험과 피해를 최소화하는 데 목적을 하고 있는 Trellix Email Security Sever EX 를 통해 스피어 피싱 및 랜섬웨어를 비롯한 지능형/표적 공격이 귀사의 환경에 침입하기 전에 정확히 탐지하고 즉각적으로 차단할 수 있습니다.
