2. 랜섬웨어 유형(Ransomware Types)
2.4 파일리스(Fileless) 공격이란? 랜섬웨어 감염 경로 및 예방 방어 전략
랜섬웨어 공격 유형은 다양한 타입의 패턴을 가지고 있습니다. 첫번째 암호화 랜섬웨어(Crypto Ransomware), 두번째 이중 협박 랜섬웨어(Double Extortion Ransomware), 세번째 잠금 랜섬웨어(Locker Ransomware), 네번째 파일리스 랜섬웨어(Fileless Ransomware), 다섯번째 랜섬웨어 서비스(Ransomware as a Service, RaaS) 등의 공격 패턴이 있습니다. 앞으로 한 가지씩 랜섬웨어 공격 유형을 소개를 통해 학습해 가는 시간이 되면 좋겠습니다.
2.4 파일리스 랜섬웨어(Fileless Ransomware) 란?
2.4 파일리스(Fileless) 공격이란? 랜섬웨어 감염?
파일리스(Fileless) 랜섬웨어 공격은 일반적인 파일 공격을 통한 랜섬웨어 감염 방법하고는 달리, 랜섬웨어 악성코드를 디스크에 저장하지 않고 시스템 메모리(RAM) 내에서 직접 동작하며 실행되는 공격입니다. 이로 인해 기존의 파일 시그니처 기반(바이러스 백신 등)의 악성코드 탐지 기법으로는 랜섬웨어를 대응하기에는 어려워 새로운 행위기반의 탐지 알고리즘 보안 솔루션, 포렌식 분석 등에 새로운 보안 기술의 연구 과제가 당면한 문제임을 인식해야 합니다.
파일리스 랜섬웨어의 주요 동작 원리는 우선 공격자가 취약한 시스템 환경을 이용하거나, 피싱 이메일이나 악성 스크립트 등 다양한 취약한 경로를 통해 악의적인 악성코드 명령어를 실행 환경으로 침입시키는 데서 시작됩니다. 감염 경로는 보통 PowerShell, WMI (Windows Management Instrumentation), 혹은 기타 스크립팅 언어를 이용하는 방식이 많으며, 이를 통해 시스템 메모리 내에서 악성 페이로드(Payload)를 직접 로드합니다. 이 과정에서 공격자는 디스크에 별도의 실행 파일이나 흔적을 남기지 않음으로써, 기존 안티바이러스 백신 프로그램이나 파일 무결성 검사 도구의 탐지는 회피가 되어 랜섬웨어 감염이 진행된 상태입니다.
페이로드 (Payload) 란?
페이로드 (Payload)란? 컴퓨터 보안에서는 멀웨어의 일부를 뜻한다.컴퓨터 보안에서 페이로드(Payload)는 공격자가 시스템에 침입한 후 감염피해를 하려는 실제 악성 행위를 지칭합니다. 이러한 페이로드는 전통적인 악성코드 종류 동작방법과 달리 디스크에 저장되지 않고 메모리 내에서 직접 실행되어 실행 탐지가 어렵습니다. 공격자는 주로 시스템에 내장된 도구나 스크립트를 이용하여 악의적으로 이러한 페이로드를 실행합니다.
파일리스(Fileless) 공격에서 사용되는 주요 페이로드 유형1. 정보탈취는 키로깅, 스크린샷 캡쳐 등을 통해 사용자 인증 정보나 민감한 데이터를 수집니다.
2. 랜섬웨어 실행으로 메모리 내에서 파일 암호화를 수행하여 피해자로부터 금전을 요구합니다.
3. 백도어 설치로 시스템에 지속적인 접근을 위해 백도어를 설정하거나 원격 제어를 가능하게 합니다.
4. DDoS 공격으로 감염된 시스템을 이용하여 분산 서비스 거부 공격의 봇넷으로 활용합니다.
