보안공지

이 같은 감염 사례를 분석한 결과, 다양한 변종파일을 지속적으로 생성하여, 백신에서는 패턴이 없기 때문에 최초 유입시 탐지를 하지 못하고 있는 것으로 확인되었습니다.

현재 사용하고 있는 트렌드마이크로의 APT 대응 솔루션 DDI 의 경우, 최신 버전을 사용시 랜섬웨어에 특화된 검색 필터를 지원합니다.

이를 통하여, 사내 네트워크가 랜섬웨어에 감염되었을 경우 감염 가시성을 지원합니다.

만약 패턴이 없는 랜섬웨어라도 외부로 C&C 통신 시도시 탐지를 합니다.

현재 사용하고 트렌드마이크로의 APT 대응 솔루션 DDAN 의 경우 Sandbox 분석을 통해, 신종 랜섬웨어를 검출합니다. 악성코드가 감염되어, 최초 외부 C&C 와 통신하여, 추가 악성코드를 다운 시도를 하는 것을 탐지합니다.

랜섬웨어가 실행되어, 문서를 암호화하기 위한 행위를 분석 제공합니다.

이 때, Sandbox 설정이 외부통신이 Disable 되어 있으며는 해당 파일은 NoRisk 로 나올것입니다.

Norisk 로 나오는 이유는 JS 파일이 외부 통신을 해서 추가적인 악성 행위가 이루어져야 하는데, 추가 행위가 이루어지기기 않는 것이 가장 큰 이유입니다.

DDAN 을 운영하시는 담당자분들에게서는 이 같은 점을 숙지 부탁드립니다.