맬웨어 정의

맬웨어 공격의 5가지 범주

맬웨어 공격은 일반적으로 공격자가 달성하려는 목표에 따라 다섯 가지 범주 중 하나로 분류됩니다.

스파이웨어 및 애드웨어

애드웨어는 사용자의 검색 습관에 대한 정보를 수집하고 사용자에게 팝업 광고를 푸시합니다. 포르노웨어는 음란물 이미지 및 광고를 컴퓨터에 다운로드하고 음란 통화 서비스에 자동으로 전화를 걸 수 있는 애드웨어의 일종입니다. 또한 스파이웨어는 사용자의 웹 검색 기록과 같은 정보뿐만 아니라 암호, 계정 번호와 같은 중요한 데이터도 수집합니다. 스파이웨어가 고객 목록, 재무 보고서와 같은 기밀 콘텐츠를 검색할 수 있는 경우도 있습니다. 스파이웨어와 애드웨어는 맬웨어 보호 프로그램을 비롯한 합법적인 애플리케이션으로 가장하는 경우가 많습니다.

봇네트 맬웨어

봇네트 맬웨어는 가로채기하여 원격으로 제어 가능한 컴퓨터로 구성된 네트워크를 구축합니다. 봇네트라고 하는 이러한 네트워크는 수백 또는 수천 대의 컴퓨터로 구성될 수 있으며 모두 다음 악성 활동 중 하나를 수행합니다.

• 이메일로 스팸 보내기
• 암호화폐 채굴(아래 크립토재킹 참조)
• DDoS(분산 서비스 거부) 공격을 시작하여 조직의 네트워크를 중단하거나 사용하지 않도록 설정
• 맬웨어를 배포하여 더 많은 봇네트 생성

랜섬웨어

랜섬웨어는 2016년에 전 세계의 암호화된 컴퓨터를 악용하여 인질로 잡은 후 비트코인이나 기타 암호화폐를 요구하는 랜섬웨어가 유행하면서 유명해졌습니다. 가장 악명 높은 것 중 하나는 2017년 5월에 발생한 WannaCry/WannaCryptor 랜섬웨어로 영국 NHS(National Health Service)를 비롯한 전 세계 주요 조직에 영향을 미쳤습니다. 공격자는 각 컴퓨터의 암호 해독 키에 대한 대가로 비트코인으로 300달러를 요구했지만, 암호 해독 키를 항상 제공하지는 않았습니다. 이 랜섬웨어는 NHS 병원을 폐쇄하고 중요한 데이터를 손실한 수십만 개의 조직과 개인에게 영향을 미쳤습니다. 2018년에는 공격자가 크립토재킹 맬웨어에 다시 집중하면서 랜섬웨어 공격이 감소했습니다.

크립토재킹 또는 크립토마이닝 맬웨어

크립토재킹 또는 크립토마이닝 맬웨어에는 컴퓨터 또는 컴퓨터 네트워크를 가로채어 암호화폐를 채굴하는 것이 포함됩니다. 채굴 프로그램은 많은 양의 처리 성능, 대역폭 및 에너지를 사용합니다. 피해자는 합법적인 사용에 비해 감소된 처리 성능과 증가한 전력 비용으로 대가를 치릅니다. 과도한 데이터 처리는 피해자의 하드웨어를 손상시킬 수도 있습니다. 맬웨어 공격은 데이터를 도용 또는 변경하거나 나중에 이용하기 위해 다른 맬웨어를 심을 수도 있습니다. 일부 크립토재커는 피해자의 사이버 통화를 훔치기도 합니다.

파일리스 맬웨어

파일리스 맬웨어는 컴퓨터의 메모리에서만 작동하며 안티바이러스 소프트웨어가 찾을 수 있는 파일을 남기지 않습니다. Operation RogueRobin은 파일리스 맬웨어 공격의 예입니다. RogueRobin은 악성 Microsoft Excel 웹 쿼리 파일이 포함된 피싱 이메일로 시작합니다. 이 파일은 컴퓨터에서 PowerShell 스크립트를 강제로 실행하여 공격자에게 피해자 시스템에 대한 백도어를 제공하도록 합니다. 컴퓨터 전원이 꺼지면 맬웨어는 사라지지만 백도어는 남아 있습니다.

파일리스 맬웨어 해커는 PowerShell , Excel, Windows Management Instrumentation과 같은 신뢰할 수 있는 기술을 사용하여 기존 보안 소프트웨어를 회피할 수 있습니다.

일부 애플리케이션은 지속적으로 실행되도록 설계되므로, 파일리스 맬웨어 스크립트가 며칠, 몇 주 또는 그 이상 실행될 수 있습니다. 한 금융 서비스 회사는 도메인 컨트롤러에서 실행되어 시스템 관리자와 시스템의 심층 부분에 액세스할 수 있는 다른 사용자의 자격 증명을 수집하는 파일리스 맬웨어를 발견했습니다.

맬웨어 보호에 대한 모범 사례

다음은 더 나은 맬웨어 보호를 위해 개인 및 조직이 구현할 수 있는 기본 전략입니다.

• 데이터를 자주 백업합니다. 파일 또는 데이터베이스가 손상된 경우 최신 백업에서 복원할 수 있습니다. 따라서 일정 기간 동안 여러 백업을 유지 관리합니다. 또한 정기적으로 백업을 테스트하여 제대로 작동하는지 확인합니다.
• 매크로를 사용하지 않도록 설정합니다. 필요하지 않은 관리 도구 및 브라우저 플러그인을 사용하지 않도록 설정합니다.
• 맬웨어 탐지 소프트웨어를 설치하고 업데이트합니다. 진화한 맬웨어 탐지 프로그램 및 서비스는 다음과 같은 다양한 장법으로 맬웨어를 탐지하고 대응합니다.
  • 격리된 환경에서 의심스러운 바이러스 샌드박싱 또는 활성화
  • 평판 필터링 수행(예: 보내는 IP 주소의 평판 필터링)
  • 시그니처 기반 필터링을 사용하여 알려진 맬웨어의 특성과 비교하여 맬웨어 식별
  • 인공 지능과 기계 학습을 사용하여 정상적인 사용자 동작을 프로파일링하고 애플리케이션의 비정상적인 사용을 탐지하는 동작 기반 분석 소프트웨어 사용
• 맬웨어 위협에 대해 알아봅니다. 모든 종류의 맬웨어 감염을 방지하는 가장 중요한 요소는 사용자 자신입니다. 사용자는 인증되지 않은 애플리케이션을 다운로드하여 설치하거나, USB 썸 드라이브를 컴퓨터에 삽입하거나, 신뢰할 수 없는 웹 사이트를 탐색할 때의 위험을 인식해야 합니다.

사용자에게 안전한 인터넷 및 소셜 미디어 관행에 대해 교육할 것을 권장합니다. 사용자는 최신 맬웨어 위협에 대한 정기적인 정보 업데이트와 보안 사례에 대한 미리 알림을 활용할 수 있습니다. IT 직원은 Trellix 웨비나에 참석하거나 Trellix 블로그를 읽거나 Trellix 위협 센터 보고서를 검토하여 보안 기술을 향상시킬 수 있습니다.