보통의 랜섬웨어는 악성코드나 바이러스를 다운로드하고 파일을 실행할 경우 공격 코드가 같이 동작하며 파일들을 암호화시키는 것이 보통 알려진 방법이며 또 다른 방법으로는 웹에 있는 취약점을 사용하여 JS 파일에 악성코드를 포함시켜 동작시키도록 하는 방법을 사용하기도 합니다.
하지만 이런 공격 방식의 단점은 안티바이러스(Antivirus)에게 탐지가 되면 파일이 삭제되어 활동할 수 없게 된다는 단점이 있어 이런 안티바이러스에 감지되지 않도록 우회하려고 해커들이 노력하고 있습니다.
그러나 최근에 독특한 랜섬웨어가 발견되었는데요. 바로 윈도우10 서버나 프로버전에 포함되어 있는 비트로커(BitLocker)를 이용해서 암호화를 하고 금전적인 요구를 하는 랜섬웨어가 발견되었습니다.
비트로커란 윈도우 프로 이상 혹은 윈도우 서버에 포함되어 있는 기본적인 기능으로 로컬 디스크를 암호화시켜 비밀번호를 거는 것을 말하며 이해하기 쉽게 말씀드리면 압축파일에 암호거는 느낌이라고 보시면 됩니다.
공격자는 게시판의 파일 업로드 취약점을 이용하여 웹쉘(Web Shell) 공격 명령어를 3번 업로드하고 업로드한 웹쉘 중 하나가 권한 상승 도구인 Sweet Potato를 실행시키고 계정을 만들고 해당 계정으로 원격 제어 공격을 하고 RDP를 통해서 비트로커로 암호화를 시도합니다.
비트로커는 단방향 암호화 방식이기 때문에 마스터키를 가지고 있지 않는 이상은 복호화를 할 수 없습니다.
따라서 윈도우 프로 이상 및 윈도우 서버에서는 가급적 보안을 강력히 유지하시는 것을 권장하며 비트로커 기능을 사용하지 않으면 비활성화하는 것도 나쁘지 않습니다.
내용에 도움이 되셨다면 공감, 댓글 및 구독해주시면 블로그 발전에 큰 도움이 됩니다.
'IT 정보' 카테고리의 다른 글
| 구글 크롬 브라우저에서 '윈도우7' 지원 기간 연장 (0) | 2020.11.25 |
|---|---|
| 컴퓨터를 더욱 오랫동안 사용하는 방법과 주의사항 (1) | 2020.11.24 |
| 좋은 SSD를 고르는 방법과 주의사항 (0) | 2020.11.21 |
| 윈도우10의 새로운 기능 '세트' 아직까지도 적용 미확정 (0) | 2020.11.18 |
| 비밀번호 없이 인증하는 새로운 인증 방식 FIDO (0) | 2020.11.17 |
| 클라우드 윈도우, 일반 사용자용으로 내년 봄 중 출시 예정 (1) | 2020.11.16 |
