본문 바로가기

벌새::Software

AhnLab V3 백신의 디코이(Decoy) 파일 변경 탐지 방식의 랜섬웨어(Ransomware) 차단 기능 (2016.6.21)

728x90
반응형

파일 암호화를 통해 금전을 요구하는 랜섬웨어(Ransomware) 피해가 증가함에 따라 안랩(AhnLab) 보안 업체에서는 과거 AhnLab V3 365 Clinic 제품에 랜섬웨어 차단 기능을 추가하였던 적이 있었습니다.

 

하지만 추가된 랜섬웨어 차단 기능이 특정 환경에서 블루스크린(BSoD) 발생 등의 문제를 유발함에 따라 금새 기능을 제거한 것으로 기억되며, 이후 AhnLab V3 보안 제품에서는 휴지통 영역에 디코이(Decoy) 파일을 추가하는 방식으로 변경되었습니다.

 

대표적인 디코이(Decoy) 파일을 활용하는 알약(ALYac)과는 다르게 AhnLab V3 제품은 사용자 눈에 띄지 않는 휴지통에 위치하여 우회하는 랜섬웨어 탐지에 부족한 부분이 있었던 것으로 보입니다.

 

결국 2016년 6월 20일경 AhnLab V3 제품군은 각 드라이브의 루트(Root) 및 문서 폴더에 (특수 문자 + 숫자 + 영문) 패턴으로 생성되는 숨김(H) 속성값을 가진 폴더를 생성하게 되었습니다.

 

내부에는 3종의 디코이(Decoy) 파일(.doc / .jpg / .ppt)이 추가되어 있으며, 해당 폴더 및 파일은 AhnLab V3 백신의 실시간 검사 기능이 ON 상태에서만 자동 생성되도록 구성되어 있습니다.

 

특히 알약(ALYac) 백신의 디코이(Decoy) 파일과 달리 파일 이름 변경, 삭제 등의 수정 행위에 대해 아무런 차단 행위를 하지 않는 조금 더 스마트한 모습을 보여주고 있습니다.

 

그렇다면 AhnLab V3 백신에 추가된 디코이(Decoy) 파일이 어떻게 랜섬웨어(Ransomware) 차단을 수행하는지 테스트를 간단하게 진행해 보았습니다.

 

AhnLab V3 백신에서 진단하지 못하는 특정 랜섬웨어(Ransomware) 실행을 통해 파일 암호화가 수행되는 과정에서 디코이(Decoy) 파일이 암호화 행위로 수정되는 것을 확인할 수 있습니다.

 

 

위와 같은 행위에 대하여 AhnLab V3 보안 제품에서 제공하는 MDP 사전 보호를 통해 Malware/MDP.Manipulate.M906 진단명으로 파일 실행 차단이 이루어지는 것을 확인할 수 있습니다.

 

즉, 이번에 추가된 AhnLab V3 보안 제품의 디코이(Decoy) 파일 변경 탐지 방식은 기존부터 존재하였지만 제한적인 휴지통 폴더에서 사용자들의 눈에 노출되는 루트(Root) 폴더로 나왔다는 점입니다.

 

물론 위와 같은 디코이(Decoy) 파일을 추가하여 랜섬웨어(Ransomware) 감염 과정에서 탐지률을 상승시킬 수 있지만, 일부 랜섬웨어는 특수한 폴더 또는 특정 영역만을 암호화하거나 파일 필터를 우회하는 경우도 있다는 점에서 만능은 아닙니다.

 

그러므로 디코이(Decoy) 방식을 사용하는 AhnLab V3, 알약(ALYac) 백신을 사용하실 경우에는 추가적인 랜섬웨어(Ransomware) 탐지 기능을 갖춘 AppCheck 안티랜섬웨어 제품을 함께 사용하실 경우 더욱 효과적인 차단을 통해 피해를 예방할 수 있습니다.

728x90
반응형