Google Rapid Response 기반 랜섬웨어 공격 대응 방안
Countermeasure of Ransomware Attacks based on Google Rapid Response
초록/요약
Currently, with the development of the Internet and virtual currency,ransomware attacks that exploit them are actively progressing. Attackers conduct ransomware attacks regardless of individuals, corporations, and public institutions, and request a large amount of money after successfully encrypting the victim's PC or files. In addition, attackers steal important information stored by the victim and threaten to disclose it or try to sell it to a third party through dark channels such as the dark web. Several commercial solutions have been released to defend against the attacks of these ransomware attack organizations, but in some cases, they cannot be introduced due to limitations in the application scale or scope or high cost. Therefore, to overcome this limitation, it is necessary to introduce an open source-based security solution that is distributed free of charge and can modify the code as needed. This study intends to propose a method of using GRR (Google Rapid Response) that can be applied as an endpoint detection solution among several open source-based security solutions. In order to study a more realistic application plan, we first analyzed the ransomware code and attack tactics of the DarkSide attack organization that recently attacked the US Colony pipeline. After that, when applying the corresponding attack tactics to virtually attack the system in which GRR is installed, what functions of GRR can be used to detect it were tested. Afterwards, based on the experimental results, we would like to suggest the optimal use method for responding to ransomware.
more초록/요약
현재 인터넷과 가상화폐의 발전과 함께 이를 악용하는 랜섬웨어 공격이 활발하게 진행되고 있다. 공격자는 개인, 기업, 공공기관을 가리지 않고 랜섬웨어 공격을 진행하고 있으며 피해자의 PC 또는 파일을 암호화 하는데 성공한 후 거액의 금액을 요청한다. 또한 공격자는 피해자가 보관하고 있는 중요 정보들을 탈취 후 이를 공개할 것이라고 협박을 하거나 다크웹 등 어둠의 경로를 통해 제3자에게 판매를 시도하기도 한다. 이러한 랜섬웨어 공격조직의 공격을 방어하기 위한 여러 상용 솔루션들이 출시되었으나 적용 규모나 범위의 제한 또는 고가의 비용으로 인해 도입을 못하는 경우도 있다. 따라서 이러한 한계점을 극복하기 위해서 무료로 배포되면서 필요에 따라 코드 수정도 가능한 오픈소스 기반 보안 솔루션의 도입이 필요하다. 이번 연구는 여러 오픈소스 기반 보안 솔루션 중 엔드포인트 탐지 솔루션으로 적용 가능한 GRR(Google Rapid Response) 활용방안을 제안하고자 한다. 이에 좀 더 현실적인 활용방안을 연구하기 위하여 먼저 최근 미국 콜로나인 파이프라인을 공격하였던 DarkSide 공격조직의 랜섬웨어 코드와 공격 전술을 분석하였다. 이후 해당 공격 전술을 응용하여 GRR이 설치된 시스템을 가상으로 공격 시 GRR의 어떠한 기능들을 활용하면 탐지가 가능한지를 실험하였다. 이후 실험 결과를 토대로 랜섬웨어 대응을 위한 최적의 활용 방법을 제시해 보고자 한다.
more목차
제 1 장 서론 1
제 1 절 연구 배경 및 목적 1
제 2 절 관련연구 분석 3
제 2 장 본론 5
제 1 절 DarkSide 랜섬웨어 분석 5
1. DarkSide 랜섬웨어 코드 분석 5
2. DarkSide 랜섬웨어 공격전술 분석 11
제 2 절 오픈소스 EDR 솔루션 14
1. 오픈소스 EDR 종류 14
2. GRR(Google Rapid Response) 구성 및 기능 16
제 3 장 실험 및 분석 19
제 1 절 GRR을 이용한 랜섬웨어 탐지실험 19
1. 실험 준비(실험 환경 설치) 19
2. 실험 방법 및 결과 22
제 4 장 결 론 25
참고문헌 26
