포스팅 내용

악성코드 분석 리포트

기업들을 대상으로 유포되고 있는 클롭(CLOP) 랜섬웨어 주의!


안녕하세요 

이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 


기업 대상 윈도우 서버를 공격하는 클롭(CLOP) 랜섬웨어가 대량으로 유포 중에 있어 기업 사용자들의 각별한 주의가 필요합니다. 


이 클롭(CLOP) 랜섬웨어는 개인이 아닌 기업들을 주요 공격 대상으로 하며, 이미 한국인터넷진흥원에서도 2월 22일 주의 공지를 게재한 적이 있습니다.  


하지만 현재까지도 지속적으로 유포되고 있고 국내 기업들의 피해도 점차 확대되고 있는 만큼, 어제(4일) 한국인터넷진흥원은 또 한번 주의 공지를 발표하였습니다. 


클롭(CLOP) 랜섬웨어는 기업에서 운용중인 AD 관리자 계정 정보를 탈취하는 방식을 통하여 기업 서버에 침투하며, 다른 랜섬웨어들과는 다르게 유효한 전자 서명을 포함하고 있어 백신 우회를 시도합니다.


[그림1] 유효한 디지털서명을 포함하고 있는 CLOP 랜섬웨어 


클롭(CLOP) 랜섬웨어는 실행되자마자 많은 프로세스들을 검색하여 종료시키는데, 이는 프로세스들의 점유율이 높아 파일 암호화 과정 중 실패할 확률을 낮추기 위해서 입니다. 


또한 화이트리스트 방식으로 로컬과 네트워크 공유폴더 내 파일들을 필터링 하며, 파일 사이즈에 따라 각기 다른 암호화 방식을 사용합니다. 


파일 암호화 제외 목록은 다음과 같습니다. 


[그림2] 암호화 제외 목록 및 확장자


파일 암호화 후에는 기존 파일 확장자 뒤에 .Clop 확장자를 추가합니다. 


하지만 최근 발견된 클롭(CLOP) 랜섬웨어의 새로운 변종은 파일 암호화 후 기존 확장자 뒤에 .Clop가 아닌 .Ciop 로 변경합니다. 이는 확장자 기반으로 탐지하는 백신을 우회하기 위함으로 추측되고 있습니다. 


[그림3] 클롭(CLOP) 랜섬웨어 랜섬노트


클롭(CLOP) 랜섬웨어는 2월 말경 발견된 이후 현재까지 꾸준히 유포되고 있으며, 감염 기업들도 지속적으로 늘어나고 있습니다. 또한 국내 기업들 뿐만 아니라, 이웃 나라인 중국 기업들에서도 피해가 발생하고 있는 만큼 기업들의 각별한 주의가 필요합니다. 


1) 445, 135 등 불필요한 포트를 닫고, 화이트리스트 기반 ip 허용 정책을 사용합니다. 

2) 공유폴더를 사용하지 않으며, 부득이하게 사용해야 할 경우 ACL 이나 강력한 비밀번호를 통하여 접근제어를 합니다. 

3) 기본 비밀번호를 사용하지 않으며, 비밀번호는 주기적으로 변경합니다. 

4) 알약과 같은 신뢰할만한 백신을 설치하고, DB는 항상 최신으로 유지합니다. 

5) 중요 파일들에 대해 주기적인 백업을 진행합니다.


현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Filecoder로 탐지중에 있습니다. 

 



티스토리 방명록 작성
name password homepage