랜섬웨어 탐지란 무엇입니까?
대부분의 멀웨어와 마찬가지로 랜섬웨어는 컴퓨터를 감염시키고 목적을 달성할 때까지 탐지되지 않도록 설계되었습니다. 랜섬웨어의 경우 공격자의 목표는 피해자가 몸값 요구를 받을 때만 감염을 인식하도록 하는 것입니다.
랜섬웨어 방지 솔루션은 잠재적으로 손상이 발생하기 전에 프로세스 초기에 감염을 식별하도록 설계되었습니다. 이를 위해 다양한 랜섬웨어 탐지 기술을 사용하여 랜섬웨어의 스텔스 및 방어 회피 기능을 극복합니다.
조기 발견의 필요성
사이버 공격에 대처할 때는 항상 조기 탐지가 중요합니다. 공격 체인에서 인시던트가 일찍 감지되고 수정될수록 공격자가 중요한 데이터를 훔치거나 비즈니스에 해를 끼칠 가능성이 줄어듭니다.
랜섬웨어의 경우 랜섬웨어로 인한 피해가 돌이킬 수 없을 수 있기 때문에 대부분의 공격보다 조기 탐지가 훨씬 더 중요합니다. 랜섬웨어가 보안 백업에 포함되지 않은 데이터를 암호화하는 경우 피해자가 몸값을 지불하더라도 복구가 불가능할 수 있습니다. 암호화가 시작되기 전에 랜섬웨어 감염을 식별하고 근절하는 것은 그 영향을 최소화하는 데 필수적입니다.
랜섬웨어가 진화함에 따라 조기 탐지의 중요성이 더욱 커졌습니다. 최신 랜섬웨어 변종은 일반적으로 회사의 민감한 데이터를 암호화하기 전에 유출합니다. 이 데이터 도난이 발생하기 전에 랜섬웨어를 탐지할 수 있다면 회사는 비용이 많이 들고 당황스러울 수 있는 데이터 침해를 피할 수 있습니다.
랜섬웨어 탐지 기술의 유형
랜섬웨어 감염은 몇 가지 다른 방법으로 식별할 수 있습니다. 가장 일반적인 랜섬웨어 탐지 메커니즘은 다음과 같습니다.
서명에 의한 탐지
시그니처 기반 검색은 시스템에서 멀웨어 의 존재를 식별하는 가장 간단한 방법입니다. 멀웨어 서명에는 파일 해시, 명령 및 제어 인프라의 도메인 이름 및 IP 주소, 맬웨어 샘플을 고유하게 식별할 수 있는 기타 지표와 같은 정보가 포함됩니다. 시그니처 기반 탐지 시스템은 이러한 시그니처 라이브러리를 저장하고 시스템에 들어가거나 실행되는 각 파일과 비교하여 멀웨어인지 확인합니다.
그러나 서명 기반 탐지는 점점 더 유용하지 않게 되고 있습니다. 시그니처 기반 탐지는 멀웨어 변종에 대한 시그니처가 생성되지 않았기 때문에 새로운 멀웨어에 대해 사용할 수 없었습니다. 오늘날 랜섬웨어 그룹은 일반적으로 각 공격 캠페인에 대해 고유한 버전의 멀웨어(서로 다른 파일 해시, 명령 및 제어 인프라 등)를 사용하므로 시그니처 기반 탐지가 비효율적입니다.
행동에 의한 탐지
동작 탐지는 시스템에서 랜섬웨어의 존재를 탐지하는 또 다른 옵션입니다. 동작 기반 탐지 알고리즘은 악성으로 알려진 특정 활동을 찾거나 표준과 다른 비정상적인 동작을 찾도록 설계할 수 있습니다.
행동 기반 랜섬웨어 탐지는 랜섬웨어가 매우 비정상적인 동작을 한다는 사실을 이용합니다. 예를 들어, 랜섬웨어의 암호화 단계에서는 멀웨어가 시스템에서 많은 파일을 열고 내용을 읽은 다음 암호화된 버전으로 덮어써야 합니다. 이 동작은 랜섬웨어 방지 솔루션이 파일 작업 또는 암호화 작업을 모니터링하고 이 비정상적인 동작에 대해 경고하는 경우 랜섬웨어 감지에 도움이 될 수 있습니다.
비정상 트래픽에 의한 탐지
파일 작업 모니터링은 동작 기반 위협 탐지의 엔드포인트 수준 형태입니다. 그러나 랜섬웨어는 일반적으로 랜섬웨어 감염 또는 멀웨어를 나타낼 수 있는 비정상적인 트래픽을 찾아 네트워크 수준에서 탐지할 수도 있습니다.
과거에는 랜섬웨어가 시스템에서 자신의 존재를 숨기기 위해 암호화를 시작하기 전에 네트워크 작업을 거의 수행하지 않았습니다. 그러나 최신 랜섬웨어는 민감한 데이터를 암호화하기 전에 훔쳐 유출하여 피해자가 몸값을 지불하도록 설득할 때 공격자에게 추가 레버리지를 제공합니다.
대규모 데이터 침해를 수행하려면 네트워크 내부에서 공격자의 제어 하에 있는 외부 시스템으로 대량의 데이터를 보낼 수 있는 기능이 필요합니다. 랜섬웨어는 이러한 데이터 전송을 숨기려고 할 수 있지만 시스템에 있는 랜섬웨어를 감지하고 추적할 수 있는 비정상적인 네트워크 트래픽을 생성할 수 있습니다.
피드백