2020/05/19

랜섬웨어 방어 테스트 | Huorong Internet Security

랜섬웨어 방어 Ransim 테스트 | Huorong Internet Security

랜섬웨어 방어 테스트 | Huorong Internet Security
<오늘의 주인공 [Custom Rules]>

백신마다 한 가지씩은 가지고 있는 랜섬웨어 방어 도구

얼마 전에 테스트 용도로 잠깐 사용해 본 V3 Lite에는 [랜섬웨어 보안 폴더(Anti-Ransomware Folder)]라는 기능이 있는데, 이것은 사용자가 추가한 폴더를 랜섬웨어를 포함한 모든 프로그램의 접근으로부터 차단하는 기능이다. 같은 기능이 윈도우 디펜더에도 있다. 이것은 폴더로의 접근을 ─ 바이러스인지 괜찮은 프로그램인지 분별하지 않고 ─ 일단 무작정 차단하고 보는 매우 무식한 방법이지만, 랜섬웨어를 지능적으로 차단할 능력이 안 될 때 사용할 수 있는 무난한 방법이기도 하다. 반면에 앱체크(AppCheck)의 상황 인식 기반 탐지 엔진은 ─ 방어 능력이 어떠한지를 떠나서 ─ 앞서 언급한 방법과 비교하면 분별력을 갖추었다는 점에서 참으로 우아한 방법이라 말할 수 있겠다.

같은 기능이 후오롱 인터넷 시큐리티에도 있다. 바로 [Custom Rules(사용자 규칙)]이다. 하지만, 후오롱은 V3 Lite나 윈도우 디펜더처럼 특정 폴더를 방어하는 것만 가능한 것이 아니다. 특정 확장자만 (예를 들면 랜섬웨어가 노리는 문서, 사진 등의 확장자) 보호하는 것도 가능하며, 레지스트리 접근에 대한 규칙 설정도 가능하다. 파일, 폴더, 레지스트리에 대한 규칙을 생성할 때 사용자는 네 가지(Create, Read, Modify, Delete) 접근 방법(Action)을 구분해서 설정하므로 유연성도 나쁘지 않다. 이 때문에 랜섬웨어 방어로 설정한 폴더에 접근하려는 프로그램의 허락 여부를 묻는 알림창이 뜨는 횟수도 최소화할 수 있다(V3 Lite보다는 적다).

즉, 후오롱의 [Custom Rules]는 V3 Lite에 있는 [랜섬웨어 보안 폴더]보다는 반半 단계 정도는 진보한 방어 기능이다. 사용자가 일일이 설정해야 한다는 단점이 있지만, 이를 잘 활용하면 익스플로잇(exploit) 같은 취약점 공격이나 랜섬웨어 방어가 훨씬 수월해진다. 또한, 사용자 규칙을 저장하고 불러오는 것이 가능하기 때문에는 여러 사람으로부터 검증 받은 규칙을 사용할 수도 있다. 그래서 후오롱 홈페이지에는 사용자 규칙을 공유하는 [用户规则分享区(사용자 규칙 공유 영역)] 페이지가 따로 있다.

랜섬웨어 방어 테스트 | Huorong Internet Security
<후로롱 포럼엔 사용자 규칙을 공유하는 게시판이 따로 있다>

[用户规则分享区(사용자 규칙 공유 영역)]에는 광고 차단, 해킹 방어, 리그 오브 레전드 최적화, 랜섬웨어 방어, 악성 URL 차단, 윈도우 보호 등 다양한 사용자 규칙이 공유되고 있다. 단 사용자 규칙을 내려받으려면 회원 가입(이메일 필요)이 필요하다.

후오롱 인터넷 시큐리티 Ransim 테스트

위 동영상에서 사용한 사용자 규칙(Ransomware Protection | Extensions)은 후오롱 포럼에서 공유 중인 사용자 규칙을 참고해서 생성한 규칙(다운로드는 아래 링크 참고).

Ransomware Protection | Extensions.json

랜섬웨어 방어 테스트 | Huorong Internet Security
<오늘 테스트에 사용한 'Ransomware Protection | Extensions' 규칙>

• 규칙에 사용할 수 있는 와일드카드 문자

? : 匹配 1 个任意字符 1개의 임의 문자와 일치

* : 匹配 0 到多个任意字符 임의의 문자를 0개 일치(즉 모든 문자)

> : 匹配除 '\' 和 '/' 以外的 0 到多个任意字符 ‘\’와 '/'를 제외한 모든 문자

이 규칙이 Ransim 테스트를 통과할 수 있었던 이유는 랜섬웨어의 작동 원리가 생각보다 단순하기 때문이다.

랜섬웨어의 감염 과정은 원본 파일(문서, 사진 등)을 복사한 다음 파일을 암호화한 뒤 원본 파일을 삭제한다(크립토 랜섬웨어가 이와 같다). 여기서 복사하는 과정이 ‘Create(생성)’ 규칙에 걸린다. Ransim도 원본 파일을 복사 후 암호화하는 과정으로 테스트를 진행하기 때문에 내가 생성한 ‘Ransomware Protection | Extensions‘ 규칙은 Ransim 테스트를 통과할 수 있었다. 하지만, 랜섬웨어가 원본 파일의 확장자만 변경한 다음 암호화를 진행하는 경우는 어떻게 될까? 이럴 땐 ‘Create(생성)’ 규칙은 소용이 없게 된다. 파일 이름을 변경하는 것까지 차단하려면 ‘Delete(삭제)’ Action을 추가해주면 된다.

그러고 보니 ‘Delete(삭제)’ Action 하나만 선택해도 될 것 같다. 지금까지 알려진 랜섬웨어의 마지막 작업은 원본 파일 삭제니까 말이다.

랜섬웨어 방어 테스트 | Huorong Internet Security
<JPG 파일 이름을 변경하려는 순간!>

파일 이름 변경과 삭제가 무슨 상관이 있을까 하고 의아해하는 사람이 있겠지만, 윈도우의 파일 이름 변경 프로세스의 첫 과정은 [파일 삭제]로 시작된다(나 역시 이번 테스트로 알게 된 놀라운 사실이다). 하지만, 여기서 간과하면 안 되는 사실은 윈도우의 파일 삭제는 데이터를 지우는 것이 아니라 데이터를 가리키는 주소만 삭제한다는 것이다. 이런 이유로 삭제한 파일이라도 복구할 수 있고, 원본 파일을 완전히 삭제하지 (흔히 말하는 보안 삭제) 않는 일부 랜섬웨어는 쉽게 복구할 수 있다.

아무튼, 사정이 이러하므로 규칙 설정 중 Action에 ‘Delete(삭제)’까지 선택해주면 파일 이름이 변경되는 것까지 감시할 수 있다.

랜섬웨어를 방어할 수 있는 세 가지 패턴

• 첫 번째는 동영상에서 테스트한 것처럼 랜섬웨어의 목표가 되는 확장자들을 사용자 규칙으로 추가.

• 두 번째는 V3 Lite처럼 랜섬웨어로부터 보호할 폴더를 사용자 규칙에 추가.

• 세 번째는 첫 번째와 두 번째를 결합한 ‘확장자 + 폴더’ 조합(아래 사진 참고).

랜섬웨어 방어 테스트 | Huorong Internet Security
<좀 더 세밀한 규칙을 원하면 '폴더 + 확장자'>

세 번째 방식은 규칙을 생성하는데 가장 많은 노동이 소요되지만, 그 노력만큼 알림창도 가장 적게 뜬다. 두 번째 방식은 중간 정도이고, 첫 번째 방식이 가장 많은 알림창을 띄운다. 하지만, 어떠한 방식이든 어느 정도 학습이 끝나면 더는 괴롭히지 않을 것이다. 그러나 이후에 뜨는 알림창은 정말로 주의하여 봐야 한다.

[Custom Rules]처럼 특정 폴더 및 특정 파일 감시 방식의 랜섬웨어 방어 기능은 앱체크처럼 스스로 판단하지 않고 사용자에게 허용할지, 차단할지를 매번 묻는다. 이때 귀찮더라도 어떤 프로세스가 접근을 요구하는지 확실히 확인해야 한다. 사용자가 잘못 선택하면 랜섬웨어에 걸리기 때문이다.

랜섬웨어 방어 테스트 | Huorong Internet Security
<Verdict 설정은 오직 [Custom Rules]에만 적용된다>

[Verdict Cache]는 [Custom Rules]로 차단되었거나 허용된 프로그램을 별도로 관리하는 곳이다. 또한, 내보낸(Export) [Custom Rules] 파일은 json 포맷으로 저장되기에 텍스트 에디터로 편집할 수 있다.

무료 백신 추천 | 가볍고 심플한 후오롱火绒 인터넷 시큐리티

「무료 백신 | 후오롱 인터넷 시큐리티(绒安全软件) 한국어 패치」

「바이러스 실시간 감시 테스트 | V3 Lite vs Huorong Internet Security」

댓글 4개:

  1. This is an excellent article,I am learning how to make better ransomware defense rules for Huorong Internet Security.

    답글삭제
  2. 세번째 댓글입니다.
    주욱~ 백신 소개 테스트를 정독해 읽고 있습니다.
    후오롱, 어느정도 파악이 되어갑니다.
    무백신으로 7년을 지내다 조카 컴이 바이러스 걸렸다고 맏겨놓고 가서 셋팅 최종적으로 백신을 골라 설치해주는 사이에 제 컴을 마루타 삼아 번거롭지 않고 익히기 쉬운 카스퍼스키프로...로 설치해줬다가 V3IS로 결론지어줬네요.
    예전에 무백신 초기시절 렌섬웨어 걸린 상황을 정리해 올린적도 있었네요..ㅋ
    바이러스 제로 : https://cafe.naver.com/malzero/119529
    [Ransomware Protection | Extensions.json 암호: 2vtw] 이걸 받으려는데 어려워요.
    한국어 패치처럼 따로 쉬운 다운링크를 주실 수 업는지요.
    감사합니다^^

    답글삭제
    답글
    1. https://we.tl/t-Lflj5mlbC3
      어려운 내용은 아니지만, 커스텀 규칙의 작동 원리를 대충이라도 파악한 상태에서 사용하셔야 합니다.

      삭제

댓글은 검토 후 게재됩니다.
본문이나 댓글을 정독하신 후 신중히 작성해주세요