사용 중인 백신 랜섬웨어 방어 능력 테스트

사용 중인 백신 랜섬웨어 방어 능력 테스트 | Ransomware-Maker

<테스트 중 암호화된 TXT 문서들>

출처: Ransomware-Maker

보안을 중시하는 사용자, 그 중에서 특히 랜섬웨어 방어에 고심하는 사용자를 위한 재미있는 도구를 발견했다. 바로 랜섬웨어를 생성해주는 Ransomware-Maker(랜섬웨어 메이커)다.

컴퓨터에서 사용 중인 백신이나 안티랜섬웨어 같은 보안 프로그램의 랜섬웨어 방어 능력을 점검하는 데는 Ransomware-Maker보다는 랜섬웨어 시뮬레이터인 Ransim이 훨씬 유용하고 믿을만하지만, Ransomware-Maker는 사용자가 직접 랜섬웨어를 생성하고 조작한다는 점에서 재미 삼아서라도 한 번쯤 테스트해볼 만하다. 그 과정에서 랜섬웨어가 어떻게 작동하는지 관찰할 수도 있으므로 나름 유용한 경험이다.

Ransomware-Maker가 생성한 파일은 실제로 파일을 암호화하는 등 작동 방식은 워너크라이 같은 랜섬웨어와 진배없지만, 번개탄 화력이 어떤가 하고 시험하려다가 집을 홀라당 타 먹는 것처럼 Ransomware-Maker로 만든 랜섬웨어로 장난치다가 PC 자료가 모두 오염될 걱정은 안 해도 된다. 그것은 Ransomware-Maker로 만든 랜섬웨어가 실행되는 폴더에 있는 특정 파일(기본값은 ppt, html, pptx)만 암호화하기 때문이다. 고로 Ransomware-Maker로 안전하게 사용 중인 보안 프로그램의 랜섬웨어 방어 테스트를 할 수 있다.

다만, Ransomware-Maker로 랜섬웨어를 제작하려면 리눅스 계열 플랫폼의 표준 컴파일러인 GCC 설치가 필요하다.

Ransomware-Maker로 랜섬웨어 제작

동영상은,

1. Ransomware-Maker로 랜섬웨어 파일 생성하고 실제로 암호화가 되나 확인,

2. 앱체크로 암호화 행위를 차단하는 것,

3. 후오롱 인터넷 시큐리티 [Trusted Zone]에 Unnamed 랜섬웨어를 추가한 다음 [Custom Rules]만으로 암호화 행위를 차단하는 것,

으로 구성되어 있다.

1. Ransomware-Maker는 GCC 4.x~9.2 버전을 요구한다.

우선 sourceforge의 MinGW - Minimalist GNU for Windows에서 MinGW 설치 매니저 도구를 설치한다.

2. MinGW 설치 매니저 도구는 윈도우의 프로그램 추가/삭제 같은 도구라 그 자체로는 의미가 없다.

MinGW 설치 매니저 도구를 실행하여 [mingw32-base]와 [mingw32-gcc-g++]를 선택하고 [Installation] -> [Apply Changes]를 클릭하여 앞에서 선택한 두 컴파일러를 설치한다.

3. 깃허브에서 최신 버전의 Ransomware-Maker(현재 v2.1.pw.virus.7z 추천)를 내려받아 적당한 곳에 압축을 해제하고(압축 암호: virus), makevirus.exe를 실행한다.

그리고 아래 설명을 참고하여 필요한 설정을 완료한다.

---

① 조금 전에 설치한 gcc.exe가 있는 경로에 맞게 설정해준다(필수!).

② 파일 암호화에 성공했을 때 표시할 문장 설정.

③ 암호와 암호화된 파일의 확장자 이름 설정.

④ 암호화할 파일의 확장자 설정.

⑤ 설정한 크기 이상의 파일은 암호화하지 않음.

⑥ 最小体积(최소 볼륨)

⑦ 03优化(03 최적화)

⑧ 反勒索诱捕(랜섬웨어 방지 트랩)

└ 跳过搜索到的前|5个文件(입력한 숫자만큼 파일 암호화 건너뛰기)

⑨ 反沙箱(안티 샌드 박스)

4. 준비가 끝나면 [开始生成(생성 시작)]을 눌러보자. 그러면 ⑩에 다음과 같은 명령이 표시된다.

C:\mingw\bin\gcc.exe -mwindows -s -O3 "C:\Temp\6.c" -o "C:\v2.1.pw.virus\Unnamed1310.exe“

이것을 그대로 복사하여 명령 프롬프트 창에서 실행하면, makevirus.exe가 있는 폴더에 ‘Unnamedxxxx’라는 랜섬웨어가 생성된다.

아마 컴퓨터에 설치된 백신, 안티랜섬웨어 프로그램이 제대로 작동한다면 이 단계에서 경고창을 띄울 것이다.

잠잠하다면, Unnamed 랜섬웨어가 있는 폴더에 아무 ppt, html, pptx 파일을 복사해놓은 다음 실행해보자. 파일이 암호화되던가, 백신이 잡아내던가 둘 중 하나는 일어날 일이다.

안티랜섬웨어 기능 점검

만약 Unnamed 랜섬웨어를 실행하기도 전에 백신의 실시간 보호 기능이 잡아낸다면 재미가 없다.

이번 테스트의 진정한 목적은 랜섬웨어가 파일을 암호화하는 순간을 백신이 잡아낼 수 있는가이다. 이것이 가능해야 어떤 변종에도 대처할 수 있다.

동영상에서 보듯 앱체크 같은 안티랜섬웨어는 백신처럼 랜섬웨어 존재 자체를 막기보다는 랜섬웨어가 파일을 암호화하는 행위를 차단하는 매우 지능적인 프로그램이다.

랜섬웨어 행위를 감지할 수 있는지 테스트해보고자 나 같은 경우는 Ransomware-Maker로 제작한 Unnamed 파일을 후오롱 인터넷 시큐리티(Huorong Internet Security)의 [Trusted Zone]에 추가한 다음 실행했다.

다른 백신 사용자는 실시간 보호 기능을 끄고 테스트해도 된다. 다만, 시그니처 기반(데이터베이스로 멀웨어를 탐지하는)의 무료 백신은 실시간 보호 기능과 안티랜섬웨어 기능이 구분되어 있지 않은 경우가 대부분이라 실시간 보호 기능을 끄고 테스트하면 100% 암호화될 것이다.

<[Custom Rules]에 의해 차단된 랜섬웨어 행위>

예상대로 [Custom Rules]에 설정된 랜섬웨어 규칙에 딱 걸려들었다.

참고로 Custom Rules는 Huorong Internet Security에만 있는 매우 유용한 기능으로 같은 샘플에 대해서만 진단, 치료하는 시그니처 방식의 실시간 보호 기능이 탐지할 수 없는 변종이나 신종 랜섬웨어 행위를 잡아내는 데 유용하다. 사용 방법은 다음 글 참고 「랜섬웨어 방어 테스트 | Huorong Internet Security」).

오늘 테스트를 통해 실시간 보호 기능(일반적인 안티멀웨어 기능)과 안티랜섬웨어 기능이 독립적으로 작동하는 백신의 장점을 알게 되었다. 실시간 보호 프로세스가 놓치는 랜섬웨어를 [Custom Rules] 같은 안티랜섬웨어 기능으로 방어할 수 있기 때문이다. 이렇게 되면 랜섬웨어에 대한 이중 방어가 가능하다. 고로 가능하다면 별도로 안티랜섬웨어 기능이 추가된 백신을 사용할 것을 추천한다. 만약 이런 기능이 없는 무료 사용자라면, 앱체크 같은 안티랜섬웨어 전용 보안 프로그램이 많은 도움이 될 것이다.

비록 보잘 것 없지만 광고 수익(Ad revenue)은 블로거의 콘텐츠 창작 의욕을 북돋우는 강장제이자 때론 하루하루를 이어주는 즐거움입니다