2020/12/27

,

사용 중인 백신 랜섬웨어 방어 능력 테스트

사용 중인 백신 랜섬웨어 방어 능력 테스트 | Ransomware-Maker

Anti-Virus Ransomware Defense Ability Test | Ransomware-Maker
<테스트 중 암호화된 TXT 문서들>

출처: Ransomware-Maker

보안을 중시하는 사용자, 그 중에서 특히 랜섬웨어 방어에 고심하는 사용자를 위한 재미있는 도구를 발견했다. 바로 랜섬웨어를 생성해주는 Ransomware-Maker(랜섬웨어 메이커)다.

컴퓨터에서 사용 중인 백신이나 안티랜섬웨어 같은 보안 프로그램의 랜섬웨어 방어 능력을 점검하는 데는 Ransomware-Maker보다는 랜섬웨어 시뮬레이터인 Ransim이 훨씬 유용하고 믿을만하지만, Ransomware-Maker는 사용자가 직접 랜섬웨어를 생성하고 조작한다는 점에서 재미 삼아서라도 한 번쯤 테스트해볼 만하다. 그 과정에서 랜섬웨어가 어떻게 작동하는지 관찰할 수도 있으므로 나름 유용한 경험이다.

Ransomware-Maker가 생성한 파일은 실제로 파일을 암호화하는 등 작동 방식은 워너크라이 같은 랜섬웨어와 진배없지만, 번개탄 화력이 어떤가 하고 시험하려다가 집을 홀라당 타 먹는 것처럼 Ransomware-Maker로 만든 랜섬웨어로 장난치다가 PC 자료가 모두 오염될 걱정은 안 해도 된다. 그것은 Ransomware-Maker로 만든 랜섬웨어가 실행되는 폴더에 있는 특정 파일(기본값은 ppt, html, pptx)만 암호화하기 때문이다. 고로 Ransomware-Maker로 안전하게 사용 중인 보안 프로그램의 랜섬웨어 방어 테스트를 할 수 있다.

다만, Ransomware-Maker로 랜섬웨어를 제작하려면 리눅스 계열 플랫폼의 표준 컴파일러인 GCC 설치가 필요하다.

Ransomware-Maker로 랜섬웨어 제작

동영상은,

1. Ransomware-Maker로 랜섬웨어 파일 생성하고 실제로 암호화가 되나 확인,

2. 앱체크로 암호화 행위를 차단하는 것,

3. 후오롱 인터넷 시큐리티 [Trusted Zone]에 Unnamed 랜섬웨어를 추가한 다음 [Custom Rules]만으로 암호화 행위를 차단하는 것,

으로 구성되어 있다.

Anti-Virus Ransomware Defense Ability Test | Ransomware-Maker

1. Ransomware-Maker는 GCC 4.x~9.2 버전을 요구한다.

우선 sourceforge의 MinGW - Minimalist GNU for Windows에서 MinGW 설치 매니저 도구를 설치한다.

Anti-Virus Ransomware Defense Ability Test | Ransomware-Maker

2. MinGW 설치 매니저 도구는 윈도우의 프로그램 추가/삭제 같은 도구라 그 자체로는 의미가 없다.

MinGW 설치 매니저 도구를 실행하여 [mingw32-base]와 [mingw32-gcc-g++]를 선택하고 [Installation] -> [Apply Changes]를 클릭하여 앞에서 선택한 두 컴파일러를 설치한다.

Anti-Virus Ransomware Defense Ability Test | Ransomware-Maker

3. 깃허브에서 최신 버전의 Ransomware-Maker(현재 v2.1.pw.virus.7z 추천)를 내려받아 적당한 곳에 압축을 해제하고(압축 암호: virus), makevirus.exe를 실행한다.

그리고 아래 설명을 참고하여 필요한 설정을 완료한다.


조금 전에 설치한 gcc.exe가 있는 경로에 맞게 설정해준다(필수!).

② 파일 암호화에 성공했을 때 표시할 문장 설정.

③ 암호와 암호화된 파일의 확장자 이름 설정.

④ 암호화할 파일의 확장자 설정.

⑤ 설정한 크기 이상의 파일은 암호화하지 않음.

⑥ 最小体积(최소 볼륨)

⑦ 03优化(03 최적화)

⑧ 反勒索诱捕(랜섬웨어 방지 트랩)

└ 跳过搜索到的前|5个文件(입력한 숫자만큼 파일 암호화 건너뛰기)

⑨ 反沙箱(안티 샌드 박스)

Anti-Virus Ransomware Defense Ability Test | Ransomware-Maker

4. 준비가 끝나면 [开始生成(생성 시작)]을 눌러보자. 그러면 ⑩에 다음과 같은 명령이 표시된다.

C:\mingw\bin\gcc.exe -mwindows -s -O3 "C:\Temp\6.c" -o "C:\v2.1.pw.virus\Unnamed1310.exe“

이것을 그대로 복사하여 명령 프롬프트 창에서 실행하면, makevirus.exe가 있는 폴더에 ‘Unnamedxxxx’라는 랜섬웨어가 생성된다.

아마 컴퓨터에 설치된 백신, 안티랜섬웨어 프로그램이 제대로 작동한다면 이 단계에서 경고창을 띄울 것이다.

잠잠하다면, Unnamed 랜섬웨어가 있는 폴더에 아무 ppt, html, pptx 파일을 복사해놓은 다음 실행해보자. 파일이 암호화되던가, 백신이 잡아내던가 둘 중 하나는 일어날 일이다.

안티랜섬웨어 기능 점검

만약 Unnamed 랜섬웨어를 실행하기도 전에 백신의 실시간 보호 기능이 잡아낸다면 재미가 없다.

이번 테스트의 진정한 목적은 랜섬웨어가 파일을 암호화하는 순간을 백신이 잡아낼 수 있는가이다. 이것이 가능해야 어떤 변종에도 대처할 수 있다.

동영상에서 보듯 앱체크 같은 안티랜섬웨어는 백신처럼 랜섬웨어 존재 자체를 막기보다는 랜섬웨어가 파일을 암호화하는 행위를 차단하는 매우 지능적인 프로그램이다.

랜섬웨어 행위를 감지할 수 있는지 테스트해보고자 나 같은 경우는 Ransomware-Maker로 제작한 Unnamed 파일을 후오롱 인터넷 시큐리티(Huorong Internet Security)의 [Trusted Zone]에 추가한 다음 실행했다.

다른 백신 사용자는 실시간 보호 기능을 끄고 테스트해도 된다. 다만, 시그니처 기반(데이터베이스로 멀웨어를 탐지하는)의 무료 백신은 실시간 보호 기능과 안티랜섬웨어 기능이 구분되어 있지 않은 경우가 대부분이라 실시간 보호 기능을 끄고 테스트하면 100% 암호화될 것이다.

Anti-Virus Ransomware Defense Ability Test | Ransomware-Maker
<[Custom Rules]에 의해 차단된 랜섬웨어 행위>

예상대로 [Custom Rules]에 설정된 랜섬웨어 규칙에 딱 걸려들었다.

참고로 Custom Rules는 Huorong Internet Security에만 있는 매우 유용한 기능으로 같은 샘플에 대해서만 진단, 치료하는 시그니처 방식의 실시간 보호 기능이 탐지할 수 없는 변종이나 신종 랜섬웨어 행위를 잡아내는 데 유용하다. 사용 방법은 다음 글 참고 「랜섬웨어 방어 테스트 | Huorong Internet Security」).

오늘 테스트를 통해 실시간 보호 기능(일반적인 안티멀웨어 기능)과 안티랜섬웨어 기능이 독립적으로 작동하는 백신의 장점을 알게 되었다. 실시간 보호 프로세스가 놓치는 랜섬웨어를 [Custom Rules] 같은 안티랜섬웨어 기능으로 방어할 수 있기 때문이다. 이렇게 되면 랜섬웨어에 대한 이중 방어가 가능하다. 고로 가능하다면 별도로 안티랜섬웨어 기능이 추가된 백신을 사용할 것을 추천한다. 만약 이런 기능이 없는 무료 사용자라면, 앱체크 같은 안티랜섬웨어 전용 보안 프로그램이 많은 도움이 될 것이다.

비록 보잘 것 없지만 광고 수익(Ad revenue)은 블로거의 콘텐츠 창작 의욕을 북돋우는 강장제이자 때론 하루하루를 이어주는 즐거움입니다

Share:

댓글 14개:

  1. 바이두 전문가 형님 https://ibb.co/1fz7618

    바이두 pc 프로그램에서 웨이보 연동으로 로그인하면 계속 저러한 화면이 나타나는데 어떠하게 하나요.

    웨이보 어플을 내려받아도 저런 qr 코드를 찍는 데가 없습니다.

    답글삭제
    답글
    1. 예전에는 문서에 적힌 방법으로 웨이보 로그인이 되었는데, 지금은 문자 인증 및 장치수 제한으로 만약 공유 계정 사용 중이라면, 사용하기 어렵습니다.
      그리고 웨이보 인터내셔널이 아닌 중국판 웨이보 앱으로 해보세요.

      삭제
    2. 형님 웨이보 중국판을 구글링해도 다 국제판밖에 없습니다.ㅠㅠ

      삭제
    3. '微博 apk'로 검색해보세요.

      삭제
    4. https://www.apkmirror.com/apk/sina-com/%E5%BE%AE%E5%8D%9A/%E5%BE%AE%E5%8D%9A-10-7-4-release/weibo-%E5%BE%AE%E5%8D%9A-10-7-4-2-android-apk-download/

      그걸 내려받았는데도 qr코드를 찍는 데가 없고 영어로 돼 있습니다.

      삭제
    5. 웨이보 국제판도 QR 코드 잘 됩니다. 스마트폰에 문제가 있는 것 아닐까요?

      삭제
    6. qr코드 항목이 아예 안 보입니다../.

      삭제
    7. 웨이보 계정으로 로그인하면 잘 보이는데, 저도 그 이상은 모르겠군요.

      삭제
    8. 혹시 weibo.intl 어플을 말하는 건가요? 여기가 로그인도 잘되고 qr코드를 찍는 항목도 있는데 정작 찍으면 오류가 나타납니다.

      삭제
    9. 글쎄요. 거기까지 해서 안 되면 뭐 할 수 없죠. 계정 공유 문제 때문에 로그인 보안이 많이 까다롭습니다.

      삭제
  2. 흠흠 형님 이게 https://ibb.co/vQYM8g1 동그라미를 그린 부분

    svip 15일권이 맞나요?

    답글삭제
    답글
    1. WPS라는 오피스 프로그램 사용 쿠폰입니다. 포인트로 교환할 만한 것은 24시간 다운로드 쿠폰뿐입니다.

      삭제
  3. 새로 가입하려고 여기 게시물을 참고했는데 잘되던 텍스트나우도 문자가 안 오고 넥스트플러스는 번호 생성조차 안 됩니다. 넥스트플러스는 대체....이메일을 다 완료했는데 커스터마이즈가 안 보입니다.

    답글삭제
    답글
    1. 그럼 실폰으로 가입해야겠죠. 그런데 전 넥스트플러스가 아니라 텍스트플러스로 가입했고, 최근에도 문자가 잘 왔는데...

      삭제

댓글은 검토 후 게재됩니다.
본문이나 댓글을 정독하신 후 신중히 작성해주세요