최근 2~3년간 서버 및 PC 에 가장 많은 문제를 발생시킨 악성코드는 랜섬웨어입니다. 다들 알고 있는 랜섬웨어는 감염 즉시 서버의 모든 데이터를 암호화 시키거나, 시스템 부트 영역을 감염시켜 단 시간내에 시스템을 사용할 수 없도록 하는 최악의 악성 코드 입니다.

흔히 랜섬웨어를 예방하기 위한 가이드로 백업을 반드시 하라고 하는데, 백업서버의 백업데이터가 암호화 된다면 정말 최악의 시나리오가 될 수 있습니다.  이러한 문제를 해결하기 위해 아크로니스 백업의 최신 버전 12.5에서  Active Protection 이라는 기능이 추가되었습니다.

저희 아이비인포텍은 아크로니스 파트너사로서 해당 기능이 어느정도 효용성을 가지고 있는지를 직접 테스트하였고, 해당 결과를 공유 합니다.

 

Acronis Backup(아크로니스 백업) 12.5  - What is the Active Protection ?

Acronis Active Protection 은 랜섬웨어로부터 시스템을 보호하는 솔루션입니다. 또한 이 기술은 컴퓨터의 모든 유형의 데이터 (문서, Acronis 백업 파일 등)를 적극적으로 보호합니다.

자체 보호 (Self-Protection)
Active Protection은 강력한 자체 보호 메커니즘을 구현하여 Acronis의 프로세스, 마스터 부트 레코드, 백업 파일,구성 파일, 실행 파일 및 레지스트리 레코드에 대한 무단 변경을 방지합니다. 이러한 보호 기능으로 Windows 시스템 전체 랜섬웨어 감염시에도 Acronis Backup 솔루션 및 Backup 데이터는 정상 작동 및 복구가 가능합니다.

랜섬웨어 탐지 및 차단
Active Protection은 보호되는 머신에서 실행 중인 프로세스를 모니터링하여 맬웨어를 검색할 수 있습니다. 동작 추론 기법을 사용하여 Acronis데이터베이스에 기록된 이벤트 체인과 프로세스에서 수행된 작업 체인을 비교합니다.
이 접근법을 통해 악성 프로세스에서 파일 암호화를 시도하면Acronis는 경보를 생성하고, 프로세스 감지에 대한 작업을 수행합니다.

"프로세스 감지에 대한 작업
- 레벨 설정" 알리기만 함(기본값)  :  프로세스에 대한 경보를 생성합니다.
- 프로세스 중지 : 경보를 생성하고 프로세스를 중지합니다
- 캐시를 사용해 되돌림 : 경보를 생성하고 프로세스를 중지하고 서비스 캐시를 사용해 파일 변경 사항을 되돌립니다  

Self-Protection (자체 보호 기능)

Acronis Self-Protection 기능을 테스트 하기 위한 시나리오는 아래와 같습니다.
- 리눅스 시스템에서 Acronis 중앙관리 서버 취약점을 공격하여 Admin 권한 탈취
- 해당 권한 획득 후 시스템 로그인
- 백업 시스템 무력화를 위한 Acronis 백업 파일 , 설정파일 삭제 및 프로세스 강제종료  

1. 아래 보시는 캡쳐 화면은 Kali Linux라는 보안취약점 테스트용 OS 에서 metasploit이라는 툴을 사용하여 윈도우 서버 접근 및 Admin 권한 탈취 후 실제 서버 정보를 확인 한 내용입니다.              

2. 이후 Acronis 백업 저장소 위치로 폴더 이동 후 해당 백업 파일을 확인 합니다  
3. Active Protection의 자체 보호기능을 OFF 한 상태에서 백업파일을 삭제해보겠습니다                        
4. 자체 보호 기능을 OFF한 상태에서는외부 침입에 의한 파일 삭제 명령어가 제대로 입력되어 현재 백업 파일이 삭제된 상태입니다  
5. Active Protection 의 자체 보호 기능을 활성화시킨 후 다시 삭제를 해 보겠습니다.                        
6. 자체 보호 기능을 ON한 상태에서는 외부 침입에 의한 백업 파일 삭제 명령어가 액세스 거부에 의해서 삭제가 불가능합니다. 
7. Program Files 내의 Acronis관련 폴더, 파일들 또한 액세스가 거부되어 삭제가 불가능합니다.    

8. 이번에는 Acronis의 레지스트리 파일을 강제로 삭제해보려고 시도 해보았지만 역시 액세스가 거부되면서 삭제가 불가능한 모습을 확인 할 수 있었습니다.      

9. 자체 보호 기능을 관리하는Active Protection의 액세스 권한 탈취와 프로세스를 강제 종료 시키는 것 또한 액세스가 거부 되는 화면입니다.
.        

10. Acronis 관련 모든 프로세스 또한 액세스 거부가 되는 것을 확인 하였습니다.
Acronis Backup의 Self-Protection 기능은 위에서 본 바와 같이, 백업 및 복구에 반드시 필요한 필수 구성 요소 및 백업 데이터 파일을 보호 하여 어떠한 상황에서도 관리콘솔을 구동 및 복구를 할 수 있습니다.  

 

랜섬웨어 감지 및 차단

Active Protection 랜섬웨어 감지 및 차단 기능을 테스트 하기 위한 시나리오는 아래와 같습니다.
- 랜섬웨어 시뮬레이터(RanSim)를 이용한 랜섬웨어 감지 테스트
- 실제 랜섬웨어(Cerber) 파일을 이용하여 랜섬웨어 감염 및 차단 테스트
- 랜섬웨어로 인해 시스템 및 DATA 전체 감염 상태에서 백업 파일을 이용한 복구 테스트

먼저, 랜섬웨어 취약점을 테스트 할 수 있는 프로그램인 RanSim이라는 어플리케이션을 사용하여 Active protection기능이 ON / OFF 되어있는 상태에서 테스트를 한 결과를 설명드리겠습니다.  

Active Protection 적용 전	Active Protection 적용 후
15개의 시나리오 중, 13가지 공격에 대해 취약하다는 리포트를 보여줍니다	15개의 시나리오 중, 3가지에 취약하다는 리포트를 보입니다

위의 테스트 결과와 같이 Active Protection은, 랜섬웨어가 감염될 수 있는 다양한 경로를 모니터링 및 차단을 할 수 있는 보호 기능을 가지고 있음을 확인 할 수 있습니다.  

Active Protection이 활성화 된 후 백업 관리 콘솔을 확인하면 랜섬웨어가 감지되었다는 알림이 발생되었고, 프로세스 감지에 대한 작업에 따라 조치가 된 것이 확인 가능합니다.

위의 로그는 랜섬웨어가 감지되었고, 일부 파일은 악성 암호화가 진행 되었으나 아크로니스 보호영역의 캐시에 저장된 원본 데이터로 정상 복구가 되었다는 것을 보여 줍니다.  


이번에는 실제 랜섬웨어인 Cerber을 실제 서버에 감염 시키고 시스템 전체가 악성 암호화 된 상태에서의 백업 파일 자체 보호 기능 테스트를 해 보도록 하겠습니다. 1. 아래의 이미지는 랜섬웨어 차단 기능은 Off되어있고 자체 보호 기능만 On 되어있는 상태입니다.  

2. 아래 이미지는 케르베르 랜섬웨어에 감염되어 서버 전체에 퍼져버린 상황입니다. 시스템 전체에 감염이 되어 있음을 알리는 경고 메시지가 노출되고, 모든 파일은 암호화 되어 잠겨 있는 것을 확인 하실 수 있습니다.  

3. 랜섬웨어에 감염된 상태일지라도 백업 파일은 감염이 되지 않은 것을 확인할 수 있고, 백업 본 내의 백업된 파일들 역시 감염이 되지않았고, 파일 단위 복구가 되어Data 열람이 가능한 것이 확인 되었습니다.  

4. 해당 백업파일을 이용해 시스템 복구까지 가능한 부분 또한 확인 되었습니다  

 

테스트 수행 결과 정리

Acronis Backup 12.5는 기존 11.7 버전 대비하여 내부 아키텍처에 많은 변화와 기능 개선이 이루어진 제품입니다. 기존에 Windows 에 종속적이었던 중앙관리서버 기능은 Web 콘솔로 변화되어 리눅스 및 윈도우 OS를 포괄적으로 선택이 가능하게 되었고, 블록체인 기술이 적용하여 백업데이터의 변조를 방지함으로써 백업본의 신뢰도를 크게 향상 시켰습니다. 마지막으로 Active Protection의 지능화된 랜섬웨어 탐지 기법은 알려진 악성코드 뿐만 아니라, 지능적인 학습 능력 및 탐지 기술로 새로운 랜섬웨어 또한 행동 패턴을 분석 및 차단이 가능하여 타사 경쟁 백업 솔루션보다 백업 서버 자체를 보호 및 백업데이터를 보다 완벽하게 보호 할 수 있어, 최악의 상황에서도 백업 및 복구를 수행 할 수 있는 솔루션이라고 생각 됩니다.

https://www.youtube.com/watch?v=gr1If2vE5Qs&feature=youtu.be 
상기 테스트이 전체 내용은 위의 유튜브 동영상에서 확인 하실 수 있습니다. 감사합니다.

아이비인포텍㈜ 채용훈 대리

[출처] http://www.ibinfo.co.kr/ab12-%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4-%ED%85%8C%EC%8A%A4%ED%8A%B8