Information

이지시큐 정보센터

에레보스(Erebus), UAC 보안기능 우회하여 권한 상승, 복원 기능 비활성화

최신동향
작성자
이지시큐
작성일
2017-02-20 22:28
조회
228
저렴한 복구비용으로 피해자를 유혹하는 랜섬웨어가 나왔다. 보안전문기업 하우리(대표 김희천)는 최근 복구비용으로 10만원을 요구하는 에레보스 랜섬웨어가 발견되어 PC 사용자들의 주의가 요구된다고 밝혔다.

‘에레보스(Erebus)’ 랜섬웨어는 윈도우 이벤트 뷰어를 이용한 ‘사용자 계정 제어(UAC) 보안 기능’ 우회 기법을 활용해 PC에서 상승된 권한으로 실행된다. 레지스트리를 수정해 ‘.msc’ 확장명에 대한 연결을 하이재킹하고, 이를 통해 상승모드에서 실행된 이벤트 뷰어의 권한에 따라 실행된다.

랜섬웨어는 추적을 어렵게 하기 위해 스스로 ‘익명(Tor) 브라우저 클라이언트’를 다운받아 네트워크 통신에 사용한다. 사용자 PC에 존재하는 70개의 확장자를 포함하는 주요 파일들에 대해 암호화를 수행한다. 또한, ‘ROT-3’ 암호화 방식을 사용해 파일 확장자를 변경한다. 암호화가 완료되면, 경고창을 띄우고 랜섬웨어 감염 노트를 보여준다.

...(하략)...

출처 : 보안뉴스(http://www.boannews.com/media/view.asp?idx=53511&page=2&kind=1)
error: Content is protected !!