요즘 연구자들은 랜섬웨어에 대항하는 강력한 프로그램을 개발하는 꿈을 꿨을 것입니다. 그에 따라 특정 암호 해독 도구도 만들었지 만 불행히도 실제로 랜섬웨어 암호화에 맞서 싸울 수는 없었습니다. 아마도 이것은 도전을 더욱 어렵게 만들고 있습니다. 하지만 결국에는 선이 악을 지배한다는 사실을 상기해야 합니다!
최근 Macworld의 수석 기고가인 Glenn Fleishman은 Mac에서 랜섬웨어 공격을 방지할 수 있을 만큼 강력한 두 가지 응용 프로그램을 내놓았습니다. 이러한 응용 프로그램의 이름은 Santa &Little Flocker입니다. 간단히 말해서 Santa는 악성 앱을 식별하고 Little Flocker는 Mac의 문서를 손상으로부터 보호합니다. 하지만 가장 큰 문제는 어떻게 작동할 것인가입니다.
산타의 일
음, 말 그대로 Mac의 '산타클로스'는 아니지만 비슷하게 보일 수도 있습니다. 많은 Mac에서 작업하는 동안 Google은 모든 블랙리스트에 있는 앱이 Mac에 설치되는 것을 차단하는 애플리케이션인 Santa를 개발할 계획이었습니다.
지금까지 KeyRanger Ransomware라는 변종 하나만이 Mac 보안을 우회했습니다. 당시 Mac은 감염된 버전의 Transmission을 풀다운하고 업데이트된 버전에서 취약점을 수정했습니다. 그러나 이제 연구자들은 어떤 랜섬웨어도 공격을 퍼뜨리지 못하게 하는 완전한 증거 앱을 제공할 준비가 되어 있습니다.
일반적인 맬웨어 방지 프로그램은 실행할 불쾌한 소프트웨어를 식별하고 블랙리스트에 추가합니다. 그러나 프로그램의 "서명" 확인으로 식별된 소프트웨어만 블랙리스트에 올릴 수 있도록 제한됩니다. 서명은 맬웨어 방지 소프트웨어가 프로그래밍되는 고유한 소프트웨어 코드 묶음이며 모든 프로그램에서 불쾌한 동작을 찾아내는 데 도움이 됩니다. 오늘날 맬웨어 작성자는 이를 매우 중요하게 생각하고 서명 확인을 우회하는 데 도움이 되는 수많은 변종을 개발합니다.
하지만 Santa(아직 개발 중인)는 한발 앞서 있습니다. 화이트리스트와 블랙리스트 프로그램을 현명하게 식별하고 결국 데이터베이스를 서버와 동기화합니다. 앱에는 모니터 및 잠금 모드의 두 가지 모드가 있습니다. 모니터 모드에 있을 때 Santa는 Mac에서 실행되는 응용 프로그램에 대한 모든 정보를 기록하지만 일부 특정 블랙리스트 앱만 차단합니다. 앱의 알고리즘인 지문을 기반으로 악성 앱을 식별하고 산타의 바이너리 코드에 위배됩니다. Santa가 이러한 앱을 식별하면 해당 앱이 실행되지 않도록 합니다. 잠금 모드에 있는 동안 신진 앱은 시스템 수준이든 사용자가 실행하든 상관없이 화이트리스트에 있는 앱만 실행하도록 허용합니다. 이 모드는 승인된 개발자 서명으로 승인된 앱도 허용합니다. 이 외에도 잠금 모드를 사용하면 응용 프로그램 또는 시스템 폴더에 설치되지 않은 소프트웨어가 실행되는 것을 방지하기 위해 디렉토리를 블랙리스트에 올릴 수 있습니다.
이 두 가지 모드 중 개발팀에서는 앱을 잠시 동안 모니터 모드로 실행하고 일상적인 앱 사용을 관찰할 것을 제안합니다. 알고 나면 허용된 앱 목록을 만들고 잠금 모드로 전환할 수 있습니다.
Little Flocker 출시 예정…
역겨운 소프트웨어를 차단하려는 Google의 시작이 충분하지 않다면 Little Flocker가 함께 할 것입니다. 이 응용 프로그램은 보안 연구원 Jonathan Zdziarski의 작업 결과이며 현재 베타 테스트 중입니다. Litlle Flocker는 보다 광범위한 시스템 동작 분석기이자 불쾌한 앱 차단기입니다. 모든 응용 프로그램을 면밀히 검사하고 제한되지 않은 응용 프로그램이 파일을 수정하거나 삭제하도록 제한합니다. Littler Flocker는 사용자가 수정한 모든 파일 대신 폴더 계층 구조의 하위 집합에서 앱에 대한 액세스를 승인합니다. 이는 기본적으로 알려진 앱이 손상되지 않도록 보호하는 데 도움이 되며 새로운 앱이 사용자 모르게 Mac의 모든 파일에 갑자기 액세스할 수 있는 방법을 중단합니다.
현재 Mac을 보호하는 역할을 하는 많은 맬웨어 방지 소프트웨어는 인바운드 및 아웃바운드 모두에서 승인되지 않은 네트워크 활동만 모니터링하거나 차단합니다. 이것은 많은 맬웨어 프로그램이 원격으로 파일에 대한 액세스 권한을 얻고 범죄자에게 유출하려고 하기 때문에 발생합니다. 그러나 Little Flocker는 모든 애플리케이션을 예리하게 주시하고 어떠한 취약점도 허용하지 않습니다.
지금까지 Apple은 컴퓨터에 대한 높은 보호 수준을 유지해왔으므로 사용자는 상당히 안전하게 유지되었습니다. Santa와 Little Flocker가 높게 추가될 예정이지만 불행히도 Ransomware 사기꾼의 주요 목표인 Windows용으로 만들어진 애플리케이션은 없습니다. Google, Zdziarski 또는 기타 연구원 및 개발자가 Windows용 랜섬웨어를 확실하게 예방하고 이 악순환이 확산되는 것을 막기를 바랍니다!