표제지
국문요약
목차
제1장 서론 10
제1절 연구 배경 및 목적 10
제2절 관련연구 분석 12
제2장 본론 14
제1절 DarkSide 랜섬웨어 분석 14
1. DarkSide 랜섬웨어 코드 분석 14
2. DarkSide 랜섬웨어 공격 전술 분석 20
제2절 오픈소스 EDR 솔루션 23
1. 오픈소스 EDR 종류 23
2. GRR(Google Rapid Response) 구성 및 기능 25
제3장 실험 및 분석 28
제1절 GRR을 이용한 랜섬웨어 탐지 실험 28
1. 실험 준비(실험 환경 설치) 28
2. 실험 방법 및 결과 31
제4장 결론 34
참고문헌 35
Abstract 37
[표 1] 전 세계 랜섬웨어 예상 피해 금액 10
[표 2] DarkSide 랜섬웨어 파일 속성 정보 15
[표 3] 암호화가 예외 처리된 언어 목록 18
[표 4] 실험 환경 정보 28
[그림 1] 시스템 라이브러리 호출 15
[그림 2] 문자열 복호화 함수 16
[그림 3] 관리자 권한 획득 과정 16
[그림 4] 시스템 ID 변환 과정 17
[그림 5] 암호화 시작 단계 17
[그림 6] 특정 시스템 언어 예외처리 18
[그림 7] 드라이버 확인 및 파일 암호화 시작 18
[그림 8] 랜섬웨어에 감염된 PC 바탕화면 19
[그림 9] 랜섬노트 정보 19
[그림 10] 공격자에게 노출된 ICS 정보 22
[그림 11] GRR 서버 GUI 화면 25
[그림 12] GRR 클라이언트 정보 화면 26
[그림 13] GRR 서버(x.x.79.136)-클라이언트(x.x.79.128) 통신과정 27
[그림 14] MySQL packet size 변경 29
[그림 15] GRR 서비스 실행 화면 29
[그림 16] GRR 클라이언트 설치 파일 목록 30
[그림 17] GRR 클라이언트 서비스 실행 30
[그림 18] Netstat Flow 실행 결과 31
[그림 19] Wallpaper Registry Flow 실행 결과 32
[그림 20] FileFinder Flow를 이용한 파일 속성 정보 확인 33
[그림 21] 랜섬웨어 감염 후 FileFinder Flow 실행 결과 33