내 컴퓨터를 악성코드 분석 샌드박스처럼 보이게 만들면, 악성코드 대부분이 분석을 피하기 위해 종료한다는 이야기인데, 이런 건 고양이와 쥐의 게임이라는 느낌
요즘 윈도우 서버는 대부분 가상화 환경에서 돌아가기 때문에 예전만큼 효과적이지 않을 수도 있다는 생각, 그래도 다른 지표를 고려할 수도 있다는 이야기
펌웨어에 VirtualBox 문자열을 넣는 장난스러운 제안
이 내용은 예전 다른 Hacker News 글에서도 언급된 적이 있는데, 여기 링크에서 나왔다는 이야기
이제 각 워크스테이션에 Ghidra를 설치해야 하지 않겠냐는 농담
‘내 컴퓨터를 샌드박스로 위장하면 많은 악성코드가 분석을 피하기 위해 종료한다’는 주장에 대해, 이건 완전히 다른 걱정이라는 반박. 러시아어 입력기가 설치돼 있으면, 악성코드가 법적 위험을 피하려고 종료한다는 점을 강조
랜섬웨어 Patya나 Fancy Bear, Cozy Bear, Conti 같은 그룹에 대해 이런 방식(러시아 키보드 감지)이 실제로 효과가 있었다는 증거가 많다는 의견, 러시아 정부가 자국민을 겨냥하지 않는 한 면책을 보장한다는 점이 큰 이유
또, 공격자들에게 자신이 러시아인이거나 러시아어로 대화하면 시스템을 무료로 복호화해주는 경우도 있다는 이야기
‘러시아인임을 밝히면 무료 복호화’가 AI 번역 시대에 어떻게 적용되는지 궁금함을 표현, 과거 러시아 쉐어웨어 개발자가 러시아인에게 무료로 라이선스를 주던 사례도 떠오른다는 코멘트
러시아 해커 그룹은 ‘자기 집안에 피해 주지 않기(don’t piss inside the tent)’ 정책을 매우 잘 알고 있고 모두가 이해하고 있다는 점 강조
현실은 그렇게 간단치 않을 수 있다는 지적, 러시아인은 어디에나 있고 피해 기업에도 근무할 수 있는데, 몸값이 수백만 달러일 경우 단순히 러시아인이라고 해서 풀어주지는 않을 것이라는 생각, 진짜 러시아 소유임을 설득하거나 ‘우리 아버지가 FSB에 근무한다’ 등 증거가 필요하다는 이야기
00년대 후반 기술에 약한 친구들의 컴퓨터에서 ‘winlocker’를 지우던 러시아인이 직접 겪은 경험을 공유, 이 악성코드들은 단순히 파일을 암호화하지 않고 닫을 수 없는 창을 띄워 돈을 요구했으며, ‘성인 웹사이트 퀵 액세스 위젯 감사합니다’처럼 우스운 문구도 있었다는 흥미로운 추억
키릴 키보드를 활성화한 시스템만을 노리는 악성코드가 당연히 있을 것 같다며, 러시아어 환경 여부도 공격자가 체크하는 포인트임을 암시
윈도우에서 최고의 안티멀웨어 방법은 일상적으로 쓰는 기본 계정을 관리자 권한이 아닌 일반 계정으로 만드는 것이라는 팁 공유
별도로 로컬 관리자 계정을 만들고 다른 비밀번호를 사용해야 하며, 소프트웨어 설치나 powershell 실행 등 관리 작업이 필요하면 별도의 관리자 인증이 필요해서 suspicious한 팝업이 뜨면 뭔가 잘못됐다는 신호가 된다는 설명
일반 계정은 평범한(하지만 짧지 않은) 비밀번호를 쓸 수 있고, 관리자 계정엔 복잡한 비밀번호를 쓸 수 있어 특히 IT 지식이 없는 가족들에게 추천한다는 의견
관리자 권한이 없어도 악성코드는 많은 일을 할 수 있고, 사용자가 가진 파일시스템에 접근하거나 인터넷 연결하는 데는 별다른 제약이 없기 때문에, 이런 권한 분리가 데이터 유출, 랜섬웨어, 데이터 파괴 등을 막아주지는 못한다는 지적
2000년대 초부터 2012년까지는 동의하지만, 비스타 이후 UAC에 맞춰 악성코드가 진화해서 일반 계정으로도 충분히 동작하게 됐으므로 관리자 권한이 없다고 해서 데이터 보호에 도움이 되지는 않는다는 설명, 가장 민감한 작업(주로 금융)을 별도의 물리적 컴퓨터에서 하거나 Windows에서 사용자 계정 분리로 데이터 격리를 시도할 수 있다는 사례 공유, Qubes OS 같은 강력한 격리형 OS를 쓰고 싶지만 아직 배우지 못했다는 개인적 의견
결국 사용자의 설명은 Windows Vista 이후 User Account Control(UAC)이 기본적으로 적용해온 방식과 동일하다는 요약
조직 범죄의 랜섬웨어 공격은 대부분 민간인보다는 기업체가 주 표적이기 때문에, 개인이 아닌 기업 환경에서 랜섬웨어를 더 많이 접하게 된다는 의견. Petya 랜섬웨어를 예시로 들며, 일반 사용자 권한만 있어도 내부적으로 네트워크 내의 관리자 세션을 탈취하거나 도메인 관리자 권한을 획득할 수 있는 시나리오 언급, 관리자 권한 없이도 데이터를 삭제·암호화하거나 악성코드를 숨길 수 있으며, 소프트웨어에 번들로 포함된 악성코드는 사용자가 직접 설치할 수 있다는 여러 현실적인 접근 방법 설명
xkcd 1200 만화 링크와 함께, 여러 사람이 쓰는 컴퓨터에서는 계정 분리가 의미 있지만 대부분 단일 사용자인 경우에는 관리자 권한 분리의 실효성이 제한적이라는 요지, 현실적으로 개인 PC에서 관리 권한 분리는 해킹 방지에 큰 도움을 주지 않는다는 결론
2021년 Brian Krebs가 이 내용을 공개한 뒤에도 여전히 이런 방식이 통하는지 궁금증
러시아와 북한은 랜섬웨어를 합법적 경제 활동으로 간주하고 있으며, 하이브리드 전쟁 전략의 일부로 계속 이어질 것이라는 주장
기본적으로 법적·수사상의 문제이다 보니 러시아 정부를 건드리지 않으면 서로 건드리지 않는다는 룰이 있다는 설명, 러시아보다 미국이 훨씬 더 약탈의 표적이 되는 시장임을 강조, 미국 내 비즈니스 이메일 사기(BEC)가 2024년에만 27억 달러 피해를 냈다는 FBI 통계와, 자신이 담당한 케이스에서 중국 위협 행위자가 미국 회사에 직원을 위장해 입사하고 수만 달러 상당의 내부 직원 할인 혜택을 가로채 100만 달러 손실을 낸 사례를 공유
Hacker News 의견
내 컴퓨터를 악성코드 분석 샌드박스처럼 보이게 만들면, 악성코드 대부분이 분석을 피하기 위해 종료한다는 이야기인데, 이런 건 고양이와 쥐의 게임이라는 느낌
랜섬웨어 Patya나 Fancy Bear, Cozy Bear, Conti 같은 그룹에 대해 이런 방식(러시아 키보드 감지)이 실제로 효과가 있었다는 증거가 많다는 의견, 러시아 정부가 자국민을 겨냥하지 않는 한 면책을 보장한다는 점이 큰 이유
또, 공격자들에게 자신이 러시아인이거나 러시아어로 대화하면 시스템을 무료로 복호화해주는 경우도 있다는 이야기
00년대 후반 기술에 약한 친구들의 컴퓨터에서 ‘winlocker’를 지우던 러시아인이 직접 겪은 경험을 공유, 이 악성코드들은 단순히 파일을 암호화하지 않고 닫을 수 없는 창을 띄워 돈을 요구했으며, ‘성인 웹사이트 퀵 액세스 위젯 감사합니다’처럼 우스운 문구도 있었다는 흥미로운 추억
키릴 키보드를 활성화한 시스템만을 노리는 악성코드가 당연히 있을 것 같다며, 러시아어 환경 여부도 공격자가 체크하는 포인트임을 암시
윈도우에서 최고의 안티멀웨어 방법은 일상적으로 쓰는 기본 계정을 관리자 권한이 아닌 일반 계정으로 만드는 것이라는 팁 공유 별도로 로컬 관리자 계정을 만들고 다른 비밀번호를 사용해야 하며, 소프트웨어 설치나 powershell 실행 등 관리 작업이 필요하면 별도의 관리자 인증이 필요해서 suspicious한 팝업이 뜨면 뭔가 잘못됐다는 신호가 된다는 설명 일반 계정은 평범한(하지만 짧지 않은) 비밀번호를 쓸 수 있고, 관리자 계정엔 복잡한 비밀번호를 쓸 수 있어 특히 IT 지식이 없는 가족들에게 추천한다는 의견
2021년 Brian Krebs가 이 내용을 공개한 뒤에도 여전히 이런 방식이 통하는지 궁금증
제목 자체가 웃기다는 한마디, 대부분의 랜섬웨어가 러시아발이라는 전제가 자연스럽게 느껴진다는 뉘앙스
러시아 키보드가 존재하면 NSA 악성코드한테 더 매력적일 수도 있다는 생각
2021이라는 단어만 남긴 짧은 메시지
키보드 레이아웃뿐 아니라, 시간이 바뀌면 타임존이나 다양한 정보도 함께 체크할지 궁금증