ac8ae38bc48187a88085c853d84귀먹은

최근 사이버보안연구원은 랜섬웨어 공격자가 온라인과 웹서버 인프라가 호스팅되는 위치를 은폐하기 위해 취하는 다양한 조치를 자세히 설명했다.

시스코탈로스社 연구원 Paul Eubanks는 “대부분의 랜섬웨어 운영자는 랜섬웨어가 운영하는 웹사이트를 호스팅하기 위해 스웨덴, 독일, 싱가포르 등 외부 호스팅 제공업체를 사용한다. 그리고 랜섬웨어 네트워크 인프라에 연결하여 원격 관리 작업을 수행할 때 VPS 홉을 프록시로 사용하여 실제 위치를 숨긴다.

랜섬웨어 그룹은 훔친 데이터 노출에서 피해자와의 지불 협상에 이르기까지 불법 활동을 숨기기 위해 다크웹에 의존하는 것으로 알려져있다. 탈로스는 “해커 인프라가 다크웹에서 호스팅하는 동일한 공용 IP 주소를 식별할 수 있었다”고 밝혔다.

이와 관련 Eubanks는 공용 IP를 식별하는 데 사용하는 방법에는 위협행위자의 [자체 서명된] TLS 인증서 일련 번호 및 페이지 요소를 공용 인터넷과 일치시키는 것이 포함된다고 밝혔다. 이후 공격자가 네트워크 인프라를 지우는 방법으로 쇼단과 같은 웹 크롤러를 사용하여 다크웹에서 관련된 아이콘을 확인하는 것이 있다.

[출처 : 中보안매체 / 7.6.]