안랩 v3와 랜섬웨어 갠드크랩의 공방전을 다룬 글입니다.(상세 내용은 PDF에 있습니다.)
대충 요약하면
안랩은 갠드크랩 제작자가 숨겨둔 랜섬웨어 작동 중지 코드를 찾아내 배포합니다.
악성코드 제작자는 소스 코드에 안랩 욕을 하며 V3를 공격합니다.
악성코드 제작자는 안랩 V3에 이상한 집착을 합니다.
1. v3 제거를 물어보는 창을 숨기고 자동으로 클릭해 사용자 몰래 삭제하는 기능을 넣음(v3, 윈도 디펜더, avast 백신 삭제기능 추가)
2. denial-of-service (DOS)공격 코드를 깃헙에 공개, 또한 뉴스 사이트와 접촉해 v3를 무력화 시킬거라고 예고함
악성코드 제작자 : 안랩 명성에 구멍을 내줄 악성코드를 받아라. 이걸로 너(안랩)과 나의 점수는 1:1이다.
3. 랜섬웨어 실행시 v3 유무를 확인하고 v3가 있으면 v3전용 공격을 실시
https://asec.ahnlab.com/1219 (v3에 악성코드 인젝션 시도)
https://asec.ahnlab.com/1230 (v3 사용시 UAC 권한 창을 100 회 물어봄, 한번이라도 예를 누르면 감염)
갠드크랩 제작자는 돈을 벌만큼 벌었다며 사라집니다.
--------------------------------
갠드크랩이 사용자 몰래 v3를 제거하는것을 막기위해 캡챠를 도입하게 되었습니다.
(IP보기클릭)210.91.***.***
러시아인. 안랩을 주로 욕한건 안랩이 킬스위치를 발견해서 백신을 만들어 배포했기 때문
(IP보기클릭)61.74.***.***
캡챠 보고 어이 없었는데 저런 이유가..
(IP보기클릭)121.189.***.***
본문보다 댓글들이 참... 확인도 안된 편견으로 글 한줄 찍 쓰는 그런 에휴... 뭐뭐일듯 해놓고 아니면 말고식
(IP보기클릭)125.176.***.***
개색히는 끝까지 개색히네. 자기 나쁜짓 하는거 방해했다고 보복하는게... 죽으면 지옥갈 상이다
(IP보기클릭)121.165.***.***
공공기관에 납품하려면 CC인증을 받아야 합니다. 백신이 강제종료 당하면 인증을 받을수 없습니다. 작업관리자로 강제 종료 당하면 공공기관에 납품을 할수 없습니다.
(IP보기클릭)121.165.***.***
피자맛치즈
결국 방어를 못해서 캡챠가 생긴거 ㅜㅜ | 20.01.05 00:07 | | |
(IP보기클릭)121.165.***.***
방어한건 맞습니다. 캡챠를 도입한 이후 갠드크랩은 v3 삭제기능을 제거했거든요. 만약 방어를 못했다면 캡차도 우회하고 v3가 삭제되었을겁니다. 갠드크랩은 이후 v3 삭제를 포기하고 방해하는쪽으로 방향을 바꿉니다. | 20.01.05 00:15 | | |
(IP보기클릭)223.38.***.***
캡챠 생기기 이전에 방어를 못한거 맞잖음? 생긴 이후로 방어해서 v3 삭제기능 제거한거구 | 20.01.05 08:07 | | |
(IP보기클릭)223.62.***.***
이전에 시도한 방식이 1. 뜬금없이 v3 삭제창이 뜨고 사용자가 실수로 예를 누르게 유도하는 방식 2. 삭제창을 숨기고 자동으로 예를 클릭하는 방식 이런식입니다. 그거 방어한다고 정상적인 언인스톨 기능을 빼버릴수는 없잖아요. | 20.01.05 09:34 | | |
(IP보기클릭)58.238.***.***
좀 읽어보세요. 캡챠 넣기 전에도 V3 행위기반으로 막고 취약점은 패치를 했다는데요. | 20.01.05 14:01 | | |
(IP보기클릭)61.74.***.***
캡챠 보고 어이 없었는데 저런 이유가..
(IP보기클릭)124.62.***.***
(IP보기클릭)183.102.***.***
외국 은행권도 안랩 보안 프로그램 강제로 설치하게 해요? | 20.01.04 20:49 | | |
(IP보기클릭)121.165.***.***
오히려 백신프로그램 때문에 취약점이 더 많아집니다 저는 카스퍼스키 아니면 안씁니다 | 20.01.05 00:08 | | |
(IP보기클릭)211.187.***.***
(IP보기클릭)125.176.***.***
개색히는 끝까지 개색히네. 자기 나쁜짓 하는거 방해했다고 보복하는게... 죽으면 지옥갈 상이다
(IP보기클릭)210.91.***.***
[삭제된 댓글의 댓글입니다.]
JN$Q
러시아인. 안랩을 주로 욕한건 안랩이 킬스위치를 발견해서 백신을 만들어 배포했기 때문 | 20.01.04 21:49 | | |
(IP보기클릭)1.228.***.***
JN$Q
읽어보면 알겠지만 러시아놈임 \ | 20.01.04 21:54 | | |
(IP보기클릭)125.141.***.***
(IP보기클릭)121.168.***.***
(IP보기클릭)121.189.***.***
본문보다 댓글들이 참... 확인도 안된 편견으로 글 한줄 찍 쓰는 그런 에휴... 뭐뭐일듯 해놓고 아니면 말고식
(IP보기클릭)118.235.***.***
(IP보기클릭)59.27.***.***
(IP보기클릭)121.165.***.***
공공기관에 납품하려면 CC인증을 받아야 합니다. 백신이 강제종료 당하면 인증을 받을수 없습니다. 작업관리자로 강제 종료 당하면 공공기관에 납품을 할수 없습니다. | 20.01.04 23:45 | | |
(IP보기클릭)115.161.***.***
(IP보기클릭)118.33.***.***
(IP보기클릭)218.148.***.***
(IP보기클릭)175.212.***.***