[소만사 악성코드 분석리포트]

우크라이나 주요시설파괴 <와이퍼 악성코드>! 단순 구조로 변종생성 용이, 기존 안티바이러스 대응 한계

1. 요약
1) 국가간 사이버 테러 목적으로 활발히 사용 → 우크라이나 주요시설 파괴목적으로 러시아에서 사용
2) 2010년대 1~2년 주기로 발생, 2021년부터는 국가/조직적 성격을 띄며 활발하게 사용 → 러시아의 경우 2022.01월부터 03월까지 최소 5개 이상의 와이퍼 변종을 통해 우크라이나 주요시설 파괴
3) 복구 자체가 불가능하도록 시스템 파괴 → 금전 취득이 아닌 인프라 파괴 및 마비 목적
4) 단순한 구조, 간단한 코드로 구성되어 변종 다수발견 → 기존 시그니처 기반 탐지 안티바이러스 솔루션으로는 탐지 한계 발생

2. 대응 방안
1) Privacy-i EDR과 같은 EDR 솔루션의 ‘행위기반 탐지엔진’으로 실행 차단 : 일반 Anti-Virus 솔루션에서도 대부분 차단 가능하나 최신 업데이트 필요
2) 주요 데이터는 주기적인 백업 수행: 디스크 파괴 시에도 복구 가능하도록 대비
3) 비정상적인 프로세스 행위는 실시간으로 모니터링
4) 내부 데이터 보호를 위해 업무망 망분리 수행 : 인가되지 않은 프로그램 실행 차단
5) 신뢰할 수 없는 메일의 첨부파일은 실행금지 : 메일 내용과 보내는 이 계정에 연관성이 없거나 문법적으로 어색하고 신뢰할 수 없는 링크 또는 첨부파일 클릭을 유도하는 메일