최근 EDR(Endpoint Detection & Response) 라는 용어가 심심치 않게 보이고 있습니다. EDR은 말 그대로 Endpoint에 대한 위협을 탐지한다는 것인데, 일반적으로 백신 기능에 방화벽과 같은 UTM 기능에 포함된 Anti-Virus 및 샌드박스 기반의 탐지 기능과 연동되어 동작을 하며, 악의적인 공격으로 인한 시스템 변경 사항을 복원하는 기능을 포함한다고 보면 되겠습니다.

 

 EDR 제품마다 방식은 상이할 수 있습니다만, Sonicwall의 Capture Client라는 EDR 제품을 통해 랜섬웨어에 감염된 Endpoint를 복구하는 부분에 대해 말씀 드리도록 하겠습니다.

 

 Sonicwall Capture Client의 경우 WindowsVSS(Volume Shadow Copy Service)를 통해 주기적으로 복원지점을 생성하고, 정의된 정책 또는 관리자의 명령에 따라 가장 최신의 복원지점으로 복구하는 방식으로 동작합니다.

 

 아래는 Capture Client를 통해 Endpoint 시스템에 복원지점이 생성된 화면 입니다.

 

 

 대상 Endpoint에는 TXT PPT파일, PNG 형식의 그림파일이 있으며, 아래와 같이 랜섬웨어에 의해 파일이 암호화된 것을 확인할 수 있습니다.

 

* 본 환경에서는 랜섬웨어 복구 확인을 위한 것이므로 Capture Client의 동작 모드를 Detect Mode로 변경하여 테스트 진행한 것 입니다.

 

 

 위와 같이 랜섬웨어 감염이 진행되면, Capture Client에서는 해당 Endpoint에 대해 탐지하고 정의된 정책에 따라 동작을(격리, 삭제, 복구) 수행하거나, 필요한 경우 관리자 명령에 의한 복구 수행을 진행하게 됩니다.

 

 아래 화면은 탐지된 화면과 복구 명령어 정상적으로 수행됨을 보여주는 화면 입니다.

 

 

 

 복구 명령 완료 후, Endpoint는 아래와 같이 암호화된 파일이 정상적으로 복구된 것을 확인할 수 있습니다. 다만, 복구된 후의 파일이 TXT파일 1개만 남아 있는 이유는 VSS를 통해 가장 최근에 생성된 복원지점이 나머지 파일이 생성되기 전에 생성된 복원지점이기 때문입니다.

 

 

 복원지점 생성 시기에 따라 복원 진행 시에 일부 파일의 변경 사항이 유실될 수 있으나, Capture Client의 경우 복원 지점 생성이 적어도 4시간 이내에 이뤄지기 때문에 랜섬웨어로 인한 업무 피해를 상당히 줄일 수 있을 것으로 판단 됩니다.

 

 

감사합니다.

 

 

 

 

 

 

 

 

 

Posted by 로버무트