'Security/Issue' + 2


wanacry 랜섬웨어와 동일하게 SMB (Server Message Block)를 통해 확산된다.
이전과 동일하게 SMB 취약점인 MS17-010 취약점을 통해 확산되고 있으므로, 해당 업데이트를 진행 하면 당분간 안심해도되지만
변종이 많은 랜섬웨어의 경우 또다른 추가적인 랜섬웨어가 확산 될 수 있으므로, 
항상 철저한 사용자의 주의가 필요하다.


  1. 증상
          - 디스크의 MBR과 MFT를 손상시켜 부팅이 불가능하도록 함
          - 파일 단위의 암호화는 없으며, 손상된 MBR과 MFT의 복사본을 저장하지 않기 때문에 몸값을 지불해도 복구 불가

  1. Wanacry 랜섬웨어와 차이점
          - 파일을 암호화 하지 않음
          - 부팅에 관여하는 MFT(Master File Table),  MBR ( Master Boot Record )를 감염시켜 재부팅과정에서 디스크를 암호화 시킨다.
          - 감염 시 부팅조차 어렵다.
          - 재부팅을 하지 않을 경우 감염은 되지 않는다.

  1. 예방법
          - PC 부팅 전 네트워크 차단을 위해 랜선 분리
          - 파일 공유 해제
          - 최신보안 업데이트 수행 ( windows update ) 



prevention 1 : Windows Update ]



prevention 2 : Disable SMB ]


랜선분리하세요!!!
prevention 1 : Disconnect LAN cable ]




사실 아직 관리자의 입장에서의 경우, 사용자들에게는 각별한 주의 당부를 요구할 수 밖에 없으며,
기술적으로는
  1. WSUS 주기적으로 실행하고
  2. SMB 공유폴더 스캔하여 권한 및 불필요한 폴더 확인하고
  3. 스팸메일 필터를 강화하고
  4. 백신 업데이트 주기를 확인하여 체크하는
위와 같은 방법 밖엔 조치를 할 수 없다.

새로운 랜섬웨어 확인시 즉각적으로 사용자들에게 공지하여 알리고 있으며,
WSUS를 통해 반강제? 적으로 업데이트를 진행하고 있다.

백신 또한 업데이트가 누락되는 사용자들이 없도록 일일운영으로 진행하고 있다.


[ PETYA RANSOMEWARE ]





한창 대학교때는 DDOS, SQL injection등 해킹기법이 최고의 보안인줄 알았지만...
관리자가 되고나서는 사용자, 내부인원들의 보안인식이 중요성이 더 커지고 있는것을 매번 느낀다
매년 이슈가 되고 있는 이러한 보안이슈도 그렇고...


언제나 어떤일에서나 그렇듯
기술적인 문제에 대해서는 어떻게든 풀어나가고, 정답?이라는 해결책이 있지만
사람에 대한 문제에 대해서는 정답이라는것이 없는것같다. 

항상 최선을 다할 뿐......
평생을 고민해야할 숙제인듯 ㅠㅠ 넘나 어려운것


어쩌면 간혹 이러한 이슈가 나오는게 사용자의 보안인식을 증대하는데 영향이 있는것 같기도 하고 그렇다 하하
확실히 초기보다는 보안인식이 올라간것으로 체감되니.... ^^:;






공감 버튼누르기 어렵지 않아요~~~!!! ^.^


♡♥ 공감 ♥♡ 버튼 눌러주세요 





저작자표시

'Security > Issue' 카테고리의 다른 글

[랜섬웨어] 2017.01.13 금요일 Cerber ransomware에 걸리다.  (0) 2017.01.19
,


탐지 일자 : 2017.01.13 금요일

탐지 내용 : Win32/Filecoder.Cerber 트로잔

탐지 경로 : 서버에서 Filezilla client 를 다운로드

> 이 경로를 찾느라 하루종일 해맷다....후........


C:\Users\Administrator\AppData\Local\Temp\2



운영 메모리 >> C:\Users\Administrator\AppData\Local\Temp\2\V17U7.exe Win32/Kryptik.FMWT 트로잔의 변형 치료할 수 없음



랜섬웨어 탐지 경로


1. 백신에서 탐지하여 알게됨


 일자 : 2017-01-13 금요일 14:13:00

 경로 : 운영 메모리 >> C:\Users\Administrator\AppData\Local\Temp\2\V17U7.exe

 탐지 명 : Win32/Kryptik.FMWT 트로잔의 변형

 결과 : 치료할 수 없음


  > V17U7.exe 파일이 아마도 암호화를 시켜주는 실행 파일 인 것 같다.



 추가 탐지


 일자 : 2017-01-16 월요일 14:39:58

 경로 : D:\GMKT_Web_Root\GMKT.INC.InnerService.PC.Service\bin\_HELP_DECRYPT_I23Q_.hta

 탐지 명 : Win32/Filecoder.Cerber 트로잔

 결과 : 치료할 수 없음


  > _HELP_DECRYPT_I23Q_.hta  전형적인 cerber 랜섬웨어의 파일 

      보통 _HELP_DECRYPT_[random]_.hta  또는 _HELP_DECRYPT_[random]_.jpg 파일명으로 나타난다.



2. 경로 추적


랜섬웨어 감염의 경우 보통 공유폴더의 everyone 권한으로 인한 확산이 주요원인이다.

해당서버의 배포시기와 비슷하여 서버와 연관된 서버들을 모두 확인하였다.


역시나 everyone 권한이 있었으나, 연관된 서버들에게서 랜섬웨어는 발견되지 않았다.

공유폴더에 의한 것은 아닌것으로 결론




3. 감염된 서버에서 백신 full 스캔


스캔을 진행해보니 탐지된 경로 뿐만 아니라 굉장히 많은 수의 _HELP_DECRYPT_I23Q_.hta 파일이 확인되었다.

백신에서 실시간감시로 잡지 못하였다니....

경로로 들어가보니 주로 bin폴더안의 파일들이 .9092 확장자로 모두 변조되어 있었고 

아래와 같은 jpg 파일이 하나씩 상단에 위치해 있었다.


랜섬웨어는 이미 변조된 파일을 복구할 수 없다.........

일단 변조된 파일은 모두 지웠다.







4. 탐지된 파일 확인


해당 경로를 찾아들어가 보았다. 

V17U7.exe 파일은 찾을수 없었고 2 폴더 또한 없었으나

AU_exe 파일이라는 의심스러운 파일 확인  탐지된 시간이랑도 비슷하다.




5. 이벤트 로그 확인


탐지된 시간 경쯤 뭔가의 에러로그가 많았다.

사용자를 보니 서버팀이었다.


6. 프로세스 및 리스닝포트 확인

사용되고 있는 프로세스나 서비스 확인하였지만 - 이상없음
리스닝포트 확인하였지만 - 이상없음

암호화 이후에 모두 종료된건가


7. 제어판 설치된 프로그램 확인


수상하다고 생각되는 파일이었는데 파일질라와 설치시간이 동일했다.

서버팀에 물어보니  인터넷 공식사이트를 통해 다운받았다고는 하나 (파일질라 클라이언트) 파일질라는 프리웨어이다

Au_.exe 파일도 확인해보니 바이러스도 의심되고

아무래도 13일에 금요일에 뭔가 악의적으로 파일질라 서버가 해킹되어 도용되었거나 하지 않았을까... 






8. 재현하기


vm에 동일한 윈도우서버를 올려놓고 파일질라를 직접다운로드 하여 재현해보았지만

실패............ 그냥 파일질라다 일시적으로 그곳으로 배포된건지 뭔지 재현하고싶었는데 재현이 되지 않았다.





결국 모든셋팅 다시하여 새로운 서버로 교체후에 기존서버는 회수되었다.

파일질라.........................








'Security > Issue' 카테고리의 다른 글

[ 보안이슈 2017.06.28 ] Petya 랜섬웨어 발생  (0) 2017.07.03
,

티스토리툴바