자유 게시판

사이트 이용규칙을 준수하여
닥터몰라 회원과 자유롭게 소통하는 게시판입니다.

[잡담] 랜섬웨어가 유행하기에 써 봅니다.

Archost | 조회 579 | 추천 11 | 2017.05.14. 22:50 http://drmola.com/bbs_free/166220

솔직히 말해서 랜섬웨어 방어 어렵지 않습니다.

경우만 해도 이곳저곳 많이 돌아다니지만 Windows XP에 Windows Defender가 출시된 이래로 보안 관련 프로그램은 전혀 설치하지 않은 상태로 랜섬웨어가 처음 유행하던 시절에도 멀쩡했기에 산 증인(?) 이라고 말할 수 있겠군요.


 

 

Wannacrypt: Win32.WannaCrypt 지금 유행하고 있는데 일단 랜섬웨어가 사용하고 있는 취약점은 과거컴퓨터 종료“ 바이러스로 유명했던 Win32.Blaster.Worm – 블래스터 웜과 비슷하게 원격으로 실행이 가능한 취약점을 사용했습니다.

 

Win32.WannaCrypt (이하 W32.WC) POSIX 운영체제 계열 사람들에게 친숙한 SAMBA - SMB: 윈도우 사용자에게는 파일 공유로 친숙한 SMB 취약점 입니다.

공격 450 이하의 파이썬 코드로 작성된 POC로 또한 증명된 적이 있으며 Microsoft 문제를 3월 14일 수정한 패치를 공개하였습니다.

정확하게는 SMB 1.0, Windows XP이하의 모든 Microsoft 운영체제에 포함된 파일 공유 모듈의 취약점이며, Windows Vista 부터는 SMB 2.0+ 사용하고 있지만 하위 호환성으로 켜져 있는 SMB 1.0 모듈은 여전히 취약점에 노출된 상태였기 때문에 이러한 공격은 유효 입니다.

바이러스를 포함한 모든 공격은 일단 공격 코드가 시스템의 메모리에 올라가는 것이 가장 우선이기 때문에 이를 저지하는 것이 근본적인 방어책 입니다.

때문에 광고 서버 해킹 등을 통한 취약점 공격 때문에 플래시를 선택적 사용으로 설정 두는 여러가지 방법이 있는데 이번 W32.WC 관련된 대비책을 선별해 보고자 합니다.

  1. 업데이트를 하세요.
  2. 포트 열고 사용하지 마세요.
  3. 예스맨 하지 마세요

 

업데이트를 하세요.


가장 기본적이고 이것만 지켰어도 이번 취약점 공격은 충분히 방어 있었습니다.


제로데이 공격이라면 이것만 으로는 힘들었겠지만 취약점의 패치는 3월 14일 패치가 나왔습니다. 그리고 W32.WC 5월경 활동을 시작했는데, 2달의 시간이 있었음에도 불구하고 공격에 영향을 받았다는 것은 사용자의 보안의식에 문제가 있다고 생각합니다.

업데이트 패치는 백신과 같고 안티바이러스 소프트웨어는 항생제와 같습니다. 바이러스 등에 감염이 되면 생물학의 바이러스 같이 숙주에 감염이 되면 자신을 복제해서 다른 취약한 유기 생명체에 감염이 되는 원리와 거진 동일하다고 보면 됩니다. 자신이 감염이 되면 남에게도 병을 옮기게 되고 백신을 맞지 않은 다른 생명체에도 병원체를 옮기게 되어 결과적으로 감염 확산 속도를 증가시킵니다. 유일한 차이점이 있다면 컴퓨터 바이러스는 생물적 바이러스와 달리 무차별적으로 감염을 확산시키지 않고 (AV소프트웨어가 병원체를 발견 즉시 제거하므로) 확산을 억제시킬 있다는 점이 차이겠죠. (병원체를 가지고 있는 해당 병원체에 내성이 있는 사람이 내성이 없는 사람에게 옮길 있는 것의 차이)

결국 자신만 피해를 입는 것이 아닌 다른 사람들에게도 피해를 주는 행동이 됩니다.

 

이는 개인 사용자들을 위한 조언이고 특정 목적을 위한 네트워크의 Sysadmin들은 알아서 잘 해결할 테니 그것에 대해서는 언급하지 않겠습니다.

 

본격 “약 안 쓰고 컴퓨터 키우기“ 정도라고 할 수 있습니다.

 

포트 열고 사용하지 마세요.


방화벽 끄지 마세요. 포트 막 다 열지 마세요.


 

MS SMB TCP139, 445 사용합니다. (UDP 137-138). 컴퓨터 바이러스는 방법이 USB플래시 메모리이든 네트워크든 외부에서 접근이 가능한 통로를 통해 감염이 됩니다.

SMB 사용하는 위의 포트들을 통해서 공격을 시도하게 되는데 포트가 외부에서 접근이 가능하다면 이런 공격에 노출 있게 됩니다.

​​

인터넷에 직결된 컴퓨터가 아닌 이상 값싼 저가형 공유기 들에도 기본적인 방화벽 기능이 있습니다. 그렇지만 이것도 귀찮다고 SuperDMZ, DMZ 라고 불리기도 하는 모든 포트를 열어주는 기능을 사용하지 말고 사용하는 포트만 선택적으로 열어서 사용하시기 바랍니다.

 

11firewlal.PNG

Drop된 패킷들이 보이시나요? 단순한 잘못된 요청들도 섞여있지만 인터넷에서 무작위로 들어오는 공격 패킷들도 섞여 있습니다.

 

예스맨 하지 마세요.


UAC끄지 마세요. Administrator 계정을 굳이 활성화 해서 사용하지 마세요. 아무거나 실행하지 마세요.


 

대체로 랜섬웨어들은 유저랜드 환경에서 돌아가기 때문에 관리자 계정이 아니더라도 걸릴 있긴 합니다만, 최소한의 방어책이라도 되니 끄지 마세요.

이런 컴퓨터 맬웨어 공격중 가장 먹히고 제일 단순한 공격이 Drive-by 공격입니다.

인터넷에서 다운로드 받은 파일 등을 사용자가 직접 실행 시키는 공격 등을 Drive-by-Download 라고 불리는데 ...... 이것에 걸리는 만큼 정말 어리석은 피해는 없을겁니다.

처음 보는 프로그램을 실행시켰는데 관리자 권한을 요구한다면 일단 의심부터 하고 보세요.

Drive-by 공격받는 경우 둘의 방어체계는 의미가 없어집니다. 라우터들의 방화벽은 drive된 프로그램의 UPnP 통해 포트가 열릴 수도 있고 백신은 꺼버리는 경우가 많습니다.

 

1upnp.png

 

 ​​​​​​UPnP는 간단히 설명하면 어플리케이션이 필요하다면 요청하여 해당 포트를 필요에 따라서 일시적으로 열어주는 기능입니다.​

그런데 이 UPnP요청을 보낸 프로그램이 악의적인 프로그램인지 아닌지 구별 할 수가 없으니 이런것을 막는게 필요합니다.

 

Reference : MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx)

 

 

Appendix:

포트를 꼭 열어야 하는 경우.

 

리눅스나 유닉스 관리자들의 경우 기본적으로

“필수 포트 제외하고는 외부로 열지 말기” 의 명제를 중요하게 생각하고 있을겁니다.

SSH와 같은 외부 관리 포트의 경우 인증에 “공개키” 를 사용하거나, IP화이트리스트를 사용하고, 최소한 포트 정도는 변경하여 사용하고 있습니다.

Windows의 경우 RDP를 사용하는 경우가 있는데 이 또한 그냥 막 열어두지 마세요.

공유기가 있다면 최소한 VPN정도는 걸어두고 내부망에서만 사용 가능한 환경으로 두시기 바랍니다.

공유기의 성능에 따라 느릴수도 있지만 편리함과 보안은 반비례 합니다.

 

제가 리눅스 유닉스 Sysadmin을 콕 찝어서 말하는것은:

리눅스를 사용해도 보안 의식이 없는 관리자들도 있기 마련이지만, 윈도우쪽은 더합니다.

가끔 왠지 부실해 보이는 사이트들에다 포트스캔 날리면 윈도우를 서버로 쓰는 서버들의 경우 각종 포트가 열려있는 경우가 정말 많더군요.

21번 FTP가 활짝 열려 있는 경우는 애교고 3306: MySQL이 필터도 아니고 그냥 Open으로 열려있는걸 보면...

 

CIA.

이 친구들이 꽁꽁 숨겨둔 제로데이 공격들의 유출 덕분에 경각심이 생겼으면 좋겠습니다.

Notepad++나 LibreOffice 의 dll 하이잭 등 참 많은게 공개되고 패치되었네요.

 

보안 테크니션

아무리 뛰어난 보안 테크니션이 세상에 등장해도 걸릴 사람은 걸립니다.

  • |
  1. 11firewlal.PNG (File Size:26.1KB/Download:0)
  2. 1upnp.png (File Size:25.3KB/Download:0)
facebook twitter google plus pinterest kakao story band

서명

no image

Archost

(level 3)

적용중인 트로피가 없습니다.

Profile image 삑점 2017.05.15 05:16
추천드립니다! 엄청나게 문의가 쏟아져나와서 골아프네요 ㅜ.ㅜ
Profile image 썬업 2017.05.15 09:55
ㅠㅠ 좋운 정보 입니당
Profile image killAlice 2017.05.15 12:01
이런건 추천 100개 박아 드리고 싶네요.
Profile image Harp 2017.05.15 16:08
중간에 워프레임이...
Profile image Dr.Lee 2017.05.15 20:22
아아... 이걸 일찍 봤더라면 메인에 걸었을텐데...
Profile image 슈가프리 2017.06.24 12:58
보통 윈도우 설치하면서 만드는 계정의 그룹이 Administrator 으로 소속되있던데 이 경우는 Administrator 계정를 쓰는것과 같다고 보는건가요?
Profile image Archost 2017.06.24 13:19
일반적인 방법으로 생성된 계정 또한 Administrator에 소속되어 있지만 UAC가 켜져 있다면 Administrator 권한을 필요에 따라서만 (UAC) 받아오기 때문에 별개라고 보시면 됩니다.

다만 UAC를 끄면 그 권한 상승이 자동으로 이루어 지기에 의미가 없습니다. UAC를 끄고 비 Administrator권한 (Users Group)으로 둔다면 그것 또한 필요시에만 권한을 불러오기 때문에 안전하다고 볼 수 있습니다.

이렇게 해도 Drive-By로 실행되면 어쨌든 권한이 미치는 곳 까지 암호화를 당하기 때문에 평소에도 주의를 기울여야 겠죠.
번호 분류 제목 게임 글쓴이 조회 추천 날짜
공지 닥터몰라 스팀 그룹 가입 요청 방법 [21] updatefile ZardLuck 264 8 08.22
공지 신규유저를 위한 닥터몰라 사용설명서 ver 0.2 [36] file 마린웨이브 993 27 06.05
공지 닥터몰라를 소개합니다 [18] Dr.Lee 1595 11 09.07
1636 [잡담] 닥터몰라에서 이벤트가 당첨되어서 그것이 왔습니다. [6] file 욱타 145 5 05.17
1635 [소개] 베일을 벗은 라데온 베가 [6] file Dr.Lee 416 3 05.17
1634 [잡담] 중국인 조교님에게 MSI영업하는 만화 [7] file 삑점 706 5 05.16
1633 [질문] 다음 세대 그래픽 카드 출시 날짜는 언제쯤 될까요? [3] 인내사범 299 2 05.16
1632 [소개] 볼타, 베가 성능예측 및 간단 분석 (by VGA 계산기) [8] file Dr.Lee 2342 6 05.16
1631 [잡담] 대근님과 마라탕먹는 만화 [7] file 삑점 725 3 05.16
1630 [잡담] 인텔 i9 박스? [10] file 인텔(intel) 썬업 454 2 05.15
1629 [질문] 스팀연동에 관한 질문입니다. [2] file 에디터 102 0 05.15
1628 [잡담] 안녕하세요! [6] 목윤탁 85 2 05.15
» [잡담] 랜섬웨어가 유행하기에 써 봅니다. [7] file Archost 579 11 05.14
1626 [질문] 윈도우 관련 심도있는(?) 질문 SamirDuran 86 1 05.14
1625 [소개] 케복치Go 이벤트 당첨자 발표입니다! [10] file Dr.Lee 223 6 05.14
1624 [잡담] 다크 나이트 [3] file Dr.Lee 124 2 05.14
1623 [잡담] 인간의 눈은 프레임으로 볼까?/TDP와 전력소모 [4] [게임미식가] 잼아저씨 344 5 05.14
1622 [스샷] 퀘이크 챔피언스 [1] file QUAKE Madtomato 76 1 05.14
1621 [잡담] 대기업 브랜드에서도 게이밍 PC가 나오는군요 놀람 [5] file 삼성(Samsung) 썬업 263 2 05.14
1620 [잡담] 동원을 다녀왔는데... [10] Dr.Lee 174 5 05.13
1619 [질문] 저번주에 생긴 스팀 선물 시스템 변경에 대한 궁금증 EpikFail 80 0 05.13
1618 [잡담] 와 16쓰레드를 100%로 돌려보는군요 [8] file ZardLuck 372 1 05.13
1617 [잡담] 퀘이크 챔피언 해봤는데요 [1] 윤뎅구 74 0 05.13