• 목록
  • 아래로
  • 위로
  • 14
  • NoYeah
  • 조회 수 338

윈도우의 경우 특정파일을 실행한다거나 해서 문제가 발생할 수 있는 여지가 있지만


리눅스의 경우, 특히 서버는 정해져있는 실행파일 외에 따로 파일을 실행할 수 있는 권한이 없어서 실행이 거의 불가능 한걸로 알고 있습니다.



그렇다면 리눅스용 랜섬웨어의 감염 경로와 방법은 무엇인가요?



또한 해커들이 백업서버까지 털어버리는 경우를 봤지만 그것은 같은 네트워크나 같은 IP 대역에 속해서 벌어지는 일인걸까요?


리눅스 랜섬웨어들이 나오고 있지만 일반 클라이언트 버전이 아닌 서버 버전들은 어떻게 감염이 되는지 궁금합니다~

작성자
NoYeah 80 Lv. (40%) 517230/524880EXP

신나는 도박사이트!

 

https://studyforus.com

댓글 14

갱생협스
profile image

아마 신나는 도박사이트를 운영하신다면 랜섬웨어의 표적이 되실 가능성이... 읍읍...

서버 어드민을 따오는건 아닐까요..?

comment menu
2019.11.08. 20:46

신고

"갱생협스님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → 갱생협스
profile image

윈도우는 UAC 였나? 관리자 권한 탈취를 약간의 레지스트리 수정(지금은 패치됨)으로 할수 있었던 반면 리눅스는 꽤나 철저하거든요.

그래도 랜섬웨어가 걸리는게 신기해요 ㅋㅋ

comment menu
2019.11.08. 22:30

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

갱생협스 → NoYeah
profile image

제가 한번 감염되어 보겠.. 읍읍..

comment menu
2019.11.08. 23:26

신고

"갱생협스님의 댓글"

이 댓글을 신고 하시겠습니까?

Hanam09
profile image

root 계정이 털리면 충분히 가능한 일이라 생각됩니다.

comment menu
2019.11.08. 23:11

신고

"Hanam09님의 댓글"

이 댓글을 신고 하시겠습니까?

이니스프리
profile image

2017년 나야나의 경우에는 APT에 의한 것일 가능성이 높다고 알고 있습니다.

정확한 과정은 모르겠지만 root 계정의 비번이 털리거나 접속권한이 탈취되었겠죠.

 

나야나가 IMS 인증까지 받은 업체이긴 하지만 매출 규모가 작아서 법령상 망분리 의무사업자가 아니었고,

망분리가 제대로 되지 않은 결과 백업데이터까지 랜섬웨어에 감염되었죠 ㅠㅠ

https://sir.kr/cm_free/1404627

당시 SIR에 올라온 글을 보면 관계자들의 전반적인 보안의식이 평소에도 부족하지 않았나 하는 생각이 드네요.

 

감염된 랜섬웨어는 에레버스의 변종이었는데,

해커에게 금전을 지급하여 복호화키를 받아도 완전히 복구하지 못한 이유가 유니코드 처리와 관련된 것이라고 하더군요.

이 부분이 아주 꼼꼼한 해커가 아님에도 불구하고 쉽게 뚫렸다는 것을 방증한다고 하더군요.

comment menu
2019.11.09. 00:15

신고

"이니스프리님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → 이니스프리
profile image

APT면 우분투의 APT 말씀하시는거죠?

 

저같이 개인이 운영하면 망이 분리되어있는 백업 서버를 두는 것도 부담이 없을텐데 오히려 규모가 크니 그러지 못했나보네요.

comment menu
2019.11.09. 23:27

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

이니스프리 → NoYeah
profile image

1. 혹시 우분투의 Advanced Packaging Tool를 말씀하신건가요?

저는 Advanced Persistent Threat의 의미에서 말씀드렸어요~

https://namu.wiki/w/Advanced%20Persistent%20Threat

사실 APT의 정의 내지 범위에 대해 명확한 합의가 있는 것이 아니기 때문에 아마도 우분투의 APT를 이용하는 방법도 가능하겠네요 ㅎㄷㄷ

 

2. 나무위키에 이런 서술이 있네요.

"전문적인 망분리 백업 장비는 라우팅 테이블 관리로 양측 망을 분리해서 관리하고 기기 자체의 철저하게 권한 관리된 프로세스가 파일만을 반대편 망으로 전송하는 구조로 동작한다. 망을 열었다 닫았다 하면서 동작하지 않는다."

나야나의 규모가 법령상 기준보다 작아서 망분리 의무사업자가 아니었기 때문에 이런 장비를 사용하지 않았다고 알고 있어요 ^^

comment menu
2019.11.09. 23:41

신고

"이니스프리님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → 이니스프리
profile image

해킹기법의 APT군요!

해킹은 핵넷이라는 게임으로만 해봐서 처음 알았어요 ㅋㅋ

또 새로운것을 알게되네요~ 감사합니다.

comment menu
2019.11.09. 23:45

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

이니스프리 → NoYeah
profile image

APT 아파트
한 때 일부 보안업체에서 APT 방어 기술을 강조하여 홍보하고, 별개의 APT 방어 프로그램을 릴리즈해서 이슈가 되었는데요.
홍보를 위해 APT라는 용어를 남발한 감이 없지 않아 있네요.
제가 알고 있는게 맞다면 17년 워너크라이 사태 때에도 APT를 이용했을 거에요.

comment menu
2019.11.09. 23:48

신고

"이니스프리님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → 이니스프리
profile image

그렇군요 감사합니다~

comment menu
2019.11.10. 00:05

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

Hanam09
profile image

그리고 백업서버는 같은 내부 네트워크에 있어서 터는게 가능할겁니다

comment menu
2019.11.09. 21:53

신고

"Hanam09님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → Hanam09
profile image

아무래도 그런것 같죠? SMB 이용해서 털어버리면 되니깐

comment menu
2019.11.09. 23:26

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

title: 황금 서버 (30일)humit
profile image

서버 자체의 취약점(ex. Buffer Overflow)으로 인해서 셀 명령어를 실행할 수 있게 되어서 랜섬웨어를 실행할 수 있게 됩니다.

 

그리고 개발 과정에서 IAM 키를 Github에 푸시하는 경우가 있어서 이렇게 털리는 경우도 있었습니다.

물론 랜섬웨어 뿐만 아니라 암호화폐를 채굴하는 프로세스를 몰래 실행하는 경우도 많이 있던 것 같더라고요.. 제가 알던 분도 이런 프로세스가 있어서 kill로 강제 종료를 했는데도 계속 다시 실행이 되어서 결국 포맷하고 다시 구축했었습니다.

 

WAF를 설치하고, 패치를 제대로 하고 루트 계정은 비밀번호가 아닌 private key로 로그인을 하는 등으로 해서 계정이 쉽게 털리지 않으면 될 것 같습니다.

comment menu
2019.11.11. 23:37

신고

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → humit
profile image

답변 감사합니다.

프로세스에 계속 남아서 리소스 차지하는것은 조금 소름돋네요...!

comment menu
2019.11.13. 15:16

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

권한이 없습니다.
번호 제목 글쓴이 날짜 조회 수
공지 시스템 점검 작업 완료 안내 10 마스터 24.09.05.16:25 2534
공지 [중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4 마스터 23.01.14.02:23 9863
공지 [필독] 질문하는 방법 17 마스터 18.02.23.03:09 4906
626 가계부 프로그램 추천 부탁드립니다! 2 이니스프리 19.11.12.23:59 313
625 유튜브에 유튜버 '분류' 또는 '장르'라는 것이 존재하나요?? 2 이니스프리 19.11.12.21:57 386
624 현재 신제품 구매가 가능한 배터리 탈착식 스마트폰에 어떤 것이 있을까요? 이니스프리 19.11.10.22:18 273
623 [SSD] Micron 1100 vs Samsung 860 QVO 어떻게 생각하시는가요? 7 image 이니스프리 19.11.09.22:52 342
622 파이썬에서 requests.Session()에 대한 간단한 질문을 드립니다 ^^ 2 이니스프리 19.11.09.21:45 2034
리눅스에서 랜섬웨어 감염 원인이 무엇일까요? 14 NoYeah 19.11.08.17:33 338
620 명함 제작 업체 추천 부탁드립니다! 2 갱생협스 19.11.08.16:57 531
619 피규어샵 방문과 관련하여 질문 드립니다 6 이니스프리 19.11.06.21:32 312
618 싸이월드 미니홈피 크롤링 과정에서 swf 파일 다운로드와 관련하여 질문 드립니다 ㅠㅠ 6 이니스프리 19.11.05.00:45 955
617 갤럭시노트10+ 구매해도 괜찮을까요?? 2 이니스프리 19.11.03.16:03 392
616 PC 원격접속을 위한 스마트폰 앱 추천을 부탁드립니다. 14 이니스프리 19.11.02.22:21 337
615 히어로 무비 추천 부탁드립니다! 30 이니스프리 19.10.29.13:48 349
614 크롤링한 어절 또는 문장의 유사성을 구하는 방법에 대해 질문 드립니다 9 이니스프리 19.10.26.22:22 518
613 무접점 방식의 키보드의 윤활과 관련하여 질문 드려요~! 이니스프리 19.10.25.22:57 442
612 스마트폰 지문인식 과정에서 에러가 덜 발생하는 방법을 질문 드립니다 6 이니스프리 19.10.25.20:08 521
611 JS 반복 처리에 대한 로컬저장문제와 PHP의 Request의 비동기처리 2 Hanam09 19.10.20.23:10 418
610 VPS에서 홈서버의 네트워크 접속 이상 여부를 확인하는 방법이 있을까요? 6 이니스프리 19.10.15.01:26 372
609 크롤링 머신(미니PC) 세팅과 관련하여 질문 드립니다 2 이니스프리 19.10.14.20:23 577
608 파이썬에서 유니코드 문자열 처리와 관련하여 질문 드립니다 6 image 이니스프리 19.10.12.21:10 1300
607 유튜브 페이지 가져오는 방법이 뭐가있을까요? 9 image 슬기 19.10.11.16:52 925