도와주세요

  • 목록
  • 아래로
  • 위로

리눅스에서 랜섬웨어 감염 원인이 무엇일까요?

NoYeah
  • 14
  • NoYeah
  • 조회 수 247

윈도우의 경우 특정파일을 실행한다거나 해서 문제가 발생할 수 있는 여지가 있지만


리눅스의 경우, 특히 서버는 정해져있는 실행파일 외에 따로 파일을 실행할 수 있는 권한이 없어서 실행이 거의 불가능 한걸로 알고 있습니다.



그렇다면 리눅스용 랜섬웨어의 감염 경로와 방법은 무엇인가요?



또한 해커들이 백업서버까지 털어버리는 경우를 봤지만 그것은 같은 네트워크나 같은 IP 대역에 속해서 벌어지는 일인걸까요?


리눅스 랜섬웨어들이 나오고 있지만 일반 클라이언트 버전이 아닌 서버 버전들은 어떻게 감염이 되는지 궁금합니다~

작성자
NoYeah 80 Lv. (36%) 516700/524880EXP

신나는 도박사이트!

 

https://studyforus.com

댓글 14

갱생협스
profile image

아마 신나는 도박사이트를 운영하신다면 랜섬웨어의 표적이 되실 가능성이... 읍읍...

서버 어드민을 따오는건 아닐까요..?

comment menu
2019.11.08. 20:46

신고

"갱생협스님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → 갱생협스
profile image

윈도우는 UAC 였나? 관리자 권한 탈취를 약간의 레지스트리 수정(지금은 패치됨)으로 할수 있었던 반면 리눅스는 꽤나 철저하거든요.

그래도 랜섬웨어가 걸리는게 신기해요 ㅋㅋ

comment menu
2019.11.08. 22:30

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

갱생협스 → NoYeah
profile image

제가 한번 감염되어 보겠.. 읍읍..

comment menu
2019.11.08. 23:26

신고

"갱생협스님의 댓글"

이 댓글을 신고 하시겠습니까?

Hanam09
profile image

root 계정이 털리면 충분히 가능한 일이라 생각됩니다.

comment menu
2019.11.08. 23:11

신고

"Hanam09님의 댓글"

이 댓글을 신고 하시겠습니까?

이니스프리
profile image

2017년 나야나의 경우에는 APT에 의한 것일 가능성이 높다고 알고 있습니다.

정확한 과정은 모르겠지만 root 계정의 비번이 털리거나 접속권한이 탈취되었겠죠.

 

나야나가 IMS 인증까지 받은 업체이긴 하지만 매출 규모가 작아서 법령상 망분리 의무사업자가 아니었고,

망분리가 제대로 되지 않은 결과 백업데이터까지 랜섬웨어에 감염되었죠 ㅠㅠ

https://sir.kr/cm_free/1404627

당시 SIR에 올라온 글을 보면 관계자들의 전반적인 보안의식이 평소에도 부족하지 않았나 하는 생각이 드네요.

 

감염된 랜섬웨어는 에레버스의 변종이었는데,

해커에게 금전을 지급하여 복호화키를 받아도 완전히 복구하지 못한 이유가 유니코드 처리와 관련된 것이라고 하더군요.

이 부분이 아주 꼼꼼한 해커가 아님에도 불구하고 쉽게 뚫렸다는 것을 방증한다고 하더군요.

comment menu
2019.11.09. 00:15

신고

"이니스프리님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → 이니스프리
profile image

APT면 우분투의 APT 말씀하시는거죠?

 

저같이 개인이 운영하면 망이 분리되어있는 백업 서버를 두는 것도 부담이 없을텐데 오히려 규모가 크니 그러지 못했나보네요.

comment menu
2019.11.09. 23:27

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

이니스프리 → NoYeah
profile image

1. 혹시 우분투의 Advanced Packaging Tool를 말씀하신건가요?

저는 Advanced Persistent Threat의 의미에서 말씀드렸어요~

https://namu.wiki/w/Advanced%20Persistent%20Threat

사실 APT의 정의 내지 범위에 대해 명확한 합의가 있는 것이 아니기 때문에 아마도 우분투의 APT를 이용하는 방법도 가능하겠네요 ㅎㄷㄷ

 

2. 나무위키에 이런 서술이 있네요.

"전문적인 망분리 백업 장비는 라우팅 테이블 관리로 양측 망을 분리해서 관리하고 기기 자체의 철저하게 권한 관리된 프로세스가 파일만을 반대편 망으로 전송하는 구조로 동작한다. 망을 열었다 닫았다 하면서 동작하지 않는다."

나야나의 규모가 법령상 기준보다 작아서 망분리 의무사업자가 아니었기 때문에 이런 장비를 사용하지 않았다고 알고 있어요 ^^

comment menu
2019.11.09. 23:41

신고

"이니스프리님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → 이니스프리
profile image

해킹기법의 APT군요!

해킹은 핵넷이라는 게임으로만 해봐서 처음 알았어요 ㅋㅋ

또 새로운것을 알게되네요~ 감사합니다.

comment menu
2019.11.09. 23:45

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

이니스프리 → NoYeah
profile image

APT 아파트
한 때 일부 보안업체에서 APT 방어 기술을 강조하여 홍보하고, 별개의 APT 방어 프로그램을 릴리즈해서 이슈가 되었는데요.
홍보를 위해 APT라는 용어를 남발한 감이 없지 않아 있네요.
제가 알고 있는게 맞다면 17년 워너크라이 사태 때에도 APT를 이용했을 거에요.

comment menu
2019.11.09. 23:48

신고

"이니스프리님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → 이니스프리
profile image

그렇군요 감사합니다~

comment menu
2019.11.10. 00:05

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

Hanam09
profile image

그리고 백업서버는 같은 내부 네트워크에 있어서 터는게 가능할겁니다

comment menu
2019.11.09. 21:53

신고

"Hanam09님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → Hanam09
profile image

아무래도 그런것 같죠? SMB 이용해서 털어버리면 되니깐

comment menu
2019.11.09. 23:26

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

title: 황금 서버 (30일)humit
profile image

서버 자체의 취약점(ex. Buffer Overflow)으로 인해서 셀 명령어를 실행할 수 있게 되어서 랜섬웨어를 실행할 수 있게 됩니다.

 

그리고 개발 과정에서 IAM 키를 Github에 푸시하는 경우가 있어서 이렇게 털리는 경우도 있었습니다.

물론 랜섬웨어 뿐만 아니라 암호화폐를 채굴하는 프로세스를 몰래 실행하는 경우도 많이 있던 것 같더라고요.. 제가 알던 분도 이런 프로세스가 있어서 kill로 강제 종료를 했는데도 계속 다시 실행이 되어서 결국 포맷하고 다시 구축했었습니다.

 

WAF를 설치하고, 패치를 제대로 하고 루트 계정은 비밀번호가 아닌 private key로 로그인을 하는 등으로 해서 계정이 쉽게 털리지 않으면 될 것 같습니다.

comment menu
2019.11.11. 23:37

신고

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → humit
profile image

답변 감사합니다.

프로세스에 계속 남아서 리소스 차지하는것은 조금 소름돋네요...!

comment menu
2019.11.13. 15:16

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

권한이 없습니다.
번호 제목 글쓴이 날짜 조회 수
공지 [작업 완료] 설 명절 맞이 서버 업데이트 안내 3 마스터 24.02.11.17:21 1211
공지 [중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4 마스터 23.01.14.02:23 4905
공지 [필독] 질문하는 방법 17 마스터 18.02.23.03:09 4485
886 그누보드 게시글 자동 작성 php 파일 관련해서 질문 드려요 ^^ 10 image 이니스프리 17.12.12.18:57 1952
885 CKeditor의 config.js를 어떻게 설정하고 사용하시나요? 8 이니스프리 17.11.23.00:25 1899
884 파일질라 파일 편집시 자동업로드 활성화 방법 3 image 네모 18.03.14.15:25 1889
883 파이썬 멜론차트 크롤링 구현 관련 17 title: 에그joyful 18.12.08.10:08 1824
882 국제전자센터에서 스마트폰 구입 괜찮을까요? 2 이니스프리 18.11.05.20:42 1770
881 커뮤니티를 만들 때 홈 서버로 이미지 호스팅 서버를 사용하려고 하는데 괜찮은 방법일까요? 6 이니스프리 18.03.19.22:18 1767
880 Amazon, Jomashop 등 대형 사이트에서는 크롤러를 어떻게 감지하나요? 10 이니스프리 19.11.24.15:12 1732
879 Beautifulsoup 로그인 문제 18 Hanam09 19.08.24.01:25 1697
878 자동 스크롤 캡쳐 잘 되는 윈도우용 캡쳐 프로그램 추천 부탁드립니다 6 이니스프리 17.12.03.13:22 1677
877 [MX 레코드] 다음 스마트워크 MX 레코드 설정에 대해서 문의글 올립니다 4 image 260578 18.04.10.17:22 1607
876 프론트엔드 외주 가격을 어느정도 책정해야 하는지 모르겠습니다. 2 Seia 20.09.01.21:58 1605
875 curl: (7) Failed to connect to localhost port 80: Connection refused 2 image 국내산라이츄 22.07.25.15:57 1582
874 카카오 API OCR의 인식률은 어떤가요? 1 이니스프리 19.11.16.22:31 1580
873 간혈적으로 컨트롤키 눌림현상 3 크로스하트 18.04.09.12:15 1573
872 디시인사이드 푸쉬알림 앱 추천 부탁드립니다 ^^ 3 이니스프리 19.04.18.23:35 1561
871 네이버 카페의 게시글 크롤링과 관련하여 질문 드려요 ^^ 7 image 이니스프리 20.04.04.23:33 1520
870 [파이썬] 윈도우에서 datetime 객체의 invalid format string 에러 3 이니스프리 20.03.04.15:52 1495
869 티켓팅, 수강신청 등 관련하여 특정 서버시각 확인에 대해 질문 드려요 6 이니스프리 17.10.16.17:55 1477
868 MS 오피스 365와 MS 오피스 2016(단품 패키지)의 차이는 무엇이고 어떤 것을 추천해주시는가요? 9 image 이니스프리 18.03.29.13:33 1437
867 와이파이 접속 불가 현상 관련 17 image 네모 18.08.24.10:17 1430

검색