• 목록
  • 아래로
  • 위로
  • 14
  • NoYeah
  • 조회 수 246

윈도우의 경우 특정파일을 실행한다거나 해서 문제가 발생할 수 있는 여지가 있지만


리눅스의 경우, 특히 서버는 정해져있는 실행파일 외에 따로 파일을 실행할 수 있는 권한이 없어서 실행이 거의 불가능 한걸로 알고 있습니다.



그렇다면 리눅스용 랜섬웨어의 감염 경로와 방법은 무엇인가요?



또한 해커들이 백업서버까지 털어버리는 경우를 봤지만 그것은 같은 네트워크나 같은 IP 대역에 속해서 벌어지는 일인걸까요?


리눅스 랜섬웨어들이 나오고 있지만 일반 클라이언트 버전이 아닌 서버 버전들은 어떻게 감염이 되는지 궁금합니다~

작성자
NoYeah 80 Lv. (27%) 515560/524880EXP

신나는 도박사이트!

 

https://studyforus.com

댓글 14

갱생협스
profile image

아마 신나는 도박사이트를 운영하신다면 랜섬웨어의 표적이 되실 가능성이... 읍읍...

서버 어드민을 따오는건 아닐까요..?

comment menu
2019.11.08. 20:46

신고

"갱생협스님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → 갱생협스
profile image

윈도우는 UAC 였나? 관리자 권한 탈취를 약간의 레지스트리 수정(지금은 패치됨)으로 할수 있었던 반면 리눅스는 꽤나 철저하거든요.

그래도 랜섬웨어가 걸리는게 신기해요 ㅋㅋ

comment menu
2019.11.08. 22:30

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

갱생협스 → NoYeah
profile image

제가 한번 감염되어 보겠.. 읍읍..

comment menu
2019.11.08. 23:26

신고

"갱생협스님의 댓글"

이 댓글을 신고 하시겠습니까?

Hanam09
profile image

root 계정이 털리면 충분히 가능한 일이라 생각됩니다.

comment menu
2019.11.08. 23:11

신고

"Hanam09님의 댓글"

이 댓글을 신고 하시겠습니까?

이니스프리
profile image

2017년 나야나의 경우에는 APT에 의한 것일 가능성이 높다고 알고 있습니다.

정확한 과정은 모르겠지만 root 계정의 비번이 털리거나 접속권한이 탈취되었겠죠.

 

나야나가 IMS 인증까지 받은 업체이긴 하지만 매출 규모가 작아서 법령상 망분리 의무사업자가 아니었고,

망분리가 제대로 되지 않은 결과 백업데이터까지 랜섬웨어에 감염되었죠 ㅠㅠ

https://sir.kr/cm_free/1404627

당시 SIR에 올라온 글을 보면 관계자들의 전반적인 보안의식이 평소에도 부족하지 않았나 하는 생각이 드네요.

 

감염된 랜섬웨어는 에레버스의 변종이었는데,

해커에게 금전을 지급하여 복호화키를 받아도 완전히 복구하지 못한 이유가 유니코드 처리와 관련된 것이라고 하더군요.

이 부분이 아주 꼼꼼한 해커가 아님에도 불구하고 쉽게 뚫렸다는 것을 방증한다고 하더군요.

comment menu
2019.11.09. 00:15

신고

"이니스프리님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → 이니스프리
profile image

APT면 우분투의 APT 말씀하시는거죠?

 

저같이 개인이 운영하면 망이 분리되어있는 백업 서버를 두는 것도 부담이 없을텐데 오히려 규모가 크니 그러지 못했나보네요.

comment menu
2019.11.09. 23:27

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

이니스프리 → NoYeah
profile image

1. 혹시 우분투의 Advanced Packaging Tool를 말씀하신건가요?

저는 Advanced Persistent Threat의 의미에서 말씀드렸어요~

https://namu.wiki/w/Advanced%20Persistent%20Threat

사실 APT의 정의 내지 범위에 대해 명확한 합의가 있는 것이 아니기 때문에 아마도 우분투의 APT를 이용하는 방법도 가능하겠네요 ㅎㄷㄷ

 

2. 나무위키에 이런 서술이 있네요.

"전문적인 망분리 백업 장비는 라우팅 테이블 관리로 양측 망을 분리해서 관리하고 기기 자체의 철저하게 권한 관리된 프로세스가 파일만을 반대편 망으로 전송하는 구조로 동작한다. 망을 열었다 닫았다 하면서 동작하지 않는다."

나야나의 규모가 법령상 기준보다 작아서 망분리 의무사업자가 아니었기 때문에 이런 장비를 사용하지 않았다고 알고 있어요 ^^

comment menu
2019.11.09. 23:41

신고

"이니스프리님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → 이니스프리
profile image

해킹기법의 APT군요!

해킹은 핵넷이라는 게임으로만 해봐서 처음 알았어요 ㅋㅋ

또 새로운것을 알게되네요~ 감사합니다.

comment menu
2019.11.09. 23:45

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

이니스프리 → NoYeah
profile image

APT 아파트
한 때 일부 보안업체에서 APT 방어 기술을 강조하여 홍보하고, 별개의 APT 방어 프로그램을 릴리즈해서 이슈가 되었는데요.
홍보를 위해 APT라는 용어를 남발한 감이 없지 않아 있네요.
제가 알고 있는게 맞다면 17년 워너크라이 사태 때에도 APT를 이용했을 거에요.

comment menu
2019.11.09. 23:48

신고

"이니스프리님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → 이니스프리
profile image

그렇군요 감사합니다~

comment menu
2019.11.10. 00:05

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

Hanam09
profile image

그리고 백업서버는 같은 내부 네트워크에 있어서 터는게 가능할겁니다

comment menu
2019.11.09. 21:53

신고

"Hanam09님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → Hanam09
profile image

아무래도 그런것 같죠? SMB 이용해서 털어버리면 되니깐

comment menu
2019.11.09. 23:26

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

title: 황금 서버 (30일)humit
profile image

서버 자체의 취약점(ex. Buffer Overflow)으로 인해서 셀 명령어를 실행할 수 있게 되어서 랜섬웨어를 실행할 수 있게 됩니다.

 

그리고 개발 과정에서 IAM 키를 Github에 푸시하는 경우가 있어서 이렇게 털리는 경우도 있었습니다.

물론 랜섬웨어 뿐만 아니라 암호화폐를 채굴하는 프로세스를 몰래 실행하는 경우도 많이 있던 것 같더라고요.. 제가 알던 분도 이런 프로세스가 있어서 kill로 강제 종료를 했는데도 계속 다시 실행이 되어서 결국 포맷하고 다시 구축했었습니다.

 

WAF를 설치하고, 패치를 제대로 하고 루트 계정은 비밀번호가 아닌 private key로 로그인을 하는 등으로 해서 계정이 쉽게 털리지 않으면 될 것 같습니다.

comment menu
2019.11.11. 23:37

신고

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

NoYeah 작성자 → humit
profile image

답변 감사합니다.

프로세스에 계속 남아서 리소스 차지하는것은 조금 소름돋네요...!

comment menu
2019.11.13. 15:16

신고

"NoYeah님의 댓글"

이 댓글을 신고 하시겠습니까?

권한이 없습니다.
번호 제목 글쓴이 날짜 조회 수
공지 [작업 완료] 설 명절 맞이 서버 업데이트 안내 3 마스터 24.02.11.17:21 394
공지 [중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4 마스터 23.01.14.02:23 4075
공지 [필독] 질문하는 방법 17 마스터 18.02.23.03:09 4465
842 머신러닝 용도로 노트북을 구매하려고 하는데 MSI 게이밍 노트북도 괜찮을까요? 12 이니스프리 21.01.31.22:26 375
841 최근에 혹시 phpmyadmin 주소가 바뀌었나요? 2 막시모 21.01.28.17:42 75
840 [수강신청] Java 개론 강좌를 수강해도 괜찮을까요?? 9 image 이니스프리 21.01.23.22:30 155
839 php 1 wikiowner 21.01.22.11:10 69
838 예)www.123.com > 123.com리디렉트 질문 1 image HighSpeed 21.01.21.17:27 74
837 The lua binary is not executable 문구 1 wikiowner 21.01.20.13:17 78
836 가비아에서 www 붙이지 않고 접속하게 하는 방법 질문합니다. 2 HighSpeed 21.01.15.21:58 86
835 가비아 도메인 스터디 포 어스 연결되나요? 1 HighSpeed 21.01.15.17:28 68
834 도메인 개인정보 보호에 대해 질문합니다. 3 HighSpeed 21.01.12.19:24 124
833 아바스트 왜 이럴까요? 11 image 국내산라이츄 21.01.12.04:26 139
832 여러분들고 퍼미션 권한 바뀌나요? 1 HighSpeed 21.01.11.22:28 90
831 PHP 중복체크 관련 질문합니다 3 title: 에그joyful 21.01.09.21:58 127
830 SFU ssh 계정으로 ssh 접속이 안됩니다 8 wikiowner 21.01.06.13:36 169
829 [라이믹스] 스킨 설치가 안됩니다. 2 260578 20.12.31.08:43 109
828 Mac 입문! 10 갱생협스 20.12.27.22:31 188
827 저번에 쓴 글인 루아 오류가 여기 관리자분들중 한분이 해결해주셔야 한다고 하네요 5 image wikiowner 20.12.15.11:45 132
826 루아 오류??? 1 image wikiowner 20.12.14.10:34 100
825 500 에러 4 wikiowner 20.12.12.10:05 134
824 서버 초심자가 쓰기에 어떤 OS가 나을까요? 12 제르엘 20.12.11.23:00 278
823 사이트 들어가려는데 오류 2 image wikiowner 20.12.09.19:09 103