- 14
- NoYeah
- 조회 수 247
윈도우의 경우 특정파일을 실행한다거나 해서 문제가 발생할 수 있는 여지가 있지만
리눅스의 경우, 특히 서버는 정해져있는 실행파일 외에 따로 파일을 실행할 수 있는 권한이 없어서 실행이 거의 불가능 한걸로 알고 있습니다.
그렇다면 리눅스용 랜섬웨어의 감염 경로와 방법은 무엇인가요?
또한 해커들이 백업서버까지 털어버리는 경우를 봤지만 그것은 같은 네트워크나 같은 IP 대역에 속해서 벌어지는 일인걸까요?
리눅스 랜섬웨어들이 나오고 있지만 일반 클라이언트 버전이 아닌 서버 버전들은 어떻게 감염이 되는지 궁금합니다~
작성자
댓글 14
신고
"갱생협스님의 댓글"
이 댓글을 신고 하시겠습니까?
윈도우는 UAC 였나? 관리자 권한 탈취를 약간의 레지스트리 수정(지금은 패치됨)으로 할수 있었던 반면 리눅스는 꽤나 철저하거든요.
그래도 랜섬웨어가 걸리는게 신기해요 ㅋㅋ
신고
"NoYeah님의 댓글"
이 댓글을 신고 하시겠습니까?
제가 한번 감염되어 보겠.. 읍읍..
신고
"갱생협스님의 댓글"
이 댓글을 신고 하시겠습니까?
root 계정이 털리면 충분히 가능한 일이라 생각됩니다.
신고
"Hanam09님의 댓글"
이 댓글을 신고 하시겠습니까?
2017년 나야나의 경우에는 APT에 의한 것일 가능성이 높다고 알고 있습니다.
정확한 과정은 모르겠지만 root 계정의 비번이 털리거나 접속권한이 탈취되었겠죠.
나야나가 IMS 인증까지 받은 업체이긴 하지만 매출 규모가 작아서 법령상 망분리 의무사업자가 아니었고,
망분리가 제대로 되지 않은 결과 백업데이터까지 랜섬웨어에 감염되었죠 ㅠㅠ
https://sir.kr/cm_free/1404627
당시 SIR에 올라온 글을 보면 관계자들의 전반적인 보안의식이 평소에도 부족하지 않았나 하는 생각이 드네요.
감염된 랜섬웨어는 에레버스의 변종이었는데,
해커에게 금전을 지급하여 복호화키를 받아도 완전히 복구하지 못한 이유가 유니코드 처리와 관련된 것이라고 하더군요.
이 부분이 아주 꼼꼼한 해커가 아님에도 불구하고 쉽게 뚫렸다는 것을 방증한다고 하더군요.
신고
"이니스프리님의 댓글"
이 댓글을 신고 하시겠습니까?
APT면 우분투의 APT 말씀하시는거죠?
저같이 개인이 운영하면 망이 분리되어있는 백업 서버를 두는 것도 부담이 없을텐데 오히려 규모가 크니 그러지 못했나보네요.
신고
"NoYeah님의 댓글"
이 댓글을 신고 하시겠습니까?
1. 혹시 우분투의 Advanced Packaging Tool를 말씀하신건가요?
저는 Advanced Persistent Threat의 의미에서 말씀드렸어요~
https://namu.wiki/w/Advanced%20Persistent%20Threat
사실 APT의 정의 내지 범위에 대해 명확한 합의가 있는 것이 아니기 때문에 아마도 우분투의 APT를 이용하는 방법도 가능하겠네요 ㅎㄷㄷ
2. 나무위키에 이런 서술이 있네요.
"전문적인 망분리 백업 장비는 라우팅 테이블 관리로 양측 망을 분리해서 관리하고 기기 자체의 철저하게 권한 관리된 프로세스가 파일만을 반대편 망으로 전송하는 구조로 동작한다. 망을 열었다 닫았다 하면서 동작하지 않는다."
나야나의 규모가 법령상 기준보다 작아서 망분리 의무사업자가 아니었기 때문에 이런 장비를 사용하지 않았다고 알고 있어요 ^^
신고
"이니스프리님의 댓글"
이 댓글을 신고 하시겠습니까?
해킹기법의 APT군요!
해킹은 핵넷이라는 게임으로만 해봐서 처음 알았어요 ㅋㅋ
또 새로운것을 알게되네요~ 감사합니다.
신고
"NoYeah님의 댓글"
이 댓글을 신고 하시겠습니까?
APT 아파트
한 때 일부 보안업체에서 APT 방어 기술을 강조하여 홍보하고, 별개의 APT 방어 프로그램을 릴리즈해서 이슈가 되었는데요.
홍보를 위해 APT라는 용어를 남발한 감이 없지 않아 있네요.
제가 알고 있는게 맞다면 17년 워너크라이 사태 때에도 APT를 이용했을 거에요.
신고
"이니스프리님의 댓글"
이 댓글을 신고 하시겠습니까?
그렇군요 감사합니다~
신고
"NoYeah님의 댓글"
이 댓글을 신고 하시겠습니까?
그리고 백업서버는 같은 내부 네트워크에 있어서 터는게 가능할겁니다
신고
"Hanam09님의 댓글"
이 댓글을 신고 하시겠습니까?
아무래도 그런것 같죠? SMB 이용해서 털어버리면 되니깐
신고
"NoYeah님의 댓글"
이 댓글을 신고 하시겠습니까?
humit 
서버 자체의 취약점(ex. Buffer Overflow)으로 인해서 셀 명령어를 실행할 수 있게 되어서 랜섬웨어를 실행할 수 있게 됩니다.
그리고 개발 과정에서 IAM 키를 Github에 푸시하는 경우가 있어서 이렇게 털리는 경우도 있었습니다.
물론 랜섬웨어 뿐만 아니라 암호화폐를 채굴하는 프로세스를 몰래 실행하는 경우도 많이 있던 것 같더라고요.. 제가 알던 분도 이런 프로세스가 있어서 kill로 강제 종료를 했는데도 계속 다시 실행이 되어서 결국 포맷하고 다시 구축했었습니다.
WAF를 설치하고, 패치를 제대로 하고 루트 계정은 비밀번호가 아닌 private key로 로그인을 하는 등으로 해서 계정이 쉽게 털리지 않으면 될 것 같습니다.
신고
"humit님의 댓글"
이 댓글을 신고 하시겠습니까?
답변 감사합니다.
프로세스에 계속 남아서 리소스 차지하는것은 조금 소름돋네요...!
신고
"NoYeah님의 댓글"
이 댓글을 신고 하시겠습니까?
아마 신나는 도박사이트를 운영하신다면 랜섬웨어의 표적이 되실 가능성이... 읍읍...
서버 어드민을 따오는건 아닐까요..?