XETOWN

자유광장

조회 수 204 추천 수 2 댓글 4
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 댓글로 가기
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기

언론에 의해 보도된 내용 기반의 설명입니다.

 

1. 원인

http://m.koreadaily.com/read.asp?page=1&branch=NEWS&source=&category=economy&art_id=5337910

윈도우 파일 공유 시스템 SMB(Samba) 를 이용한 취약점입니다.

이 취약점을 통해 원격지에서 루트(root) 권한의 명령을 실행할 수 있습니다. 윈도우는 최고관리자(administrator) 권한 실행.

쓰기 공유가 되어 있으면 취약해진다고 하네요.

 

2. 경과

root 사용자가 할 수 있는건 대략 3종류 입니다.

1) 데이터 탈취 : 데이터 가격이 얼마 나가지 않습니다.

2) rm -rf / : 하드 복구업체에서 복구해줍니다.

3) 파일 암호화 프로그램 돌리기 <- 가장 효과적임. 암호화하면서 데이터 덮어쓰기가 되기때문에 하드복구가 되지않습니다. 당연히 리눅스에서 돌려야 하므로 리눅스용 랜섬웨어를 짜서 돌려야 합니다.

http://asec.ahnlab.com/1068

 

3. samba 취약점 패치

Remote code execution from a writable share. 취약점은 2017년 5월 24일에 패치되었습니다.

https://www.samba.org/samba/history/security.html

 

4. 망분리

망분리는 되어 있지 않다고 합니다.

http://m.news.naver.com/read.nhn?mode=LSD&mid=sec&sid1=105&oid=138&aid=0002051487

 

5. 파산

인터넷 나야나는 데이터 복구와 관련없이 파산합니다. 고객의 소송이나 항의를 감당할 수 없기 때문이라고 합니다.

http://www.nayana.com/

  • profile
    기진곰 2017.06.14 11:49:57

    윈도우 PC 감염 → 윈도우 PC의 파일공유 기능과 리눅스 서버의 Samba가 연결되어 있음 → Samba의 취약점을 통해 리눅스 서버도 감염 → 리눅스 서버에서 랜섬웨어가 실행됨

     

    대략 이런 순서로 진행된 것이군요.

     

    그런데 어떤 서버는 먼저 감염되고 어떤 서버는 이틀이 지나서야 감염되었던데... 그제서야 감염된 건지 (랜선 뽑아서 예방할 수 있었을지) 아니면 이미 감염된 랜섬웨어가 서버마다 일정 기간의 잠복기를 가졌던 건지 (랜선 뽑아도 소용없었을지) 이건 모르겠네요.

  • profile
    라엘 2017.06.14 12:13:24
    기업 리뷰사이트 https://www.jobplanet.co.kr/companies/140708/reviews/인터넷나야나 에 미루어 볼때 대응지시 할만한 직원의 대응능력 결여가 아닐까 생각됩니다. 
    IDC오피들은 서버에 직접 관여하진 않으니까요.
    팀장급의 특별한 오더가 없었을거라 추측해봅니다.
  • ?
    sampo 2017.06.14 12:16:40

    참으로 안타까운 일입니다. 세상이 지금보다 더 긴밀한 IT환경 속에서 맞 물려 돌아가는 상황에서 유사한 일이 발생한다면 마른 하늘에서 비행기가 추락하는 끔찍한 사태도 일어 날 것 같다고 생각하니...인간이 누리는 문명의 혜택만큼 감수해야 할 비용도 큰가 봅니다. MB야 내 몸 돌리도!!!(-4대강물 대표-)

  • profile
    하늘희 2017.06.14 13:53:27
    또 한 세대를 함께 한 곳이 사라지는 군요

서버에 요청 중입니다. 잠시만 기다려 주십시오...