[보안] 랜섬웨어가 핫하길래 나도 깔아보았다.(WannaCry)
일반
작성자
Roronoa
작성일
2017-06-15 16:25
조회
2527
랜섬웨어가 개속해서 다양한 서버들로 확산이 되고 있고 쉬쉬할 수준을 넘어서고 있습니다. 일반 PC의 경우 쉽게 업데이트가 가능하여 피해가 줄어들어서 이슈가 점점 없어지고 있지만 서버에서는 다른 상황입니다. 실제 호스팅 업체 "나야나" 호스팅 업체(링크)의 경우 153대의 서버가 랜섬웨어에 해킹당해, 해커의 요구사항은 리눅스 서버당 10비트코인(약 3200만원) 이었습니다. 현재도 진행중이며 해커의 최종 요구사항은 서버당 5.4비트코인(1750만원) 입니다. 결론적으로 153대이면 26억입니다. 아주 특히 한 점은 내부 백업 및 외부 백업이 모두 랜섬웨어에 걸렸다는 나야나의 공지사항은 먼가 좀 특이합니다. 내부 외부 백업이 다 걸렸다는 것은 모든 서버 자체가 같은 네트워크에 있다는 말인데 이부분은 좀 문제가 있지 않나라는 생각이 듭니다.
그건 그렇고 그렇다면 앞으로 어떤 대책을 가져야 할것인가? 라는 문제와 다른 서버엔지니어들은 어떤 생각을 가지고 있는지 생각을 공유해보고 싶습니다. 만약 일반적 시스템 구조인 3티어 구조로 된 서버들에서 Azure의 Blob 이나 AWS의 S3에 파일을 저장한다면 랜섬웨어의 일반적인 방법으로는 확산은 되지 않습니다. 물론 IaaS 에서는 발전된(?) 랜섬웨어는 걸릴수 있습니다. 완벽히 파일서버와 Web 서버를 분리해놓았다면 절대적으로 복구가 쉽지 않을까? 라는 생각을 가지고 있습니다.
Blob이나 S3 에서 실행파일이 저장은 되지만 일반적인 랜섬웨어에 걸릴수 없습니다. 물론 VM이나 EC2에서는 가능하며 밑에 동영상처럼..
만약 3티어 구조로 되어 있고 파일서버가 PaaS로 되어 있고 VM이나 EC2가 렌섬웨어에 걸렸다면 VM이나 EC2 를 지워버리고 다시 만들면 가장 빠른 해결책이 되지 않을까 라는 생각을 해봅니다.
다른 분들은 어떤 생각을 가지고 있는지 서로 공유해보면 좋겠습니다.
WannaCry 렌섬웨어가 핫하길래 나도 한번 깔아보았다.
일단은 핫 아이템인 WannaCry 렌섬웨어를 깔아보았는데 깔끔하게 밑에 동영상처럼 됩니다
가장 기억해야할 점
첫번째 : 가장 중요한 부분은 검증되지 않은 쓸대 없는 싸이트(토렌토)나 실행 파일을 받으면 안된다는 점이다. 쓸대없이 유료프로그램을 무료로 먼가 다운받아서 해볼려다 가장 많이 걸리게 됩니다.
두번째 : 실제 이 파일을 감염되면 같은 네트워크를 전부 서칭하게 된다. 내부 네트워크를 서칭해서 실행파일을 SMB로 전달하게 된다.
걸리면 어떻게 해야되는가?
안걸리려면 어떻게 해야하나?
사실 위에 있는 이런 거중에 가장중요한것은 실행파일을 실행하지 않는것이다. 결론은 이상한 싸이트(검증되지 않은 사이트)는 접속하지 않는것이 최선의 답이다.
국내 업체 사례 http://asec.ahnlab.com/1068
그건 그렇고 그렇다면 앞으로 어떤 대책을 가져야 할것인가? 라는 문제와 다른 서버엔지니어들은 어떤 생각을 가지고 있는지 생각을 공유해보고 싶습니다. 만약 일반적 시스템 구조인 3티어 구조로 된 서버들에서 Azure의 Blob 이나 AWS의 S3에 파일을 저장한다면 랜섬웨어의 일반적인 방법으로는 확산은 되지 않습니다. 물론 IaaS 에서는 발전된(?) 랜섬웨어는 걸릴수 있습니다. 완벽히 파일서버와 Web 서버를 분리해놓았다면 절대적으로 복구가 쉽지 않을까? 라는 생각을 가지고 있습니다.
Blob이나 S3 에서 실행파일이 저장은 되지만 일반적인 랜섬웨어에 걸릴수 없습니다. 물론 VM이나 EC2에서는 가능하며 밑에 동영상처럼..
만약 3티어 구조로 되어 있고 파일서버가 PaaS로 되어 있고 VM이나 EC2가 렌섬웨어에 걸렸다면 VM이나 EC2 를 지워버리고 다시 만들면 가장 빠른 해결책이 되지 않을까 라는 생각을 해봅니다.
다른 분들은 어떤 생각을 가지고 있는지 서로 공유해보면 좋겠습니다.
WannaCry 렌섬웨어가 핫하길래 나도 한번 깔아보았다.
일단은 핫 아이템인 WannaCry 렌섬웨어를 깔아보았는데 깔끔하게 밑에 동영상처럼 됩니다
가장 기억해야할 점
첫번째 : 가장 중요한 부분은 검증되지 않은 쓸대 없는 싸이트(토렌토)나 실행 파일을 받으면 안된다는 점이다. 쓸대없이 유료프로그램을 무료로 먼가 다운받아서 해볼려다 가장 많이 걸리게 됩니다.
두번째 : 실제 이 파일을 감염되면 같은 네트워크를 전부 서칭하게 된다. 내부 네트워크를 서칭해서 실행파일을 SMB로 전달하게 된다.
걸리면 어떻게 해야되는가?
- 깔끔하게 포멧한다.
- 꼭 필요한 파일이 있다면 비트코인 구해서 보내면 되겠지라고 생각하면 이미 늦게 됩니다. 왜나면 비트코인은 처음 사면 72시간동안 돈을 못보내게 되므로 누군가 비트코인이 있는 사람에게 대행하는 방법이 있다.
- 다양한 방식의 렌섬웨어를 전부 현재는 막을수 없으므로 어떤 렌섬웨어에 걸렸는지 부터 확인하고 백신이 있는 렌섬웨어라면 백신을 사용한다.
안걸리려면 어떻게 해야하나?
- 백신프로그램을 최신으로 하고 시스템 검사를 한다.
- 윈도우 최신업데이트로 보안 업데이틀 한다. 만약 최신업데이트를 설치할수 없다면 MS 보안업데이트를 수동으로 설치한다.
- Microsoft 보 SMB 서버용 보안 업데이트(4013389) https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx
- 만약 보안업데이트도 사용할수 없다면 SMB포트를 막는다.
사실 위에 있는 이런 거중에 가장중요한것은 실행파일을 실행하지 않는것이다. 결론은 이상한 싸이트(검증되지 않은 사이트)는 접속하지 않는것이 최선의 답이다.
국내 업체 사례 http://asec.ahnlab.com/1068