• 돌아가기
  • 아래로
  • 위로
  • 목록
  • 댓글
정보

랜섬웨어에 주의합시다.

quad quad 554

3

7

서버포럼 회원님들 중에는 회사에서 시스템 관리하시는 분들도 계실 것 같아서,
또는 집에서 가정용으로 사용하시더라도 서버나 나스는 항상 네트웍에 물려있는 놈들이기 떄문에 언제든 위험에 노출되어 있으므로,
마침 최근 랜섬 감염에 대한 문의 게시글도 있고 해서 참고하시라고 포스팅 해 봅니다.

 

최근에 아는 회사 두 군데가 랜섬에 감염이 되었습니다.
요즘 유행하는 놈은 masscan 이라는 랜섬입니다.
감염이 이루어지면 파일의 확장자가 .masscan-G-8자리 문자열로 바뀝니다.
유일하게 감염이 되지않은 .txt 파일 하나가 있는데, 그 파일에 범죄자들의 메시지가 들어있습니다.

(참고로 저는 이들을 해커라고 부르지 않습니다. 이들을 해커라고 부르는 것은 해커에 대한 모독입니다. 이들은 그저 악랄한 범죄자들일 뿐입니다)
메시지의 내용은 단순합니다.
"너네들 서버는 감염되었다, 48시간 내에 컨택하지 않으면 우리도 키 삭제하고 연락 끊을거다" 뭐 이런 내용입니다. 시간까지 못 박아버리니 악랄하죠.
2중 암호화 방법을 쓰기 때문에 해독이 안 됩니다. 백업 등 다른 대안이 없다면 현재로서는 비트코인을 주고 복호화 키를 받는 것이 유일한 해결책입니다. 예전처럼 구라를 치거나 돈 만 받고 키를 안 보내거나 그러지는 않습니다. "너네들을 어떻게 믿냐?"라고 보내면 감염된 파일 중 크기가 작은 파일 2개 정도만 보내라고 합니다. 그럼 그걸 풀어서 다시 보내줍니다. 지네들은 키를 가지고 있다는 것을 증명하는 것이지요.

 

두 회사 모두 랜섬에 감염되었지만 복구 과정은 매우 달랐습니다. A회사는 10대의 서버를 클라우드에서 돌리고 있었고, B회사는 2대의 서버를 본사에 두고(온 프레미스)운용했습니다.

 

A회사는 충실한 일백업을 하였고, 사건 발생 직후에 감염된 서버 10대의 모든 네트웍만 차단하고, 클라우드에 새로 리소스를 할당하여 10대의 서버를 생성했습니다. 그리고 백업본으로 복구를 하고 그게 잘 돌아가는지 확인까지 마친 다음, 감염된 10대의 서버를 날리고 클라우드 쪽에 반환했죠. 새벽에 감염이 발견이 되었지만, 당일 저녁에 모든 복구를 마쳤습니다. 비용은 하루 클라우드 10대 정도 더 쓴 비용이 청구되었습니다.

 

B회사는 백업이 없었고, 범죄자들과의 지루한 협상 끝에 상당한 비용을 지불하고, 10일 정도 걸려서 복구를 완료했습니다. 고작 2대의 서버를...

 

예전에 랜섬은 주로 그물을 던지는 방식이었습니다.
프로그램에 심거나 이메일로 무작위로 던지는 방식이었죠.
프로그램은 주로 절박한 프로그램에 심습니다. 예를들면 사진을 날렸을 때 복구하는 프로그램, 파일을 지웠을 때 복구하는 프로그램(undelete, unerase...) 을 인터넷에서 뒤지는 사람들은 절박한 사람들이죠. 이것 저것 복구가 된다는 프로그램들을 다운로드해서 실행해 봅니다. 그런 프로그램들 중에 재수가 없으면 랜섬이 심어져 있고, 실행하는 순간 바로 감염이 이루어집니다. 이 메일 역시 사람들의 심리를 이용합니다. 일확천금 대박이 나는 정보라던가, 비싼 상용 프로그램들을 공짜로 쓸 수 있다거나 하는 메일들이지요. 세상에 "공짜 점심"은 없습니다.

 

이런 방식은 범죄자들 조차 어느 컴퓨터가 감염이 되었는지 모릅니다. "나 걸렸으니 해결 방법 알려줘"라고 연락이 와야 지네들도 그때서야 비로소 알게됩니다. 누가 해당 프로그램을 다운받았고, 누가 그 이메일을 열었는지 모르니까요. 그야말로 그물 던지고 잡히는 고기가 있는지 보는거죠. 어부도 그물 던지고 끌어 올리기 전에는 자기가 던진 그물에 어떤 고기가 몇마리나 잡혔는지 모르잖아요.
 

그런데 이런 그물 방식이 백신이나 디펜더의 발달로 점점 돈벌이가 안 되기 시작합니다. 다운로드나 이메일이나 요즘은 고객(?)에게 도달하기 전에 다 걸러버리니까요.

 

그래서 요즘은 그물을 던지는 방식에서 고래를 사냥하는 식으로 바뀌었습니다. 한 마리를 "발견하고" 끝까지 추적해서 작살을 꽂는 방식이지요. 그렇다고 해서 특정 회사나, 개인 또는 서버를 처음부터 타겟으로 삼는다는 의미는 아닙니다. 앞 문장에 제가 발견하고 에 따옴표를 쳤는데, 무작위로 서버들을 두들겨 보고 발견이 되면 파고드는 것이지요.

 

그럼 어떤 서버가 "발견이 되는" 서버일까요?
위에 적은 masscan이라는 랜섬은 주로 db서버를 노립니다.
왜냐하면 SQL은 포트가 3306으로 고정이 되어있으니까요.
RDP로 주로 사용되는 3389 포트도 좋은 먹잇감입니다. 3389 포트가 뚫리면 데스크탑이 통째로 범죄자들 손으로 넘어가므로 그야말로 안방을 내어주는 셈이지요. 주로 사용되는 서버 하나만 뚫리면 그때부터는 게임 끝입니다. 거기에 명령어 히스토리, 내부 IP 등등... 다 들어있으니까요.
(우리 눈에 안 보인다고 없는 것이 아니지요. 예를들어 PC의 사용자-접속ID폴더에 가면 .ssh 라는 폴더가 있습니다. 숨김 폴더라서 숨김 파일/폴더 보이기를 하지 않으면 안 보이는 폴더입니다. 그 폴더 안에 known_hosts 라는 파일이 있는데 그 파일 열어보면 신뢰하고 접속하는 서버 주소가 다 들어 있습니다)

 

RDP는 주로 클라우드 서비스를 이용 할 때나, 원격에 있는 PC나 서버의 데스크탑을 컨트롤 할 때 사용하지요. 많이들 쓰시는 오라클 클라우드를 예로들면 접속 방법이 ssh 하나 밖에 없어서 CLI 환경에 익숙하지 않으신 분들은 불편 할 수 있죠. 그래서 gnome desktop 같은 것을 설치해서 GUI 환경으로 사용하려면 3389 포트열고 윈도우 PC에서 RDP로 접속하죠. 내가 접속할 수 있는 방법을 열어두면 다른 사람들도 언제나 그 가능성이 열려 있다는 생각을 해야 합니다.

 

1. 3306포트는 외부로 개방하지 마세요.
2. 혹 필요해서 개방하는 일이 있더라도 작업이 끝나면 반드시 다시 닫아야 합니다.
3. db 사용자 생성도 'id'@'%' 이런거 만들지 마시고 'id'@'localhost'로 하세요.
4. db 접근 권한도 귀찮다고 grant all privileges on *.* to 하지 마시고 그 id에 꼭 필요한 db만 grant all privileges on dbname.* to 하시고요.
5. 권한 부여시 with grant option 남발하지 마시고요.
6. RDP는 효용성도 별로고 속도도 느려서 별 쓸 만한 프로토콜이 못 됩니다.
7. 굳이 써야한다면 역시 SQL처럼 포트열고 쓰고, 쓰고 나면 포트 닫고,
8. 그게 귀찮아서 항상 열어 두시려면 최소한 포트 번호라도 18933 이라던지 뭔가 다른 포트 번호를 쓰세요.
9. 서로 다른 장소로 이중 백업을 하는 것 만이 데이터를 지키는 유일한 방법입니다.

 

도움이 되기를 바랍니다.

신고공유스크랩
7
1등
콜라 2022.09.07. 11:41

이런 악한 사람들에게 해커라는 단어흘 사용해서 it에 종사하지 않는 분들은 해커, 해킹을 나쁘게 봅니다.

좋은 목적으로 해킹하는 사람을 화이트해커라 하고, 이런 용도로 해킹하는 자글을 해커라고 부르는데..

quad님 말씀에 동감합니다.

이건 그냥 범죄죠.

 

포트 바꾸고 비번 바꾸고 권한 최소화하고.

접속에 제한 두고(ip 기반 firwall이 될수도 있고, db의 경우 계정에 접속자의 ip를 지정하는 방법이 될수도 있고, 지역기반이 될수도 있겠죠)..

이것이 기본인데 참 안되는것 같습니다.ㅠㅠ

 

제 지인도 감염되었는데(다행히 구글에 백업 되어있어 데이터는 살린듯 합니다) 

감염되고 나서야 보안에 신경을 쓰더군요..

안타까워요 

profile image 3등
greymin 2022.09.07. 11:53

보안+백업+스냅샷… 만이 랜섬에서 구출해주는.

개인서버에선 해킹보다 랜섬이 더 걱정되더라구요.

 

profile image
달소 2022.09.07. 15:04

정말 좋은글입니다.

집에서 서버를 운영하신다면 반드시.. 따라야할 보안수칙들이지요.

외부로 포트오픈만안해도 대부분의 스캔성공격은 막을수있는데 열어둔다는건.. 너무 위험한 세상이니까요

profile image
DEN316 2022.09.07. 19:43

저는 최근에 방 정리한다고 서버 꺼서 창고에 잠깐 넣어놨는데 다시 켤 때 주의해야겠네요

허어 2022.09.09. 16:56

그런데 지금 QNAP 만 너무 잘 그런게 기본적인 OS 의 헛점이 있는가 싶은 의심이 듭니다

가인 2022.09.26. 12:25

이글 읽고 평소 백업도 이중으로 하지만

스냅샷 가능한 볼륨은 모두 찰칵 했습니다.감사 합니다.

댓글 쓰기 권한이 없습니다. 로그인

취소 댓글 등록

cmt alert

신고

"님의 댓글"

이 댓글을 신고하시겠습니까?

댓글 삭제

"님의 댓글"

삭제하시겠습니까?


목록

공유

facebooktwitterpinterestbandkakao story
번호 분류 제목 글쓴이 날짜 조회 추천
정보 안녕하세요! 새로 가입했습니다. 5 Razorbacks 8시간 전18:06 70 +1
정보 서버포럼 가입인사겸 저의 홈서버를 소개합니다!! 9 툭툭이 15시간 전11:14 378 +9
잡담 가지고 놀기 좋은걸 찾았습니다. 8 주차장 2일 전17:47 467 +1
3778 오픈소스
image
달소 3시간 전22:53 41 0
3777 정보
image
달소 4시간 전22:48 33 +1
3776 정보
image
Razorbacks 8시간 전18:06 70 +1
3775 질문
normal
맛밥 11시간 전15:34 154 0
3774 정보
image
툭툭이 15시간 전11:14 378 +9
3773 질문
normal
유니파트 1일 전22:09 198 0
3772 질문
image
반투검스 1일 전12:46 68 0
3771 질문
normal
니즛 2일 전00:37 340 0
3770 잡담
image
주차장 2일 전17:47 467 +1
3769 질문
image
양미 2일 전11:16 217 0
3768 질문
normal
주차장 3일 전23:44 173 0
3767 질문
image
surno 4일 전00:56 122 0
3766 질문
image
TANG 4일 전19:14 402 0
3765 질문
image
게르노 5일 전23:55 461 0
3764 질문
normal
very 5일 전09:57 209 0
3763 질문
normal
ljr10 5일 전09:11 86 0
3762 질문
normal
very 6일 전18:04 242 0
3761 가이드
normal
minis 6일 전14:20 156 0
3760 잡담
normal
아나나나나다 24.03.21.12:58 372 0
3759 질문
normal
하핳 24.03.20.14:19 205 0