인터넷 호스팅 업체 나야나 랜섬웨어 분석결과.txt

[갤럭시노트8]

* 업로더 유의사항 : 성인자료, 수익성 홍보물 금지, 정치관련 게시물은 토론게시판에 업로드

* 댓글러 유의사항 : 분쟁,논란댓글이 발생시 신고게시판 or 딱게로 유도해주세요. 정치논쟁은 토론게시판에서 ㄱㄱ

1. 공격의 분류 : 신종 APT+ 리눅스 랜섬웨어



2. 공격 상황에 대한 오해와 그 분석



– 피해를 받은 서버는 대략 150여대
– 발견된 랜섬웨어 특성: 리눅스 OS용 및 중국 문자 set포함
– 시중의 유언비어 : 삼바 보안 버그
‘삼바 보안 버그’같은 내용은 유언 비어라 판단됩니다.

– IP Tables 방화벽 기본 운영 됨

– 취약점 보완 완료. 그래도 의심되는 공격 경로는 내부 IP

– 암호 보관 및 관리

150여대의 서버에 대한 접근 패스워드는 개별적으로 암기하여 관리 되는게 어려워, 회사 내부의 서버 관리자들끼리 공유 되어야 하는 바, 암호화된 exel 파일로 관리 되어 usb에 담아져 운용되고, 필요시 암호를 입력하여 엑셀파일을 열어서 보고 운영하는 방식으로 패스워드통해 나름 관리 운영되고 있었습니다.



– 한국과 연관 깊은 공격자: 취약한 시간대 공격 등

– 교과서적 백업 운용

‘인터넷 나야나‘는 교과서적인 백업 정책을 구사하고 있었습니다. Stand by server를 운영 하여 실시간 장애 대비를 하고 있었고, 별도 백업 스토리지에 더하여 이미지 스냅샷을 실시간으로 저장하는 유료 솔루션을 이용한 실시간 CDP 이미지 백업까지 하고 있었습니다.
그러나 공격자는 STAND BY SERVER와 백업 스토리지 서버를 삭제하고 랜섬웨어로 자료까지 손상되도록 하였고, CDP 백업은 스냅샷 한계치 이상으로 스냅 샷을 계속하도록해서 결과적으로는 보유 이미지 모두가 랜섬웨어로 망실된 스냅샷 만보관되도록하여 복구 불가능한 상황을 만들었습니다. 한마디로 전문적인 범죄자로 호스팅 업계를 이해하거나 최소한 교과서적인 백업을 어떻게 무력화시키는 것인지 잘 아는 자의 소행이라는 것을 알 수 있습니다.



3. 공격 경로
– 회사 내부자의 범죄
– 내부자 컴퓨터의 악성 코드 감염과 그로 인한 이차 공격 
– 접속 허용 된 외부 컴퓨터의 악성 코드 감염과 그로 인한 이차 감염

출처 : http://idchowto.com/?p=35203

[송다혜]

음........무슨말인지 하나도 모르겠다....

[조문근]

문송합니다

[Salary]

헉 리눅스용도 있구나

[Aopez]

내부자 컴퓨터 하나로 싹다털어버렸네

[금두더지]

엔지니어가 꼭지돌아서 터쳤나 보네

[티모.]

저와는 대체로 다른 견해이지만 찬성하는 입장입니다.

[DELTA]

3차 백업까지 대비했는데도 저렇게 하면 방법이 없음

[한화이글쓰]

회사 내부자의 범죄???

[Eardose]

그럼 내부자가 서버 보안 털고 외부 공격에 노출 시켰다는 뜻?

[우리술]

공격경로는 저 셋 중 하나가 유력하다는거예요

[레 벨 업]

내부자가 등돌리면 백업 할애비가 와도 소용없지. 그냥 당하는 수 밖에

[Illyasviel von Einzbern]

내부자의 악성코드 감염이 유력하다고봅니다.

보통 내부망과 직접 연결할수있는 컴퓨터는 엔지니어 및 작업자의 컴퓨터밖에없죠 내부망자체를 누군가가 들어올수있는 경로는 없어보이고

엔지니어의 컴퓨터가 악성코드에 감염된후 해당컴퓨터에서 내부망으로 접속하여 랜섬웨어를 뿌린거라고보는게 제일유력해보임

[리 설주]

저도같은생각임

[DrillDog]

내부자네

[붕어팡]

범인 잡는건 힘드나