WannaCrptor 랜섬웨어 침해사고

저 상황도 실제로 서버가 있는 폐쇄망에 랜섬웨어가 감염된 상황이다.

지인이 요청이 와서 도움을 줄려구 했는데 랜섬웨어가 감염되어 버리고 만것이다.

 

DMZ영역을 두고 웹서비스를 하는게 아닌 환경은 순수 내부 시스템이라고 하였다.

 

다음주 정부 감사를 위해 폐쇄망에서  OS, 백신 업데이트를  위해 인터넷 외부망을 물렸다고 한다.

 

소규모다 보니 구축도 제대로 안되어 있고, SMB취약점에 대해서 모르니

 

 외부망을 활성화 시키고, 심지어 폐쇄망에서 서버간의 소켓 통신하던 프로그램로

 인해 윈도우 방화벽도 설정 해제 상태 였다고 한다.

 

(웹서비스를 하지 않는 순수 페쇄망에서 어딜가나 보안 정책은 널널하게 한다. 인터넷도 안되는데 누가 들어 오겠어 하는 생각)

 

 

1] 가장 궁금한 부분은  SMB 감염 속도?

  약 하루정도 오픈 하였을뿐인데 이렇게 웜?? 형태로 감염되는게 본인은 이해가

 되지 않는다고 한다.

과거 IIS유니코드 버그의 코드레드 코드블루 님다 웜 경우는 윈도우2000서버를

 설치하면 바로 감염 되었다.  웜 형태는 자기 복제를 하여 대역대를 스캔 한다지만

SMB는 웜 형태는 아닌 랜섬웨어 제작자가 스캐닝을 하는 형태일 것이다.

물론 좀비PC를 많이 활용은 할것이다.

 

 

2] 백신의 효과성?

 

특정회사 제품의 사진을 올려놓고 게시물을 작성하는게 좀 걸리지만,,

 다른 회사들도 다 해당되는거 같다, 외산 국산 할거 없이 정말 얼마나 효과성이

 

있는지 의문 스럽다.

 

 이 부분은 공격자가 당연히 여러 테스트를 통해 우회 할수 있는 입장도 이해는 간다.

 

그리고 백신 업데이트시기와 SMB감염시기 중 우선순위에 따라서 충분히 감염된다고 이해는 된다.

 

 

3] 가장 이해가 되지 않는 부분인데 인터넷망을 각 서버마다 시간을 번가라가며  

 나누어서 물렸다고 하던데 잠복기를 거치고 두번째 물렸을때 랜섬웨어가 실제

 실행이 되었다고 한다.

 데이터가 커서(테라 단위) 다 될때 까지 기다린건가 하는 생각도 든다.

이 부분도 좀 이해가 되지 않는다.

 

그 잠복기 동안 좀 이상한 증상이 있었고, 데이터를 백업 할려구 보니 테라 단위

데이터라서 도저히 어떻게 해볼 도리가 없었다고 한다.

 

다음주에 정부에서 감사가 나온다던데,,랜섬웨어가 사람 여럿 잡는 구나 생각 든다.

담당자는 감사 전 늘 하듯이 똑같이 한것이다.

(그놈의 가이드 대로 폐쇄망도 백신과 OS , APP를 꼭 최신으로 유지하라고 되어 있다)

그러나 이번에는 그 상황이 많이 다른 환경이 되어 버린것이다.

 

그대로 두고 업데이트를 안했으면 감염이 안되었을텐데 하는 생각도 든다.

사고는 모든 우연이 다 맞아 떨어져야 된다.

담당자의 역량 부족 무관심이 가장 큰 원인이고, 방화벽 정책 설정 미흡 ,

VMS PMS 미구축

이중 하나라도 조건이 충족 되었으면 랜섬웨어 감염은 발생되지 않았을 수도 있다.