FUN IT [IT 소식 ㆍ 기술 ㆍ 노하우]

안녕하세요

쉐어스퀘어

입니다. 

먼저 해당 소식은 안랩(AhnLab)의 보안 이슈 소식을 참조하여 작성하였음을 알려드립니다. 

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=32386

안랩의 ASEC 분석팀이 FARGO 랜섬웨어를 발견했다고 합니다. 

FARGO란 Globelmposter 랜섬웨어와 같이 취약한 MS-SQL 서버를 공격하는 대표적인 랜섬웨어라고 하는데요

제가 관리하고 있는 서버 중에도 MS-SQL 서버가 있어서 주의 깊게 보게 되었습니다. 

[랜섬웨어(FARGO)의 동작 및 유포 방식]

MS-SQL 프로세스에 의해 cmd.exe 또는 powershell.exe를 거쳐 파일을 다운로드한 후 

닷넷 프레임워크(.Net Framework)를 통해 특정 주소에서 추가 악성코드를 불러와서 

%temp% 경로에 BAT 파일을 생성하고 실행한다고 합니다. 

(BAT 파일은 특정 프로세스 및 서비스를 강제로 종료하는 명령) 

[FARGO 랜섬웨어를 통한 공격]

이후 해커는 FARGO 랜섬웨어를 정상적인 윈도우 프로그램인 AppLaunch.exe에 주입하여 공격을 실행하게 되는데, 

특정 경로에 존재하는 레지스트리 키 삭제를 시도하며, 복구 비활성화 명령어를 실행하고

특정 SQL 프로그램의 프로세스를 종료한다고 합니다. 

쉽게 얘기해서 결국에는 여느 랜섬웨어들과 같이 파일들을 암호화한 후, 

감염 파일들에 대한 복구를 명목으로 돈을 갈취하려 하겠지요..

[FARGO 랜섬웨어 공격 대비 방법]

FARGO 랜섬웨어는 계정 정보 관리가 허술한 데이터베이스 서버를 대상으로

무차별 대입 및 사전 공격을 가한다고 합니다.

또한 취약점이 패치되지 않은 시스템도 공격할 수 있다고 합니다. 

이에 대해 안랩에서는 아래와 같이 예방 방법을 권장했습니다. 

"계정의 비밀번호를 추측하기 어려운 형태로 설정하고 주기적으로 변경해야 한다."

"반드시 최신 버전으로 패치를 진행하여 보안 위협에 대비해야 한다."

[개인적인 의견]

쉬운 말인 듯 하지만 관리하는 서버가 1개라 해도 암호를 최소 분기별로 변경 관리를 한다거나, 서버 보안 패치를 최신으로

적용하는 것이 쉽지 않을 겁니다. 만약 관리 서버의 수량이 몇십 개, 몇백 개가 된다면 더욱 힘들겠지요. 

그리고 보안패치를 최신으로 진행했을 때 서버 내에 작동하는 프로세스들이 갑자기 작동하지 않는 호환 문제가 발생할 수 

있기에 또한 쉽지 않은 문제일 것입니다. 

그러나 노력을 해서 최대한 대비하는 것이 관리자의 사명감이기에 노력을 해야겠지요 :) 

이와 같은 노력이 필요할 것 같습니다. 

"서버 암호 주기적 변경" : admin, administartor, manager 등의 관리자를 지칭하는 단어나

서버 IP, 회사명, 서버 유저명 등의 유추 가능한 단어를 사용하여 암호를 생성하는 것은 위험합니다.

따라서 해커가 예측하기 어려운 단어들을 찾아서 주기적으로 변경하는 것이 안전할 것입니다.

"외부망으로의 접근 차단" : 내부망으로만 작동하는 서버라면 인터넷 망으로의 연결을 아예 끊거나,

만약 인터넷 망을 이용하여 외부와 통신이 필요한 경우 VPN 장비를 설치하여 일대일 전용망을 구축하거나,

방화벽, IPS 등의 보안 장비를 활용하여 특정 외부 IP, 특정 포트만 열어주어 서버로 접근할 수 있는 범위를

최소한으로 설정하는 것도 방법일 것으로 생각됩니다.

FARGO 랜섬웨어에 대한 보다 자세한 내용은 아래의 링크를 참조하시면 됩니다. 

아무쪼록 랜섬웨어로부터 큰 피해받지 않으시길 마음으로 기원합니다. 

이상 쉐어스퀘어 였습니다.

AhnLab | 보안 이슈

오늘의 글이 도움이 되셨다면,  하단의 공감, 구독 버튼을 꾸욱 눌러주시면  IT관련해서 더 유용한 글을 제가 작성하는데에  큰 힘이 됩니다 :)  감사합니다.