밑에 보니 IE 권하는 사람 있던데. 랜섬웨어에 대해 다시 한번 설명.
2016.06.07 20:17
지금 대부분의 랜섬웨어 감염 방식을 전에 한번 설명 했는데 다시 해 드리죠.
플래시 임시 저장 기능 취약점을 이용,
랜섬웨어 바이러스 실행 파일을 임시저장 시킨 후,
IE 액티브 엑스 실행 코드가 임시 저장된 랜섬웨어 실행 파일을 동작 시켜서
랜섬웨어가 감염 및 동작 하게 되어 있슴.
즉, 플래시 혼자만으로는 랜섬웨어가 동작 되지 않으며
결정타는 엑티브 엑스의 취약점을 이용해서 동작하는 것임.
MS 가 10 부터 엣지를 기본으로 쓰는 이유도 이 때문인 것.
엣지부터는 크롬처럼 실제 컴퓨터 환경을 변화 시키는 엑티브 엑스나 플러그인 지원 자체를 안함.
IT 종사자 및 유지보수 업자들은
고객들에게 IE 사용에 대해 경고 하시고
크롬, 엣지, 파폭 사용하도록 적극 권장 하시길 바람.
무엇보다,
매니안에서 잘못된 정보가 퍼지지 않길 바람.
댓글 [10]
-
hanco 2016.06.07 20:20
-
BEANDONG 2016.06.07 21:03
정보 감사드립니다
-
혈혈존오 2016.06.07 21:12
좋은 정보 고맙습니다.~^^
-
오펜하이머 2016.06.07 21:55
문제는 빠르다는 이유로 남발하는 사람이 너무 많다는것이며
더욱 문제는 IE만을 강요하는 관공서, 금융기관이 버젓히 존재한다는것..
이는 무식의 극치를 보여주는 참으로 한심한 노릇...
-
nabbiriri 2016.06.07 22:17
확률이 낮다뿐이지 크롬, 파폭 써도 걸릴 수 있지않나요?
백업 생활화, 백신 사용+업데이트 및 보안패치 잘 해주고 이상한 자료나 사이트 가지 않는게 최선인듯 싶네요..
-
[벗님] 2016.06.07 22:44
flash ax 지워버렸네요... 하도 극성이래서.... ppapi npapi 만 나뒀는데...어쩔라나....
flash ax 지우니 컴용 플래쉬 기반 플레이어들도 영향을 받는군요...아.... -
DarknessAngel 2016.06.08 02:54
플레쉬 단독으로 문제됩니다
예를 들어 IE11 최신 업데이트까지 다 하고, 플레쉬 구버전 깔면 한방에 탈탈 털립니다
ActiveX란것자체가 COM을 포함하여 상위 권한까지 접근 가능한 권한을 가지기때문에 어떤 ActiveX라도 뚤리면 한방에 다 털린다고 보면 됩니다 (실재로 플레쉬만이 아니라 실버라이트 노리는경우도 꽤 많습니다)
임시저장할 필요도 없이 광고팝업등에 플레쉬 삽입후 swf내부에 스크립트로 익스플로잇에 필요한 코드 집어넣은후 그걸 띄우기만 하면 대비 안 된 구버전경우 한번에 감염됩니다
예를 들어 해당 스크립트에 특정 서버에서 특정 파일 받아서 실행하게 해두고, 익스플로잇 통해서 실행권한만 뺏으면 플레쉬 설정에서 임시공간 못 쓰게 막더라도 아무 상관없이 감염가능합니다 (플레쉬 익스플로잇 -> 내장 스크립트 (브라우저랑 동일 계정 권한 -> 실재 목표가 되는 감염용 파일)
만일 익스플로잇으로 다른 익스플로잇 다운하게 해서 브라우저 취약점이라도 노리면 IE경우 좀 더 상위 권한을 획득하는것도 어렵지 않습니다 (싸구려 백신 쓰는경우 이런부분 감시 제대로 안 해주는경우 상당히 많습니다) (물른 직접 js나 기타 방법으로 브라우저 뚤어도 되지만, 보통 이런부분은 백신이 좀 더 철져하게 감시하고 있습니다만, 간접적으로 돌리거나 다운로드후 로컬에서 실행하는것처럼 하면 취약한 경우도 많습니다)
추신 : 최근 몇년간 익스플로잇킷 너무 저렴하게 돌아다녀서 수십달러만 있으면 개나소나 다 감염시키거나, 좀비 만들 수 있습니다 (랜섬킷도 크게 비싸지 않습니다
추신2 : 요즘 썩어넘치는게 좀비인지, 차단하는것만으로 지칩니다
-
입니다 2016.06.08 09:56
님 글에도 결국 엑티브 엑스 실행 코드로 동작한다고 해놓고는 단독이라니요?
단독 동작 가능이면 예전 플래시 구버전일때 크롬, 파폭으로도 다 퍼지고,
리눅스, 유닉스, 안드로이드 에서도 다 퍼졌죠.
플래시 자체는 실행 파일을 동작 시키는 기능 자체가 없기 때문에 그런 일이 벌어지지 않는 겁니다.
액티브 엑스 취약점이란 개념은
일반적인 보안 취약점 과는 달리
그냥 엑티브 엑스 자체의 정상적인 기능 자체가 보안에 취약한 방식이란 의미입니다.
그래서 업데이트 한다고 해결 되지 않습니다.
그냥 스크립트로 엑티브 엑스 실행 코드 호출 하면 끝납니다.
물론 상위 권한을 뚫는 바이러스를 동작 시키는 형태로.
-
DarknessAngel 2016.06.08 16:18
조금 의미가 다르게 전달된듯합니다
굳이 다른 익스플로잇을 추가 다운로드하거나 안 해도 된다는 의미입니다
IE구조상 플러그인을 격리하는 아무런 장치도 없습니다
플레쉬 하나만 뚤어도 브라우저 구동중인 권한 계정과 동일 권한으로 명령을 실행 가능합니다 (문제는 다른 브라우저는 그나마 이런부분을 신경 써서 센드박스 처리하던지, 프로세서를 분리라도 해두는데, IE는 그런것도 없습니다)
굳이 ActiveX특유의 COM등에 접근 가능한 취약한 부분을 통해 상위 권한을 안 얻어도 아직도 가장 많이 쓰는 7이라면 상당 비율 administrator를 사용하므로 해당 권한으로 명령 실행한 시점에서 시스템 한방에 날려버릴 가능성도 있습니다
-
윈라 2016.06.08 13:53
랜섬웨어 걸리신분들 물어보면 대부분 익스죠.거의 예외가 없는듯...
정보...고맙습니다....