'랜섬웨어'에 해당되는 글 2건

과거 ftp를 많이 사용하던 시절, ncftp는 기존 ftp 쉘 프로그램의 한계를 극복하는 훌륭한 프로그램이었습니다. 북마크, 디렉토리 포함해서 다운로드, 업로드 등 여러가지 다양한 기능이 있었죠.

하지만, ftp의 취약점이 널리 알려진 지금은, 기업이나 학교의 경우 망 공급원(ex. KT, SKB, LGU+ 등)의 메트로스위치에서 ftp나 smb 포트를 막는 경우가 많습니다. 특히 최근 인터넷나야나 사태를 비롯하여 에레버스(Erebus), 워너크라이, 페트야 등 악성 랜섬웨어의 창궐로 보안의 중요성이 더욱 강조되고 있습니다.

scp 도 명령어에 해당 서버의 계정정보를 적기 때문에 보안에 완벽하다고는 할 수 없지만, 주고 받는 데이터는 암호화 하기 때문에 ftp나 ncftp에 비해 안전하다고 볼 수 있습니다. 그럼 scp 사용법을 알아보겠습니다.

1. 원격서버 파일 -> 로컬서버로 전송

# scp [옵션] [원격지서버계정]@[원격지서버 IP]:[원격지서버 디렉토리] 로컬서버:[디렉토리]

실제 예제를 보시면, 이해가 쉽습니다.

예를 들어 10.10.10.1 서버에 있는 /home/backup 디렉토리를 로컬 서버의 /home으로 복사하려고 할 때, 아래와 같은 형식으로 명령어를 실행하면 됩니다.

# scp -r root@10.10.10.1:/home/backup /home/
미리 로컬파일 /home으로 이동하면 . 으로 로컬 경로를 대신할 수도 있습니다.
# scp -r root@10.10.10.1:/home/backup .

파일 하나만 전송할 경우는 -r 옵션을 빼고 실행하면 됩니다.
# scp root@10.10.10.1:/home/backup/test.tar.gz /home/
# scp root@10.10.10.1:/home/backup/test.tar.gz .

2. 로컬서버 파일 -> 원격서버로 전송

# scp [옵션] 로컬서버:[디렉토리] [원격지서버계정]@[원격지서버 IP]:[원격지서버 디렉토리]

로컬서버의 파일을 원격지로 전송하기 위해서는 로컬서버와 원격지서버 정보를 바꾸면 됩니다.

# scp -r /home/ root@10.10.10.1:/home/backup 
# scp /home/backup/test.tar.gz root@10.10.10.1:/home/backup

3. scp 옵션

scp man page에는 여러 옵션이 있지만, 실제 사용하는 옵션은 몇 개 안됩니다.


     -P port  --> ssh 기본포트인 22번 외 다른 포트를 사용할 경우, 이 옵션을 사용합니다

     -p      Preserves modification times, access times, and modes from the original file.
원 파일의 속성을 그대로 유지할 경우 사용합니다.
     -r      Recursively copy entire directories.  가장 많이 사용하는 옵션입니다. 디렉토리 전체를 scp 할 때 사용합니다.

4. sshpass 설치 및 사용법(scp 자동화)

scp로 원격지 파일을 가져오거나, 보낼 때 접속계정의 비밀번호를 입력해야 합니다. crontab 등을 이용하여 scp를 자동화, 스케줄링 하려면 비밀번호 입력절차를 scp 옵션에 포함해야 합니다. 이를 위해서는 sshpass 를 사용합니다. sshpass는 CentOS 7 의 경우, 기본 패키지에 포함되어 있지 않기 때문에, 사용하기에 앞서 yum으로 설치합니다.

# yum -y install sshpass*

설치가 완료되면, 아래와 같이 scp를 실행합니다.
sshpass -p [패스워드] scp [옵션] [원격지계정]@[원격지서버]:/[경로] [로컬서버 복사할 위치]


예제: 10.10.10.1 서버, ID: root, PW: test, /tmp/1.html 을 로컬서버 /home/backup으로 복사
sshpass -p test scp -r root@10.10.10.1:/tmp/1.html /home/backup

ERP서버 환경(8년 전 모델)

OS: Win Serv 2008 R2 Entp SP1

DBMS: MS SQL 2008 E2

NET: only 내부접속

DISK: C(사스, 레이드1, 120기가), DE(사스, 노레이드, 파티션 분할, 300기가)

1. 출근하자마자 늘 그랬던 것 처럼 서버 점검을 하는데 ERP 서버 바탕화면만 보아도 이상했음. 파일 몇개 살펴보니 더 살펴볼것도 없이 랜섬웨어 감염을 확신했음. 백신은 삭제되었음. (V3 net for Server 사용)

2. 랜섬웨어에 감염된(이하 암호화된)파일은 그러나 이전의 암호화된 파일과는 다르게 랜섬노트를 생성하지 않았고 기존의 파일명과 확장자는 유지하되 그 뒤로 복호화에 필요한 코드 몇 자리와 이메일주소, 그리고 Devos라는 확장자로 마무리 되는점이 특이했음

3. 암호화된 시간을 확인해보니 당일 오전 6시 전후부터 오전 8시 전후로 주요 파일을 암호화 시켰음

4. 일단 랜선을 뽑고, 프로세스를 확인해보니 recuvadb.exe 라는 프로세스가 파일을 암호화한것으로 확인함. 이 실행파일은 시작프로그램에 등록되어 있었고 User\appdata\local 내 위치하고 있었음

5. 우선 파일을 압축하여 보존하고 안랩에 신고조치하고, 이벤트뷰어를 살펴보니 당일 오전 5시 30분에 원격데스크톱으로 접속한 의심가는 기록을 찾을 수 있었는데 접속지는 ERP 유지보수 업체로 유일하게 외부에서 접속할 수 있는 경로이고 방화벽에서 화이트리스트로 관리하고 있었음(NAT)

6. DB도 암호화되었는데 DB백업파일은 다른 디스크에 백신으로 쓰기금지를 설정해 놓은 디렉토리내 sql프로세스만 허용하여 백업파일을 보관하고 있었음. 근데 백신이 삭제되어 DB도 암호화되었음(1차 병크) 원래는 물리적으로 연결이 차단된 하드디스크에 백업파일을 보관해 놓았었는데 총무업무를 병행하다보니 시간이 부족해서 나름 잔머리를 굴린다고 굴렸는데.. 1년 6개월 동안 문제없이 쓰다가 이렇게 뚫려버림...

7. 다른 서버도 점검했는데 다른 서버는 이상 없었음. 방화벽, 작업스케쥴러, 백신, 프로세스, 서비스 등 싹 검사했는데도 불안함.. ㄷㄷ

8. 팀장에게 먼저 보고하고 대표는 부재중. ERP업체와 연락하여 대략 떠 봤는데 지네가 유지보수 하는 다른 업체도 랜섬웨어에 감염되었다며 호들갑....... 방문 요청하고 복구 방법 고민. 대표님은 현재 진행중인 큰 프로젝트가 있어서 빠른 복구 주문 

9. 복구방법은 두가지였는데 복구 가능한 온전한 백업파일은 약 1년전 파일로 복구 후 현재까지의 데이터를 수기로-_-.... 입력하는 방법(사실상 불가능), 또 다른 하나는 유포자의 요구사항을 들어주고 복호화하는 방법

10. 이 와중에 ERP 유지보수업체에서 랜섬웨어 복구 자체기술이 있다는 업체를 소개 받았는데 빙빙 둘러 얘기만하더니 결국 랜섬웨어 방지 솔루션 영업... 바로 차단

11. 대표님 복귀하여 보고 후 각 부서 팀장 소집하여 1년전 백업본으로 복구한 뒤 현재까지 데이터 입력하는데 얼마나 시간이 걸릴지 계산하라고 하고 나에게 유포자와 컨텍하라고 함

12. 각 부서 팀장님들 안색 급격히 어두워짐. 나한테 무슨 방법 없냐고 호소. 나도 딱히 답을 해 드릴순없었음. 유포자에게 메일로 연락하니 다른 랜섬웨어 유포자 요구랑 별 다르지않음 결론적으로 1.24비트코인 요구(당시 시세로 약 1,200만원)

13. 금액 보고 후 먹튀 리스크 고민하다가 방법이 없어 진행하기로 함. 국내 유명 복구 업체 중간에 끼고 진행

14. 유포자는 입금 받고 복구툴 제공. 복구하는데 약 2시간 걸림. DB.bak파일은 무슨 문제인지 복구가 안됨. mdf와 ldf로 복원하기로 함

15. 이제부터 진짜 병크 시작

16. mdf가 온전한지 확인하기위해 또 bak을 만들어 복구하기 위해 ERP서비스를 돌리려니 DB 정합성이 깨져서 그런지 MS SQL서비스가 제대로 돌아가지 않음

17. 임시 서버 하나 만들어서 테스트해보는데 복구가 계속 안됨. 자세한 내용은 해가 될 수 있어 생략(병크 2)

18. 어쨋거나 ERP서버를 정상화 하기 위해 일단 포멧후 세팅하고 운용해야하는데 랜섬웨어를 신고하면 이 서버는 중요 증거가 되어 보존하는게 맞음. 그러나 여분의 서버는 없고 준비하기까지 시간이 오래 걸림. 서버는 포멧하되 내용은 최소한 보존이라도 하기 위해 이미지를 뜨기로 함

19. 디스크를 이미지 뜨려고 보니 용량이 부족했고 혹시 하는 심정으로 USB 외장하드를 물려 시도했으나 인식을 못해 실패

20. 남는 SAS하드를 추가하여 용량 확보후 이미지를 뜨려고했는데 ERP SAS는 2.5인치.. 여분의 하드는 3.5인치 (병크 3)

21. GUI에서 작동하는 이미지툴로 시도했으나 왜인지 4시간동안 잘 진행하다가 오류메세지 뿜고 실패(병크 4)

22. 이미지뜨는게 실패해서 포기하고 로그나 저장하려고 보니 D, E드라이브 상태 이상

23. 배드섹터증상과 흡사하여 떼서 테스트 pc에서 검사해보니 배드발생. 논리배드일수도 있어서 로우포멧 해봤지만 물리배드 다행히 중요정보는 백업되어 있었음(병크 5)

24. 하드를 떼버리고 레이드걸려있는 120기가짜리 C를 포멧하고 윈도설치하고 sql설치하니 db를 운용할 여유공간이 얼마 없음. 마침 5월 연휴 직전이라 구입해도 연휴 끝나고 올것 같아 평소 친분있는 업체에 도움 요청하니 다음날 오전 11시에 하드 하나 가져다 줬음

25. 다음날 하드 추가후 mdf로 db복원 성공. 서비스 정상 구동 성공

26. 올해 초에 서버 및 소프트웨어 품의를 올렸으나 잘 쓰고있다는 이유로 반려당했었는데 이번 일을 계기로 새로 구입함.

27. 키사에 연락하여 도움 요청하니 erp유지보수업체 pc 확보 요청 받음. 이건 현재 진행 중....

28. 빠른 시일 내 경찰에 신고할 예정

29. 전산관리자로 입사했는데 인력 충원을 부담스러워하는 팀장 아래 별의 별 총무업무를 병행하다보니 자연스럽게 전산업무의 퀄리티가 떨어지게 됨. 전산실에 들어가 있는것 자체를 못마땅하게 여김.. ㄷㄷ... 나도 시간이 오래 걸리는 로그 확인, 백업 검증등의 작업은 패스한지 오래... 이번일을 계기로 업무분장을 요청했으나 팀장은 별 대꾸없는 중(핵 답답)

끝.