Update에 해당하는글 2



게시일: 2016-04-26 l 작성자: Trend Micro


사이버 범죄자들이 시스템과 네트워크의 취약점을 공격의 진입로로 이용하고 보안 취약점을 활용하여 공격을 확산하는 도구로 사용하면서, 패치 관리의 중요성이 부각되고 있습니다. 악명높은 SAMSAM 크립토 랜섬웨어의 공격이 이와 같습니다. 해당 랜섬웨어는 악성 URL 또는 스팸메일을 통해 침투하는 것이 아닌, 패치가 되지 않은 서버의 보안 취약점을 악용하는 악성 코드입니다.

지난 3월 켄터키 병원은 SAMSAM의 공격을 받아 모든 파일이 암호화 되었습니다. 네트워크로 연결된 파일도 암호화 대상에 포함되어 있었습니다. 의료 분야 공격을 시작으로, SAMSAM은 교육 분야로 확대해갔습니다. 최근에는 JBOSS 서버의 취약점을 이용한 SAMSAM 및 기타 악성 코드 공격으로 수많은 서버와 시스템이 감염되었습니다. JBOSS는 JAVA를 기반으로 하는 오픈소스 애플리케이션입니다. ‘Destiny’ 소프트웨어를 사용하는 시스템과 서버 또한 공격을 받았습니다. CISCO의 보고에 따르면, 해당 소프트웨어는 전세계 초ㆍ중ㆍ고등학교에서 광범위하게 사용되고 있습니다. Follet은 Destiny 소프트웨어 사용자를 위한 패치를 이미 발표하여 배포하고 있습니다.

보고에 따르면, JexBoss 익스플로잇 툴은 시스템 원격관리를 위한 스크립트인 ‘웹쉘’을 설치하기 위해 사용됩니다. 감염된 서버는 백도어, 웹쉘, 그리고 SAMSAM에 감염됩니다. 이후 랜섬웨어는 패치 되지 않은 서버에 확산되어 encryptedRSA 파일 확장자를 추가하여 파일을 암호화합니다.


패칭의 도전과제

SAMSAM이 취약점을 악용하여 네트워크를 침투하는 위협 방식의 첫 번째가 아니지만, 이러한 위협의 급증은 기업과 기관들에 새로운 보안 위험을 더해주고 있습니다. 기밀 데이터와 중요도가 높은 데이터가 암호화되거나 잃어진다면 기업들은 큰 금액을 지불하여 복구할 수 밖에 없습니다. 물론, 범죄자들에게 돈을 지불하는 것이 데이터의 완벽한 복구를 의미하지 않기 때문에 이를 추천하지 않습니다.

바이러스의 감염 벡터와 네트워크 매핑 능력이 정교할지라도, 시스템과 서버를 최신으로 업데이트하고 패칭을 적용하는 것은 공격을 막는데 큰 역할을 합니다. 하지만, IT 관리자들은 일별 시스템 운용, 중요 서비스 업데이트 유지, 네트워크 보안 등과 같은 다양한 문제에 직면하고 있습니다. 기업 환경을 보호하며 사업 운용을 유지하는 균형을 맞추는 역할을 하고 있습니다. 소프트웨어 제조사가 제로데이 익스플로잇 또는 취약점을 보완하기 위해 패치를 배포하게 되면 IT 관리자들은 이를 기업의 시스템에 직접 적용하기 전에 먼저 테스트를 진행합니다. 백버너에 패칭을 할 경우, 미션 크리티컬 시스템과 서버의 재시작이 필요하기 때문에 기업의 업무와 생산성에 방해가 될 수 있기 때문입니다.

연구에 따라면, 일반 기업에서 패치를 완벽하게 적용하기까지는 평균 30일이 걸립니다. 이 기간동안 기업은 공격의 가능성에 노출됩니다. 취약점을 이용한 공격이나 위협이 발생한다면, 기업의 보안이나 데이터가 위험 상황에 놓이게 됩니다.


가상패칭의 필요성

앞서 말한 패치 관리 문제는 가상패칭으로 해결될 수 있습니다. 해당 솔루션은, 추가 운용비용이나 다운타임 없이 취약한 서버와 엔드포인트를 보호합니다. 제조사 패치가 배포되기 전까지 가상패치를 이용하여 취약점을 보호하는 것입니다. 또한 제로데이 취약점 및 무작위 공격으로부터 긴급 패치 일정을 효율적으로 관리할 수 있습니다. 추가로, 레거시 시스템과 애플리케이션을 익스플로잇이 가진 위험으로부터 보호합니다.

가상패칭을 이용하면, SAMSAM과 같이 취약점을 악용하여 돈을 탈취하려는 시도로부터 기관의 중요 데이터를 보호할 수 있습니다. 관련된 패치를 당장 적용하지 않더라도, 해당과 같은 크립토 랜섬웨어로부터 서버를 보호합니다. 크립토 랜섬웨어가 현재 널리 확산되고 있는 악명높은 사이버 위협이라는 점에서 이는 매우 중요한 시사점입니다.

트렌드마이크로의 Deep Security는 가상패칭 기능과 더불어 침입탐지 및 방지 기능을 탑재하고 있습니다. 익스플로잇과 멀웨어 페이로드로부터 기업과 기관을 보호하는 통합 보안 솔루션입니다. 취약점을 이용한 위협과 공격이 오늘날 IT 환경에 널리 퍼져있는 만큼, 가상 패칭은 백신 프로그램과 방화벽과 같은 기본 보안 솔루션이라고 할 수 있습니다.

트렌드마이크로 Deep Security와 취약점 보호는 다음 DPI룰의 JBOSS 취약점을 이용한 공격으로부터 보호합니다.

  • 1007532-JBoss Application Server Unauthenticated Remote Command Execution Vulnerability
  • 1004189 – RedHat JBoss Enterprise Application Platform JMX Console Authentication Bypass

또한, 트렌드마이크로의 엔드포인트 솔루션인 맥시멈 시큐리티와 같은 제품은 악성 파일을 감지하여 SAMSAM과 같은 크립토 랜섬웨어로부터 보호합니다.

티핑포인트 또한 고객에게 다음과 같은 필터를 제공하고 있습니다.

MainlineDV

  • 9825: HTTP: JBoss jmx-console Authentication Bypass
  • 10502: HTTP: JBoss jmx-console Deployer Command Execution
  • 11822: HTTP: JBoss jmx-console Deployer Remote Code Execution Vulnerability
  • 13438: HTTP: HP Application Lifecycle Management JBoss Invoker Servlets Marshalled Object (ZDI-13-229)
  • 13515: HTTP: Attempt to invoke JMXInvokerServlet or EJBInvokerServlet (ZDI-13-229)

ThreatDV

  • 23872: HTTP: Ransom:MSIL/Samas.A Download Attempt
  • 23873: SMB: Ransom:MSIL/Samas.A File Transfer Attempt
  • 24140: TCP: Ransom:MSIL/Samas.B Download Attempt

JBOSS 서버를 최신 버전으로 업그레이드 할 것을 권장립니다. 공격에 사용되는 취약점 중 이미 오래 전 패치가 배포된 취약점 (예를 들어, CVE-2010-0738 CVE-2007-1036)도 있습니다. 또한 내부 서버의 방화벽을 이용하여 접근을 제한하는 방안도 추천드립니다.


원문: A Lesson on Patching: The Rise of SAMSAM Crypto-Ransomware




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


SAMSAM 랜섬웨어의 등장으로 살펴보는 패칭의 중요성

https://www.trendmicro.co.kr/kr/blog/lesson-patching-rise-samsam-crypto-ransomware/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.08 12:52



윈도 10이 출시된 이후 윈도 7/8 사용자들은 시스템표시줄에 아이콘으로 나타나는 윈도 10 업그레이드 알림에 끊임없이 시달렸다. 사실 윈도 10 자체는 윈도 8의 단점을 고치면서 좋은 신기능을 많이 도입했기 때문에 오히려 업그레이드를 권장할 정도로 괜챃은 운영체제다. 하지만 윈도 10 업그레이드 알림은 사용자 입장에서 상당히 귀찮게 다가온다. 여기에서는 윈도 10 업그레이드 알림을 제거하는 방법을 소개하고자 한다.

 

없애기 힘든 업그레이드 알림 아이콘

 



윈도 10 설치(Get Windows 10, GWX) 알림은 사용자 시스템표시줄에 상주하는 아이콘으로 한대 신종 맬웨어가 아니냐는 의심을 받기도 했다. 아이콘을 클릭하면 대화창이 뜨면서 사용자 컴퓨터에 윈도 10 설치가 가능한지 진단하게 되며 윈도 10의 다양한 장점에 대해 소개하기도 한다.


 

이 아이콘은 20154월 배포된 윈도 권장업데이트(KB3035583)를 통해 설치된 어플리케이션의 일부분이며 윈도 10 설치를 활성화하고 삭제시도를 피하기 위해 수 차례 업데이트됐다윈도 업데이트 설정에서 권장 업데이트를 중요 업데이트와 함께 받기(Give me recommended updates the same way I receive important updates)라고 설정된 상태라면 KB3035583을 선택 업데이트에서 확인할 수 있다반면 위 설정을 해제할 경우 KB3035583은 선택되지 않는 대신 이탤릭체로 표시된다.


마이크로소프트 업데이트 지원 페이지에서도 KB3035583이 필수가 아닌 선택사항임을 확인할 수 있다. 그러나 최신의 KB3035583 버전의 경우 숨김으로 설정할 수 없이 항상 보이기까지 한다.

 

KB3035583 업데이트


 



KB3035583는 위에서 언급한 GWX로 작업일정관리자(Task Scheduler)를 통해 시스템 부팅과 함께  시작되며 설치되고 나면 윈도 10 업그레이드 알림을 끊임없이 띄운다. GWX.exe는 시스템표시줄 아이콘이며 이 아이콘을 클릭하면 위에서 언급한 대화창인 GWXUX.exe가 실행된다.


 

마이크로소프트는 이에 대해 위와 같이 아이콘을 숨길 수 있다고 안내하고 있다. 하지만 시스템을 재시작하면 아이콘이 숨김이 풀리고 다시 뜨게 된다. 아이콘을 따로 우클릭하여 제거할 수도 없으며 작업일정관리자에서 GWX를 삭제할 수는 있지만 GWX 어플리케이션 자체를 시스템에서 삭제할 수는 없다. GWX 자체를 시스템에서 없애려면 KB3035583 업데이트 자체를 들어내야 한다. 이후 윈도 10을 설치하고 싶다면 나중에 이 업데이트를 다시 설치하거나 아래에 소개된 요령을 따를 수 있다.

 

윈도 10 설치알림 제거 - Never10



 

현재 윈도 10 업그레이드 알림을 제거할 수 있는 가장 쉽고 빠른 방법은 Never10이라는 81KB짜리 프리웨어다. Never10은 잘 알려진 보안연구가 Steve Gibson이 제작했기 때문에 신뢰할 수 있고 애드웨어, 바이러스 등 맬웨어를 염려하지 않아도 된다. 이제 Never10 사용방법을 소개한다.

 

우선 Never10 홈페이지로 들어가거나 Never10 프레웨어 웹페이지를 직접 방문하여 Never10 실행파일을 다운받는다. Never10은 별도의 설치가 필요없는 자체 실행파일로 작동하기 때문에 곧바로 실행 가능하다.

 

Never10을 실행하면 사용자 시스템에서 윈도 10 업그레이드가 허용된 상태진이 진단하며 윈도 10 업그레이드 차단(Diable Win10 Upgrade)을 클릭하면 GWX가 차단됐다는 알림을 받게 된다. GWX 시스템표시줄 아이콘이 바로 없어지지 않는 사례도 있으나 이 경우 시스템 재시작시 아이콘이 사라지게 된다.


한편 윈도 10 파일 제거(Remve Win10 Files)를 통해 업그레이드 파일을 삭제할 수도 있으나 Gibson의 설명에 따르면 윈도에서 결국 이들 파일을 삭제하기 때문에 이 기능을 당장 사용하지 않아도 별 문제가 없다고 한다


그리고 윈도 7/8이 아닌 다른 시스템에서 Never10을 실행할 경우 Never10은 윈도 7/8만 대상으로 설계됐다는 알림이 뜬다.

 

한편 최신 GWX가 없는 시스템에서 실행하는 경우라면 Never10이 정상 작동하지 않으며 우선 해당 GWX 파일을 다운받으라고 권장하게 된다. 얼핏 이상해 보이지만 사실 Never10GWX를 완전히 제거하진 않고 다만 마이크로소프트 내부설정을 통해 실행을 차단하는 방식이라는 점을 생각한다면 이해할 수 있는 부분이다.

 

윈도 10 설치알림 제거 - NGWX Control Panel

 


GWX Control PanelNever10과 비슷한 기능을 가지고 있다. 시스템에서 GWX의 흔적을 완전히 삭제하고 싶다면 이 소프트웨어를 사용하면 된다. Never10보다는 약간 복잡하며 Never10에 없는 추가기능이 있긴 하지만 상당수 사용자에게는 불필요하다. 만약 사용자가 기술적 조작에 능하고 전체 프로세스를 제어하고자 한다면 GWX Control Panel이 선택지가 될 수 있다. 하지만 대부분 사용자에게는 Never10으로 충분할 것이다.

 

 

 

Matt Klein, How to Remove the “Get Windows 10” Icon from Your System Tray (and Stop Those Upgrade Notifications), 5. 23. 2016.

http://www.howtogeek.com/218856/how-do-you-disable-the-get-windows-10-icon-shown-in-the-notification-tray/

 

번역요약: madfox



참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.05.27 16:56

위로가기