일단 여기서 Shadow Brokers에 대해 알아보고 가는 시간을 가져 보겠습니다. Shadow Brokers이라는것은 2016년 8월,NSA를 해킹했다면서 NSA 스파이툴 경매 등장을 시작으로 이름을 알리기 시작을 했으며
에드워드 스노든은 NSA 해킹에 관해서 러시아의 경고 메시지라고 말했고 2016년 10월 31일에서는 NSA 해킹에 관련해서 추가 정보를 공개했고 여기서 주의할 점은 한국, 중국, 일본이 정보 수집 국가 3군데였다는 점에서 한국과는 어떻게든 인연이 생긴 곳입니다.
당시 한국에서는 큰 관심거리가 되지 못했습니다. 일단 세계 곳곳에서 보안 등급이 높은 NSA가 해킹을 시도해서 성공했고 그리고 갑자기 1월 활동을 중단했습니다. 일단 해당 이유는 자세하게 알 수가 없으면 추측들이 그리고 해당 확보한 해킹도구를 일부를 판매하고 있으며
2017년1월10일 당시에 가격은 750Bitcoin(675000달러)에 판매를 진행했다고 합니다. 그리고 해당 SMB (Server Message Block), 원격코드 실행(RCE) 익스플로잇, IIS servers 등이 포함돼 있습니다.
그리고 해당 취약점을 해결하기 위해서 마이크로 소프트에서 해당 취약점에 대한 보안 업데이트를 진행을 했습니다. 일단 MS17-010 ,MS10-061,CVE-2017-0146,CVE-2017-0147,MS14-068,MS17-010 ,MS09-050,MS17-010,MS08-067
를 악용을 한 공격이 이루어질 위험이 있습니다.
영향을 받는 운영체제는 윈도우 모든 운영체제이며 현재 다른 소프트웨어 영향을 받는 범위와 해당 내용은 계속 확인하고 있습니다.
일단 Shadow Brokers에서 해당 공격도구인 Microsoft Windows OS Exploit 도구를 다운로들 받을 수가 있는 링크와 그리고 비밀번호를 공개했고 공개된 파일에서 윈도우 해킹도구와 SWIFT 관련 은행의 HOST, IP, DB 내용을
검색을 할 수가 있는 SQL 스크립트 정보가 포함돼 있으며 SMB 취약점을 이용한 공격도구 사용방법이 담긴 동영상도 포함돼 있습니다.
기타 관련글
해결 방법
SMB 사용 자제 및 중지
방화벽을 이용한 접근 제어 설정 필수
윈도우 보안 업데이트를 원활하게 설치를 하려고 윈도우 보안 업데이트 자동 업데이트 활성화 및 해당 보안 업데이트가 나오면 즉시 업데이트
기탁 조치 방법
제어판->프로그램 및 기능->Windows 기능 켜기/끄기로 이동을 합니다. 여기서 SMB로 시작하는 기능이 찾고 해당 기능들을 다 무력화시킨 다음 컴퓨터를 재부팅을 하면 끝입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 파이어폭스 53(Firefox 53) 보안 업데이트 (0) | 2017.04.20 |
|---|---|
| Java SE 8 Update 131 보안 업데이트 (0) | 2017.04.20 |
| 윈도우 10 개인정보수집방지 프로그램 O&O ShutUp10 Windows 10 Creators Update 1703 지원 시작 (4) | 2017.04.18 |
| Punycode(퓨니코드)를 악용하는 피싱공격 발견 (0) | 2017.04.18 |
| 안드로이드 허위 경고창을 표시해서 특정한 어플 설치 유도하는 메세지 주의 (6) | 2017.04.15 |
| RensenWare 랜섬웨어 증상과 파일 복구 방법 (4) | 2017.04.13 |
| 어도비 플래쉬 플레이어 25.0.0.148(Adobe Flash Player 25.0.0.148) 보안 업데이트 (2) | 2017.04.12 |
| 2017년4월12일 윈도우 10 정기 보안 업데이트(KB4015583) (0) | 2017.04.12 |
