1. 개요[편집]

2017년 6월, 대한민국의 웹 호스팅 업체인 인터넷나야나의 웹 서버 및 백업 서버 153대가 랜섬웨어의 일종인 에레부스(Erebus)에 일제히 감염된 사건이다.

대한민국에서 호스팅 업체가 랜섬웨어에 감염된 것은 인터넷나야나가 최초이다. 다수의 이용자가 입주한 호스팅 서버가 감염된 만큼 피해가 상당히 컸으며, 인터넷나야나 측의 안일한 대처와 이용자들을 무시하는 태도로 인해 큰 물의를 빚었다.

2. 인터넷나야나는 어떤 업체인가[편집]

인터넷나야나는 2001년 5월 11일 설립된 업체로서 웹 호스팅, 도메인, 홈페이지 제작 등을 주 사업 분야로 삼는다. 본사는 가산디지털단지 내 서울특별시 금천구 가산동 60-11번지 스타밸리타워 11층 1107호에 입주해있다.

2017년 기준으로 16년의 역사를 지닌, 업계에서는 중견에 속하는 업체이다. 그만큼 지명도도 상당한 편으로서 나야나의 호스팅을 이용하는 고객 사이트는 1만여 개에 이른다. 또한 무료 계정 서비스도 제공하였으므로 블로그 시대 이전 개인 홈페이지 열풍이 불던 2000년대 초반 당시 무료 계정으로 개인 홈페이지를 만든다고 하면 나야나를 선택하는 경우도 많았다.

3. 진행 과정[편집]

6월 10일 새벽, 나야나의 서버에 에레부스(Erebus) 랜섬웨어가 감염되었다. 에레부스는 윈도우를 타깃으로 한 랜섬웨어이나 나야나는 리눅스 서버를 사용하고 있어 리눅스를 대상으로 한 변종으로 알려졌다.[1] 랜섬웨어 감염 당시 이용자들은 FTP 서버에서 강제로 접속이 종료되는 증상을 겪었고 사이트에 접속하고 나서 랜섬웨어 감염 사실을 확인하였다.

나야나 측에서 이 사실을 인지한 것은 6월 10일 01시 30분경이었고, 웹 사이트 공지를 통해 이용자들에게 알린 것은 03시경이었다. 첫 공지에서 회사 측은 복구 여부에 대해서는 즉답이 어려우며 고객이 직접 개인적으로 백업한 데이터가 있을 경우 복구해주겠다는 입장을 밝혔다.[2]

호스팅 업체가 랜섬웨어에 무방비로 공격당하여 실제 피해가 발생한 것은 이번이 처음이었으며 특히 1만여 웹 사이트가 이용하는 대형 업체가 피해를 본 이례적인 사건이었기에 IT/보안 관련 언론 뿐만 아니라 주요 일간지와 방송 뉴스에서도 관련 보도를 편성하였다.[3] 이 중 SBS 8 뉴스의 보도에 따르면 이 사태로 피해를 입은 사이트는 무려 5천여 개에 달하는 것으로 추산되었다. 특히 다른 기관/단체로부터 웹 사이트 제작과 관리를 대행하는 웹 에이전시 업체들이 많이 가입되어 있어 나야나 측에서 추산한 2차 피해액은 10억 원에 다다른다.[4]

6월 11일 18시, 나야나는 3차 공지를 발표하였다. 나야나는 공격자들이 서버 1대당 5.4 비트코인(17,550,000원)을 요구하고 있다고 밝혔다. 감염된 서버가 153대이므로 총 액수는 26억여 원에 달한다.[5] 나야나의 2015년 매출이 30억여 원, 순이익 1억여 원인 것[6]을 감안할 때 이 액수는 나야나가 감당하기는 어려운 액수이다.

사태에 직접적인 책임을 지닌 나야나는 세 차례의 공지를 하고 사태 발생 이틀이 되었음에도 사태 해결과 데이터 복구에 대해 구체적인 답을 내놓지 못하였다. 나야나는 인터넷진흥원 및 사이버수사대와 공조하겠으니 동요하지 말고 믿고 기다려달라는 무의미한 약속만을 이용자들에게 던졌다. 게다가 랜섬웨어 감염을 단순 '시스템 장애'로 지칭하는 등 사태를 제대로 인식하지 못하거나 의도적으로 축소하려는 태도를 보여 이용자들의 분노를 샀다.[7] 게다가 이 공지가 올라온 후인 6월 12일에도 서버상에서 랜섬웨어에 의한 암호화가 계속 이루어지고 있다.[8]

4. 문제점[편집]

나야나 측은 이중백업을 통해 이용자들이 업로드한 데이터를 백업하였다고 밝혔으나 망 분리가 제대로 이루어지지 않아 내/외부 백업 데이터까지 랜섬웨어에 감염시키고 말았다. 실제로 나야나는 이미 '네트워크 백업을 통해 스토리지 백업서버에 백업을 진행'함을 밝힌 바 있다. 나야나는 또한 이전부터 계정 접속을 위한 비밀번호조차 암호화하지 않는 등 보안에 소홀한 행태를 보여왔다.

나야나를 비롯한 다수의 호스팅 업체가 채택한 '사단법인 한국인터넷호스팅협회'의 공동약관은 "고객은 자신이 운영 중인 서비스의 데이터 등에 대해 별도로 저장할 의무가 있으며 외부 침입 등으로 인한 정보의 유출, 누락 또는 자료의 손실에 대해 회사는 책임을 지지 않습니다."라고 명시하고 있다. 많은 호스팅 업체들이 외부 해킹, 랜섬웨어 감염으로 인한 피해에 대해 고객에게 책임을 떠넘기는 약관을 내세우고 있어 호스팅 업계 전반에 대한 신뢰도 하락이 우려된다.

5. 알려진 피해 웹사이트[편집]

  • 인물

    • 정의당 심상정 대표 (www.minsim.or.kr)

  • 기관

    • 한국에이즈퇴치협회 (www.aids.or.kr)

    • 한국일어일문학회 (www.hanilhak.or.kr)

    • 서울대 분자의학 및 바이오제약학과 (mmbs.snu.ac.kr)

    • 비교민주주의연구센터 (www.ccds.or.kr)

    • 대한약침학회 (www.isams.org)

    • Korea Journal (www.ekoreajournal.net)

    • 한국청소년골프협회 (www.kyga.co.kr)

    • 건국대 법학연구소 (ils.konkuk.ac.kr)

    • 한국음운론학회 (www.phonology.or.kr)

  • 상업

    • 호텔아벤트리부산 (www.aventreehotelbusan.com)

    • 고일 (www.koil.co.kr)

    • 홍콩폰 (www.hkphone.net) - 복구됨

  • 언론

    • 에코저널 (www.ecojournal.com)

    • 재림신문 (www.sdanews.org)

  • 노동조합

    • 유신코퍼레이션 노동조합 (www.yooshin.org)


더 많은 목록 보기

피해 웹사이트가 5천여 개에 이르는 것으로 여겨지는 만큼 언론에 보도되지 않은 중소 쇼핑몰이나 기업 웹사이트의 자료/데이터베이스 유실, 신뢰도 저하 등의 피해를 합하면 천문학적일 것으로 추정된다. 특히 이들 웹사이트 중 상당수가 해당 기관/단체에서 직접 나야나에 입주한 것이 아니라 웹 에이전시에 사이트 제작과 관리를 위임한 것이기 때문에 2차 피해도 클 것으로 예상된다.

우습게도 유료 호스팅 서버는 모두 털렸으나 나야나에서 제공하던 무료 호스팅 서비스의 서버는 무사한 것으로 알려졌다.[9]



출처 : https://namu.wiki/w/%EC%9D%B8%ED%84%B0%EB%84%B7%EB%82%98%EC%95%BC%EB%82%98%20%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4%20%EA%B0%90%EC%97%BC%20%EC%82%AC%ED%83%9C


에레버스, 나야나, 나야나 랜섬웨어, 랜섬웨어, 랜섬웨어 해킹, 에레부스


문 서 명 : spamsniper 기동/종료

문 서 버 전 : Ver_1.0

문 서 구 분 :  Manual  □ Summary

작 성 일 : 2016 08 09

작 성 자 : 우리들의 삶

테 스 트 환 경 : spamsniper, CentOS 4.8

참고로 스팸 스나이퍼가 뭔지 모르는 분들이 있을 수 있는데, 
스팸 스나이퍼는 간략하게 설명하면, Exchange, Domino 등 메일서버 앞단 DMZ Zone에서 외부 메일을 SMTP Protocol 로 전달 받아, 바이러스가 있는지,
차단 패턴에 걸리는 것이 있는지, 차단 설정된 도메인인지 등을 확인 한 뒤 이상이 없으면 Server Zone에 있는 메일서버에 전달하게 되는 메일세계의 방화벽 같은 놈이다!! 

헉헉헉헉....... 힘드네..




본 문서는 CentOS 등 Linux 환경에 설치되어 있는 spamsniper 서비스를 기동/종료/확인 하는 절차에 대해 알아 본다.

본 문서는 어디까지나 참고용이지, 각 사이트별 환경에 어떻게 설정되어 있는지는 모르므로, 정확한 내용은 벤더사 담당엔지니어에게 조언을 얻는다.

개요 : 
1. spamsniper 종료
2. spamsniper 기동
3. spamsniper 확인



1. spamsniper 종료

1) root 권한으로 접속

2)서비스중지
#/sniper/init.d/spamsvc stop  <-- /etc/init.d/ 디렉터리에도 link file로 존재하여 바로 shutdown 하여도 무방하다.

3)시스템 종료
#shutdown h now


2. spamsniper 기동

1) 시스템 기동 (init.d 에 등록되어 있어서 자동으로 프로세스가 기동됨)


3. spmasniper 확인

Smtp 프로세스
#ps -ef | grep smtp
graphic
재시작 방법 : /sniper/init.d/snipe  restart


DB프로세스
#ps -ef | grep mysql (1개 이상 프로세스가 동작 중이면 정상)
graphic
재시작 방법 : /sniper/init.d/mysqld  stop 후 start


로그작성프로세스
#ps -ef | grep log_broker (아래 그림처럼 프로세스 1개 동작 중이면 정상
graphic
재시작 방법 : /sniper/init.d/log_brokerd  stop  후 start


웹 프로세스
#ps -ef | grep httpd (1개 이상 동작 중이면 정상)
graphic
재시작 방법 : /sniper/init.d/httpd  stop 후 start


시스템매니지먼트 프로세스
#ps ef | grep sysmng (아래 그림처럼 1개의 프로세스 동작중이면 정상 )
graphic
재시작 방법 : /sniper/init.d/sysmngctl stop 후 start


RPD엔진 프로세스
#ps ef | grep ctasd  (1개 이상의 프로세스 동작중이면 정상)
graphic
재시작 방법 : /sniper/init.d/ctchd stop 후 start


바이러스 프로세스 확인
#ps ef | grep virus (아래와 같이 프로세스가 동작 중이면 정상)
graphic
재시작 방법 : /sniper/init.d/sophosd stop 후 start


전체서비스 재시작
#/sniper/init.d/spamsvc stopstart









해당 문서는 port scanning 기법에 대해 기초 지식이 있는 분들이 이해하기 쉽게 적혀있습니다. 
만약 port scanning 기법에 대해 알고 싶으시다면, 제 블로그 중에 적은 글을 방문해 주시면 감사감사 



주의!!
다음의 툴을 사용하여 공공기관, 민간업체 등을 공격할 시에는 범죄행위로 간주됩니다.
아래의 글은 DoS DDoS 기법 등을 교육하기 위해 작성된 글으므로, 교육의 목적에만 활용하시기 바랍니다.


읽기 전에 블로그장의 한 마디
DDoS에 개념을 이해하기 위해 wireshark 등과 같은 네트워크 흐름을 분석하는 툴과 함께 사용하시길 권장합니다.
제가 테스트한 이유는 Solaris10 Network setting이 default 일 때, 어느정도 트래픽을 넣어야 flooding attack 이라는 log message가 출력될까 라는
호기심 때문이였는데, 역시 서버는 서버군요... 테스트를 SunFire480 으로 했는데, 옛날 장비임에도 전혀 영향을 못끼치더라구요.. ㅠㅠ 
테스트는 없던걸로~~ ㅎㅎ 



사용한 Tool Download Link : 
nmap     : http://nmap.org/


본 문건은 하이에나 0.36v 으로 실습하였고, 간단한 사용법을 기술하였다.
처음 Win7용 하이에나를 실행 시킨 모습으로 하이에나는 Linux, MAC OS도 지원한다.



간단히 SYN Flooding 공격을 위해 아래처럼 설정한 모습.
-I  : Interface 번호, Network Interface의 정렬된 숫자를 의미

-a : 공격하는 패킷 타입 정의

-s : Source IP로 공격자 IP, 하이에나 툴에서는 %-% 을 통해 MAC 주소와 IP를 랜덤으로 변경하여 스푸핑 공격이 가능하다.

-d : destination IP로 희생자 IP(MAC-IP)

-f : 공격 방법(flag) TCP 패킷 플래그 중 각각 U A P R S F 중 urgent를 제외한 나머지가 있고, TCP가 아닌 UDP나 ARP는 옵션이 틀리다.

-t : TTL size

-e : ms 단위로 패킷을 보낸다. 즉 공격 속도

-u : 패킷을 보내는 지속 시간 ms 단위



주의!!
다음의 툴을 사용하여 공공기관, 민간업체 등을 공격할 시에는 범죄행위로 간주됩니다.
아래의 글은 ICMP 및 Port Scanning 기법 등을 교육하기 위해 작성된 글으므로, 교육의 목적에만 활용하시기 바랍니다.


읽기 전에 블로그장의 한 마디
아마 처음보시는 분들은 이게 뭐야?? 라고 하실 수 있습니다. (워낙 글 주변이 없어서..) 
본 문서는 back track5 버전대에서 테스트에 사용하였고, 요즘엔 칼리 리눅스로 이름이 변경되었습니다.
해킹 및 보안에 관심있는 분들은 다운 받아서 "교육 목적" 으로 사용하시면 좋을것 같습니다.

그리고 테스트 환경에 대해서 말씀드리면,
back track5, CentOS5, wire shark(네트워크 스누핑용) 사용하여 테스트 하였습니다.

kali linux download : https://www.kali.org/downloads/
centos download : https://www.centos.org/download/
nmap download : https://nmap.org/download.html
wireshark download : https://www.wireshark.org/download.html

nmap 툴을 이용한 TCP Port Scanning
Ⓐ Port Scanning 기법 종류
Scanning 기법
의미
Open Scan
3Way handshake를 이용하여 완전히 연결을 수립한 상태에서 Scan하는 기법으로 종류에는 TCP Scan이 있다. 이는 호스트가 보내오는 신호에 따라 열린포트, 닫힌포트를 구분하는 방법, 단점으로 연결이 수립되어서 타겟 호스트에 로그가 남을 수 있다.
Half Scan
3Way handshake를 수립하지 않는 방법으로 종류에는 SYN Scan이 있다.
Stealth Scan
SYN 신호 자체를 전달하지 않는 방법으로 종류에는 FIN Scan, NULL Scan, Xmas Scan, ACK Scan이 있다.


Ⓑ nmap 툴을 이용하여 target IP에 열려있는 port와 실행 중인 서비스를 파악할 수 있다.
# nmap -option tagetIP 
옵션
의미
-s
T
Signal을 TCP Scan으로 보낸다.
S
Signal을 SYN Scan으로 보낸다.
F
Signal을 FIN Scan으로 보낸다.
N
Signal을 NULL Scan으로 보낸다.
X
Signal을 XMAS Scan으로 보낸다.
A
Signal을 ACK Scan으로 보낸다.
-P0
Scan 하기 전 ping test를 보내 해당 호스트와 연결이 되는지 확인하는데,
0으로 되어있으면 해당 작업을 하지 않는다.
-p port num
port number로 명시한 특정 포트만 Scanning 한다.
-T num
number가 0~5번까지 정의 가능한다. Scanning 속도를 조정한다.


Victim : CentOS 5.9 /   IP : 172.20.10.4
 Attacker : BTR3 /   IP : 172.20.10.6
Ⓐ TCP Scanning
graphic

closed된 21번 FTP port에 대해서 victim 측에서 RST, ACK 신호를 보낸다.
graphic

반면 open 되어 있는 23번 telnet port에 대해서는 attacker와 victim이 3 Way Handshake를 한다.
graphic



Ⓑ SYN Scanning
graphic

closed 된 20번 포트는 victim에서 RST 신호를 attacker로 보낸다.
graphic

open 된 22번 포트는 victim에서 SYN, ACK로 응답을 보내오면 attacker에서 RST 신호를 보내 3 Way handshake 연결을 수립하지 않는다.
graphic



Ⓒ FIN Scanning
graphic

FIN Scanning의 특징으로 Flags를 살펴보면 처음부터 FIN신호를 보내게된다.
graphic

open 되어있는 23번 telnet 포트는 attacker가 FIN 신호를 보내면 victim은 어떠한 반응도 보이지 않는다.
하지만, closed되어 있는 53번 domain 포트는 attacker가 FIN 신호를 보내자 victim은 RST, ACK 신호를 돌려주었다. 이를 통해 닫힌 포트와 열린 포트를 구분할 수 있다.
graphic


Ⓓ NULL Scanning
graphic

NULL Scanning의 특징은 Flags 부분이 모두 0으로 되어 있다는 것이다.
graphic

open 되어 있는 23번 telnet 포트에 대해서는 victim은 attacker에게 아무런 응답을 하지 않는다.
이를 보고 open되어 있다는 것을 판단할 수 있다.
graphic

close 되어 있는 21번 ftp 포트에 대해서는 victim은 RST, ACK 신호를 attacker에게 보낸다.
graphic





Ⓔ XMAS Scanning
graphic

XMAS Scanning의 특징으로 URG, PSH, FIN Flags를 같이 보낸다.
graphic

open되어 있는 25번 SMTP 포트는 attacker가 URG, PSH, FIN 신호를 보내면 victim은 아무런 반응을 하지 않는다.
graphic

close 되어 있는 110번 POP3 포트는 attacker로부터 URG, PSH, FIN 신호를 받으면 victim은 RST, ACK 신호를 보내 포트가 닫혀있다는 것을 알려준다.
graphic




Ⓕ ACK Scanning
1. 방화벽 미설정 시
graphic

2. 방화벽 설정시
graphic

ACK Scanning의 특징은 attacker에서 ACK 신호를 해당 포트로 날려 방화벽의 유무를 확인한다는 점이다.
graphic



1. 방화벽 미설정시에는 attacker가 보내온 신호에 대해 RST 신호로 응답을 해주었다.
graphic

2. 방화벽 설정시에는 attacker가 보내온 신호에 대해 ICMP 프로토콜을 이용해서 Destination unreachable로 응답하고 있다.
graphic

ACK Scanning 을 통해 방화벽 유무를 확인할 수 있다.


+ Recent posts