- 최근 미국 영화社 해킹 사고에서 SMB 웜 도구를 이용하여 공유 폴더 및 시스템의 아이디 및 패스워드가 유출됨에 따라 국내 출현 가능성에 대비 주의 필요[1]
영향 받는 소프트웨어
- Microsoft Windows 모든 운영체제
해결 방안
- 사용자의 경우, 악성코드로 인한 피해 예방을 위해 백신을 설치하고 최신 업데이트 상태로 유지
- 취약점을 통해 악성코드가 전파되는 것을 방지하기 위해 운영체제와 응용 프로그램을 최신 업데이트 상태로 유지
- 공유 폴더 사용을 자제하고 취약한 패스워드보다는 영문, 숫자, 특수문자를 조합한 8자리 이상의 비밀번호 설정 권고
- 기업 시스템 관리자의 경우, 444번 및 445번 포트 모니터링 및 아래와 같은 스노트 룰 적용이 필요하며 해당 SMB 웜 도구를 이용하여 전파되는 하드디스크 파괴형 악성코드에 의한 시스템 파괴에 대비하여 정보자산 접근통제, 모니터링, 복구 등 침해사고 예방 및 대응 방안 마련 필요(US-CERT 권고 사항 참조[2])
※ SMB 웜 도구 스노트 룰 적용 권고
alert tcp any any -> any any (msg:"Wiper 2"; sid:42000002; rev:1; flow:established; content:"|c9 06 d9 96 fc 37 23 5a fe f9 40 ba 4c 94 14 98|"; depth:16; classtype:bad-unknown;)
alert tcp any any -> any any (msg:"Wiper 3"; sid:42000003; rev:1; flow:established; content:"|aa 64 ba f2 56|"; depth:50; classtype:bad-unknown;)
alert ip any any -> any any (msg:"Wiper 4"; sid:42000004; rev:1; content:"|aa 74 ba f2 b9 75|"; depth:74; classtype:bad-unknown;)
alert tcp any any -> any [8000,8080] (msg:"Wiper 5"; sid:42000005; rev:1; flow:established,to_server; dsize:42; byte_test:2,=,40,0,little; content:"|04 00 00 00|"; depth:4; offset:38; classtype:bad-unknown;)
용어 정리
- SMB(Server Message Block) : Microsoft社 윈도우즈 및 도스 운영체제에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식
[참고사이트]
[1] https://www.us-cert.gov/ncas/alerts/TA14-353A
[2] https://www.us-cert.gov/ncas/tips/ST13-003
'취약점 정보1' 카테고리의 다른 글
| Strange & Random GET PHP Queries (0) | 2015.01.19 |
|---|---|
| ASUS Router infosvr UDP Broadcast root Command Execution (0) | 2015.01.13 |
| Digging into MS14-068, Exploitation and Defence (0) | 2014.12.21 |
| Harden SSL in nginx with stronger ciphers, newer TLS, and HSTS (0) | 2014.12.21 |
| Which NTP Servers do You Need to Patch? (0) | 2014.12.21 |