얼마전에 사내 서버중에 한대가, 외부 비트코인채굴에 사용되어지는게 알약에서 계속 감지되고있어요.
이스트소프트 측에서 조치를 취해줬는데, 빈번히 발생하네요.
악성코드명은 "Misc.Riskware.CoinMiner.Etc" 인데, 치료해도 나중에 또 발생하고 그러네요
혹시 해당 증상 겪으신분들 있으신가요? 어떻게 조치 하셨는지..??
이스트소프트 측에서 조치를 취해줬는데, 빈번히 발생하네요.
악성코드명은 "Misc.Riskware.CoinMiner.Etc" 인데, 치료해도 나중에 또 발생하고 그러네요
혹시 해당 증상 겪으신분들 있으신가요? 어떻게 조치 하셨는지..??
13개의 답변이 있습니다.
서버에서 인터넷 브라우저를 통해 메일이라던지 인터넷을 사용한다던가 외부에 노출되는 포인트가 있을겁니다.
제 경험상 제가 조치한 곳에서는 administrator 계정외에 신규 계정이 생성되고 administrator 계정의 암호는 바뀌어있엇죠.
암호를 풀고 나니 모네로 채굴기로 사용되고 있더라구요.
서버가 재부팅되더라도 시작프로그램 및 레지스트리에 등록이 되어있어 자동으로 해당 .exe 파일이 실행되게끔 트리거 설정을 해놔서 계속적인 채굴이 가능하게끔 되어있었습니다.
services 부분과 작업관리자 부분에 못보던 프로세스가 등록이 되어있는지, 보통 해당 프로그램 설명에 중국어 비슷한걸로 쏼라쏼라 써놓곤 합니다. 그런거 확인해 보시고 만약 외부 공인 IP를 사용하신다면 방화벽 및 공유기를 통해 사설 네트워크 구축을 추천 드립니다. 제 경험의 경우 공인 IP를 사용하던 고객사였는데 그 고객사 서버를 포맷하고 나서 또 감염되더군요.
들어올 가능성이 높은 경로를 다 막고, 정리를 해본다음에 서버 상태를 몇일 모니터링해보세요
만약에 확실하게 경로가 파악되지 않는다면
재설치가 가능한 서버라면은 리소스가 조금 들더라도 재설치 하시는게 좋을듯합니다.
저라면 그렇게 할것 같습니다.
지금은 채굴(나쁘지 않은 상황)로써 사용되고 있는데, 나중에 랜섬웨어 전파서버 또는 내부 APT 공격 경유지로
바뀔수 있기 때문입니다.
어떤 Action을 수동으로 취하지 않기 때문에
권한 관리만 잘되어있다면 사실상 바이러스에 감염이 되기 어렵습니다.
바이러스 파일이 서버에 저장될수는 있지만.
악성코드가 서버에서 실행 되는건 어렵습니다.
계정이나 권한이 허술한 경우 밖에 생각 할수 없습니다.
예를 들면 일반 사용자의 계정이 서버의 Administrators에 포함이 되어 있다거나
개인 PC의 Administrator 계정과 비번이 서버의 Administrator의 계정과 동일한 경우를 생각해볼수 있죠.
이럴 경우 서버의 예약된 작업에 악성코드가 실행되게 되어 바이러스에 감염이 됩니다.
혹은
서버의 공유 폴더에 사용자 쓰기 권한이 부여 되어있는 경우
사용자가 감염된 파일을 공유 폴더에 올려 놓은 순간
백신이 악성코드를 탐지 해내겠죠.
이 경우는 감염은 아닌거고 악성 파일을 감지만 한것입니다.
제 경험상 서버의 경우도 계정과 권한 관리만 잘해주면 바이러스에 감염될 가능성은 적습니다.
Admin 계정이 아니고서는 감염을 시킬수도 없거든요.
- 초기 불특정 다수를 대상으로 무차별 유포되던 랜섬웨어는 최근 특정 기업을 타깃한 공격
- PC 내 자료가 아닌 서버 내용을 암호화
- 직접적인 금전갈취에서 가상화폐 채굴관련 리소스 점유로 변종확산
서버가 랜섬웨어 변종에 감염된 사례로 보아서는
내부 사용자의 감염에 의한 확산의 경우인듯하니 이후 대응차원에서도 유입경로와 내부전파 상황도 확인해보셔야 합니다.
APT/타깃형 공격의 경우 잠복기가 길 수 있습니다.
해당 서버 하나만의 문제가 아닐 수 도 있다는 말씀입니다.
저희도 이런적이 있었습니다.
갑자기 CPU 점유율이 높아졌다고 알람이 와서 확인해보니.. 채굴하고 있었던... ㅡ,.ㅡ
정말 깜놀했었습니다..
저같으면 가급적 밀겠습니다
아래 링크 참고해 보세요.
http://blog.alyac.co.kr/1513
지속적으로 노리고 공격이 들어오나보네요
악성코드 ㄱㄱㄲ
그리고 서버에서는 특별한 경우를 빼고는 외부 인터넷이 안되게 차단하는 게 맞죠.
어려운 문제죠...