“wannacrypt”(wcrypt)가 SMB를 통해 제공되는 Linux 서버를 통해 확산 될 수 있습니까?


8

가능합니까, 아니면 SMB를 통해 제공되는 Windows 컴퓨터를 통해서만 확산됩니까?

SMB를 제공하는 Linux가 wannacrypt를 전파 할 수 있다면 어떤 방법을 취해야합니까?


나는 와인이 영향을받지 않는다는 가정에 도전합니다. AFAIK Wine은 제공된 DLL을 사용하므로 철저히 확인해야합니다.
byteborg

WanaCrypt0r은 Ask Ubuntu 모드에 의해 Wine에서 성공적으로 실행되었습니다 : askubuntu.com/a/914954/271
Andrea Lazzarotto

답변:


8

일반적으로 모든 랜섬웨어는 감염된 사용자가 액세스 한 모든 것을 암호화 할 수 있습니다. 다른 악성 코드는 실행중인 계정의 권한을 사용하여 어디서나 쓸 수 있습니다. 이는 다른 사용자에게 활성화되는 것과 같지 않지만 사용자가 액세스하는 모든 공유에 영향을 줄 수 있습니다.

대책 :

  • 평소와 같이 바이러스 방지 및 방화벽으로 예방하십시오.

  • 모든 클라이언트가 정기적으로 업데이트를 설치하도록합니다.

  • 백업은 감염 후 모든 랜섬웨어를 처리 할 수있는 가장 강력한 방법입니다. 결국 일부 사용자에게는 바이러스 보호에 의해 아직 인식되지 않은 사용자가 있습니다. 사용자에게 쓰기 권한이없는 백업이 있어야합니다. 그렇지 않으면 랜섬웨어가 백업을 덮어 쓸 수있는 동등한 액세스 권한을 가지므로 백업은 쓸모가 없습니다.

    오프라인 백업은이 작업을 수행하는 가장 안전한 방법이지만 수동으로 더 많은 작업을 수행하고 정기적으로 수행해야한다는 점에서 실용적이지 않을 수 있습니다.

    일반적으로 별도의 자격 증명을 사용하여 백업 할 위치에 액세스하는 독립적 인 시스템이 있습니다. 거기에는 몇 주 또는 몇 달에 걸쳐 변경 사항을 저장할 수있는 증분 백업이 있습니다. 랜섬웨어 및 사용자 오류 모두에 좋습니다.


WannaCry 는 SMB의 Windows 구현에서 취약점을 사용하고 있습니다. 프로토콜 자체는 취약하지 않습니다. A로부터 MalwareLess에 뉴스 기사 :

WannaCry 공격은 Microsoft Windows OS에서 SMBv2 원격 코드 실행을 사용하여 시작됩니다. EternalBlue 익스플로잇은 2017 년 4 월 14 일 Shadowbrokers 덤프를 통해 공개되어 3 월 14 일 Microsoft에 의해 패치되었습니다. 그러나 많은 회사와 공공 조직은 아직 시스템에 패치를 설치하지 않았습니다.

언급 된 패치는 MS17-010 , Microsoft Windows SMB 서버용 보안 업데이트 ( 4013389 )입니다.

이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 특수하게 조작 된 메시지를 Microsoft Server Message Block 1.0 (SMBv1) 서버로 보내는 경우 가장 심각한 취약점으로 인해 원격 코드 실행이 허용 될 수 있습니다.

따라서 Linux에는 영향을 미치지 않습니다. 업데이트를 설치 한 후 Windows도 안전합니다. 그러나 패치되지 않은 Windows가있는 클라이언트 컴퓨터가 여전히 있으면 공유의 데이터가 안전하지 않을 수 있습니다.


"일반적으로"는 단일 랜섬웨어가 현재 수행 할 수있는 작업에 집중해서는 안됨을 의미합니다. 랜섬웨어가 진화하고 사용자가 다른 랜섬웨어에 감염 될 수 있습니다.
Esa Jokinen

고마워-비록 당신이 옳았지만, 실제로 Windows에서 SMBv1을 통해서만 워너 크리가 퍼지는 지에 관한 나의 초기 질문에 대답하지 못했습니다.
fredrik

답변을 찾은 경우 원래 질문을 편집하는 대신 인용을 답변으로 추가 할 수 있습니다. 그럼에도 불구하고 맬웨어의 웜 부분이 Microsoft의 구현 이외의 방법으로 확산 될 수 없었음에도 불구하고 프로토콜 자체가 문제가되지 않음을 의미하므로 데이터는 안전한 것으로 간주 할 수 없습니다.
Esa Jokinen

1

클레임을 뒷받침 할 소스가 제공되지 않았지만 이것을 찾았습니다.

WannaCry는 Microsoft의 SMB1 프로토콜 구현에서 결함을 악용합니다. 이것들은 프로토콜 자체의 구조적 결함보다는 구현상의 결함이기 때문에 Linux 시스템은 면역성이 있습니다. 시스템에서 Samba, Wine 또는 기타 Windows 에뮬레이션 계층을 실행 중인지 여부에 관계없이 적용됩니다.

https://security.stackexchange.com/a/159405


후속 의견에 따르면 리눅스 면역성이 완벽하지 않다는 사실이 밝혀졌다
schroeder

0

아니요,하지만 걱정된다면 ...

또 다른 방법은 클라이언트가 나가는 포트 TCP 137, 139 및 445 및 UDP 137, 138을 라우터의 WAN에 연결하는 기능을 비활성화하는 것입니다.

이렇게하면 PC가 LAN 이외의 SMB 서버에 연결되는 것을 방지 할 수 있습니다. 또한 공용 / 개인 SMB를 방지하고 가능하면 서브넷 범위에 도메인 전용 통신을 허용하려면 Windows 방화벽을 사용해야합니다.

업데이트를 최종적으로 설치하고 가능한 경우 SMB 1.0을 비활성화하십시오. 이렇게하면 걱정할 것이 없습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.