가능합니까, 아니면 SMB를 통해 제공되는 Windows 컴퓨터를 통해서만 확산됩니까?
SMB를 제공하는 Linux가 wannacrypt를 전파 할 수 있다면 어떤 방법을 취해야합니까?
가능합니까, 아니면 SMB를 통해 제공되는 Windows 컴퓨터를 통해서만 확산됩니까?
SMB를 제공하는 Linux가 wannacrypt를 전파 할 수 있다면 어떤 방법을 취해야합니까?
답변:
일반적으로 모든 랜섬웨어는 감염된 사용자가 액세스 한 모든 것을 암호화 할 수 있습니다. 다른 악성 코드는 실행중인 계정의 권한을 사용하여 어디서나 쓸 수 있습니다. 이는 다른 사용자에게 활성화되는 것과 같지 않지만 사용자가 액세스하는 모든 공유에 영향을 줄 수 있습니다.
대책 :
평소와 같이 바이러스 방지 및 방화벽으로 예방하십시오.
모든 클라이언트가 정기적으로 업데이트를 설치하도록합니다.
백업은 감염 후 모든 랜섬웨어를 처리 할 수있는 가장 강력한 방법입니다. 결국 일부 사용자에게는 바이러스 보호에 의해 아직 인식되지 않은 사용자가 있습니다. 사용자에게 쓰기 권한이없는 백업이 있어야합니다. 그렇지 않으면 랜섬웨어가 백업을 덮어 쓸 수있는 동등한 액세스 권한을 가지므로 백업은 쓸모가 없습니다.
오프라인 백업은이 작업을 수행하는 가장 안전한 방법이지만 수동으로 더 많은 작업을 수행하고 정기적으로 수행해야한다는 점에서 실용적이지 않을 수 있습니다.
일반적으로 별도의 자격 증명을 사용하여 백업 할 위치에 액세스하는 독립적 인 시스템이 있습니다. 거기에는 몇 주 또는 몇 달에 걸쳐 변경 사항을 저장할 수있는 증분 백업이 있습니다. 랜섬웨어 및 사용자 오류 모두에 좋습니다.
WannaCry 는 SMB의 Windows 구현에서 취약점을 사용하고 있습니다. 프로토콜 자체는 취약하지 않습니다. A로부터 MalwareLess에 뉴스 기사 :
WannaCry 공격은 Microsoft Windows OS에서 SMBv2 원격 코드 실행을 사용하여 시작됩니다. EternalBlue 익스플로잇은 2017 년 4 월 14 일 Shadowbrokers 덤프를 통해 공개되어 3 월 14 일 Microsoft에 의해 패치되었습니다. 그러나 많은 회사와 공공 조직은 아직 시스템에 패치를 설치하지 않았습니다.
언급 된 패치는 MS17-010 , Microsoft Windows SMB 서버용 보안 업데이트 ( 4013389 )입니다.
이 보안 업데이트는 Microsoft Windows의 취약성을 해결합니다. 공격자가 특수하게 조작 된 메시지를 Microsoft Server Message Block 1.0 (SMBv1) 서버로 보내는 경우 가장 심각한 취약점으로 인해 원격 코드 실행이 허용 될 수 있습니다.
따라서 Linux에는 영향을 미치지 않습니다. 업데이트를 설치 한 후 Windows도 안전합니다. 그러나 패치되지 않은 Windows가있는 클라이언트 컴퓨터가 여전히 있으면 공유의 데이터가 안전하지 않을 수 있습니다.
클레임을 뒷받침 할 소스가 제공되지 않았지만 이것을 찾았습니다.
WannaCry는 Microsoft의 SMB1 프로토콜 구현에서 결함을 악용합니다. 이것들은 프로토콜 자체의 구조적 결함보다는 구현상의 결함이기 때문에 Linux 시스템은 면역성이 있습니다. 시스템에서 Samba, Wine 또는 기타 Windows 에뮬레이션 계층을 실행 중인지 여부에 관계없이 적용됩니다.
아니요,하지만 걱정된다면 ...
또 다른 방법은 클라이언트가 나가는 포트 TCP 137, 139 및 445 및 UDP 137, 138을 라우터의 WAN에 연결하는 기능을 비활성화하는 것입니다.
이렇게하면 PC가 LAN 이외의 SMB 서버에 연결되는 것을 방지 할 수 있습니다. 또한 공용 / 개인 SMB를 방지하고 가능하면 서브넷 범위에 도메인 전용 통신을 허용하려면 Windows 방화벽을 사용해야합니다.
업데이트를 최종적으로 설치하고 가능한 경우 SMB 1.0을 비활성화하십시오. 이렇게하면 걱정할 것이 없습니다.