반달가면 [B-Side]

반달가면 이글루에서 백업 - http://bahndal.egloos.com/598361 (2017.5.16)

원문기사는 여기로. 카스퍼스키랩의 해킹 관련 정보 웹사이트 SecureList의 기사다.

대략의 내용은 이렇다.

최근에 악명을 떨치고 있는 WannaCry(또는 WannaCrypt) 랜섬웨어를 분석해 보니, 이 랜섬웨어의 초기 버전 표본에서 북한의 해킹 조직인 일명 라자루스(Lazarus) 그룹의 악성코드 표본과의 유사성이 발견되었다고 한다; 라자루스는 우리나라에 대한 DDoS 공격, 소니 픽처스 해킹, 방글라데시 중앙은행 해킹 등 화려한(?) 악행 이력을 자랑하는 조직이라고 한다.

카스퍼스키랩의 분석팀에 따르면 WannaCry 랜섬웨어의 초기 버전이 2017년 2월에 발견되었는데, 2015년 2월에 발견된 라자루스 그룹의 APT 코드와 상당히 유사하다. 이번에 문제가 된 2017년 5월 버전의 WannaCry에서는 이 부분에 제거되어 있으며 암호화 대상 파일 확장자 목록이 추가 및 변경되었다. 이러한 정황으로 볼 때 2017년 5월 버전의 WannaCry를 컴파일한 자는 2017년 2월 버전의 WannaCry 제작자와 동일인이거나, 또는 해당 소스코드에 접근할 수 있는 자로 추정된다.

정리하자면,

이번에 문제가 된 2017년 5월 버전 WannaCry 랜섬웨어를 만든 녀석들이 2017년 2월 버전을 만든 녀석들과 동일하거나 또는 소스코드를 공유하고 있다. 즉, 한통속이다.

그런데, 2017년 2월 버전에는 북한 해킹 조직에서 사용하는 코드가 포함되어 있다.

자, 그러면 이번에 나온 랜섬웨어는 누가 만든 것일까? 아직 100% 확신할 수는 없을 지 모르나 북한 해커일 가능성이 꽤 있어 보인다. 하긴, 방글라데시 중앙은행도 털었다는데 랜섬웨어를 열심히 퍼뜨리고 있는 정도는 그냥 애교라고 해 줘야 되나-_-;;

랜섬웨어에 대한 일반적인 예방책은 이전 게시물을 참고하자. 여기(동작 방식과 차단), 그리고 여기로(백업).

반달가면 이글루에서 백업 - http://bahndal.egloos.com/547871 (2015.5.1)

당장 쓸 일은 없지만 나름 유용한 정보인 듯하여 적어 두기로. 원문 기사는 여기에.

메인보드를 교체할 때 윈도우7 재설치를 하지 않고 교체하는 절차다. 실제로 해 본 적은 없다.

순서는 대략 아래와 같다.

먼저 실패할 것에 대비해서 개인 자료를 모두 다른 곳에 백업해 둔다.

메인보드 칩셋 관련 드라이버 중에 윈도우에서 기본으로 제공되는 것이 아니라 제조사 웹사이트나 메인보드에 같이 온 CD에서 가져와 설치한 것이 있다면 제거하자.

이제 관리자 권한으로 명령 프롬프트를 열어서 sysprep이라는 프로그램을 실행한다. 명령 프롬프트에서 아래와 같이 입력.

%windir%\system32\sysprep\sysprep.exe

sysprep 창이 나오면 "시스템 정리작업(system cleanup action)" 항목에서 "시스템 OOBE(첫 실행 경험) 입력"을 선택하고 "일반화" 항목에 체크한다. "종료 옵션" 항목은 "시스템 종료"로 선택하자.

"확인" 버튼 누르면 윈도우가 종료되고 PC가 꺼진다.

이제 케이스를 열고 메인보드 교체.

PC를 켜면 윈도우7 처음 설치했을 때와 유사한 화면이 나오고 언어/키보드 등을 선택하게 된다. 새 계정도 하나 생성해야 한다.

이제 윈도우 로그인 화면이 나오면 기존 계정으로 로그인 가능. 새 계정은 이후 삭제해도 무방하다.

필요에 따라 드라이버를 설치한다.

일부 어플리케이션은 메인보드 교체 이후 제대로 동작하지 않을 수 있다. 이럴 경우엔 해당 어플리케이션도 재설치하면 되겠다.

이전 버전의 윈도우에서 업그레이드한 윈도우7에서는 위의 방법을 사용할 수 없다고 한다. 처음부터 윈도우7을 설치해서 사용한 경우에만 유효.

반달가면 이글루에서 백업 - http://bahndal.egloos.com/515054 (2014.9.1)

얼마전에 SSD를 구입해서 윈도우7을 재설치한 후에 설정 몇가지를 변경.

윈도우7에서 SSD임을 인식하면 알아서 설정을 SSD에 맞춰서 바꿔준다는 얘기도 있고 일반용 SSD의 수명도 생각보다 꽤나 긴 것 같기 때문에 굳이 해주지 않아도 될 듯하나, 그래도 재설치한 김에 뭔가 두어개 바꿔주고 싶다는 다분히 심리적인 이유로 설정을 바꿨다. -_-;

우선 작업 스케쥴러에서 디스크 조각모음(defrag) 작업을 비활성화했다. 작업 스케쥴러를 관리자 권한으로 실행하고 Microsoft -> Windows -> Defrag 항목으로 가면 자동 조각모음 작업이 있는데, 이 작업을 마우스 오른쪽 클릭하여 "사용 안함"을 선택.

두번째로 SSD에 대한 색인(indexing) 비활성화. 탐색기에서 SSD에 해당하는 드라이브의 "속성"창으로 들어가서  여기서 "이 드라이브의 파일 속성 및 내용 색인 허용(I)" 항목의 체크 표시를 해제.

마지막으로 하이버네이션 파일을 삭제. 데스크탑 PC인 관계로 최대 절전모드를 사용하지도 않고 괜히 용량만 차지하므로 제거했다. 명령 프롬프트를 관리자 권한으로 실행한 후, 아래와 같이 입력.

powercfg -h off

이 정도쯤에서 대충 마무리하기로.

반달가면 이글루에서 백업 - http://bahndal.egloos.com/214678 (2012.8.8)

Wired.com의 맷 호난(Mat Honan) 기자의 아이클라우드가 해킹당한 사건이 있었는데, 해킹당한 후에 해커와 메시지를 주고받으면서 고소하지 않는다는 조건으로 어떻게 해킹했는지 물어본 모양이다. 원문 기사는 여기로


해킹 과정은 대략 이렇다.

공격자가 처음 노린 것은 단지 트위터 계정(@mat)이었고 개인적 원한은 없었다. 단지 계정 이름이 맘에 들어서(?) 찍었다고 한다. 해당 트위터 계정에 대한 조사를 하고 대상자의 홈페이지를 파악했다.

공격자, 홈페이지에서 대상자의 gmail 주소를 파악한다.

공격자, 구글의 계정 복원(account recovery) 페이지로 들어가서 계정 복구 페이지 접속한다. 대상자의 gmail 주소를 입력하자, 구글은 암호 재설정시 정보를 보내줄 다른 메일 계정을 m****n@me.com 이런식으로 노출한다.

공격자, @me.com을 보고 대상자가 애플 계정(AppleID)을 가지고 있음을 파악한다.

공격자, whois 검색으로 대상자의 홈페이지 도메인을 검색,  이름과 이메일, 주소(billing address)를 파악한다.

공격자, 아마존 고객센터에 전화한다.계정에 신용카드를 하나 더 등록하겠다고 요청하며 카드 번호를 알려준다. 본인 확인을 위한 질문을 받고 이름과 이메일, 그리고 주소를 말해준다.

공격자, 잠시후 다시 아마존 고객센터에 전화해서 계정에 접속이 안된다고 호소한다. 본인 확인을 위해 이름, 주소, [조금 전에 등록했던] 카드 번호를 알려주고 계정에 [공격자의] 이메일 주소를 하나 더 추가한다.

공격자, 아마존에 접속, 암호 재설정을 요청하고 새로 추가한 이메일 주소로 재설정 링크를 수신한다. 해당 아마존 계정에 등록된 모든 신용카드의 마지막 네자리 번호를 알 수 있게 된다.

공격자, 애플 고객센터(AppleCare)에 전화, AppleID 접속이 안된다고 호소한다. 계정 주인이 설정한 보안 질문에는 대답하지 못했다. 애플은 본인 확인을 위해 이름, 주소, 신용카드 마지막 네자리 번호를 요구한다. 다 대답하고 임시 암호를 발급 받는다.

이제 공격자는 대상자의 애플 계정 및 아이클라우드를 장악했다.

공격자, gmail로 가서 계정 복구 기능으로 gmail 암호 재설정 링크를 애플 계정(@me.com) 이메일로 수신한다. 그리고 애플 계정으로 로그인하여 gmail 계정 암호를 재설정한다.

대상자는 gmail 암호가 변경되었다는 통지를 애플(@me.com) 계정으로 받았지만 자주 쓰지 않는 계정이라 확인하지 않았다.  

공격자, 트위터 암호 재설정 기능을 사용하여 트위터 계정을 장악한다.

공격자는 아이클라우드의 "Find My" 기능을 이용, 대상자의 아이폰과 맥북에 원격으로 접속하여 자료를 모조리 다 삭제한다.

공격자, gmail 계정을 아예 폐쇄한다.

대상자는 자신의 아이폰과 맥북에 있는 모든 자료, 메일 계정, 트위터 계정을 한순간에 다 잃었다.



남의 일이 아니다.