생활코딩, 오래 전부터 알고 있던 그룹이다.
원래는 이고잉님이 프로그래밍 공부를 다른 하람들이 어떻게 쉽게 할 수 있을까 하는 고민에서 시작된 것으로 알고 있다.
좋은 의도와 좋은 시도, 그리고 좋은 사람에게는 좋은 사람들이 몰리는 법이랄까
많은 사람들이 생활코딩을 후원하면서 지금의 비영리단체가 될 수 있었던 것 같다.
운영하는 사이트는 'https://opentutorials.org'으로 지금도 많은 이들이 참여하고 있으며, 참여를 통해 더욱 더 발전하고, 다양화되는 그룹이다.
그런 생활코딩 이고잉님이 구글과 같이 '코딩야학' 이라는 공부 여정을 시작한다고 하셔서, 이번에는 기필코 완주하리라 하는 마음에 신청하게 되었다.
프로그래밍을 잘하고 싶지는 않지만 즐기고 싶은 분들의 많은 참여가 있기를 바란다.
프로그래밍을 배웠지만, 주입식 교육을 받아서인지, 이해하고, 만드는 것을 즐기기보다, 외우고, 단순 반복만 해왔던 것 같다. 이제는 좀 더 즐기면서 할 수 있기를 희망해본다.
2017. 5. 14. #2 - KISA (krcert) 대응 방안 공유 (중요!!)
- http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723
2017. 5. 14. #1 유포 관련 개인적인 생각
국내외 Ransomware가 유포된지도 상당 시간이 흘렀고,
현재로서는 감염이 된 경우, 개인키가 확보되지 않는 이상 감염된 파일(암호화된)을 복구하는 것이 상당히 힘든 상태이다.
최근, 아니 몇일 전부터 국외 기업들에 Ransomware가 유포되었고, 기사로 나왔다. 필자는 '뭐 그냥 또 흘러가는 악성 코드 트렌드 이겠지' 하고는 별것아니라고 생각했다.
바로 그날 오후였는지, 다음 날이였는지 모르겠지만,
국내 뉴스에도 앞서 국외 기업들에 유포되었다고 하는 Ransomware에 대한 주의와 긴급성을 소개하고, 이야기하고 있었다.
해당 Ransomware는 WannaCry라고 불리는 악성코드로,
일반적으로 Ransomware는 이메일 혹은 취약한(버전이 낮은? 혹은 해커들로부터 분석이 끝난?) 프로그램(IE, Flash, Java 등)을 통해서 유포되는 경우가 많았던 것으로 기억한다.
하지만, 이번 WannaCry는 과거 Worm 유형 악성 코드가 SMB 서비스를 통해 유포하는 것과 같은 유포형태를 취하고 있는 것으로 확인이 되었다.
SMB는 Server Message Block의 약자로, 컴퓨터 간 데이터를 주고 받기 위해 사용되는 프로토콜(일종의 약속)인데, 해당 프로토콜의 취약점(취약점이라고 하지만, 한마디로 약점이라고 봐도 무방할 듯 하다)을 WannaCry Ransomware 제작자가 발견하고, 이를 악성코드의 동작모듈에 포함시킨 것으로 보인다.
MS에서 발표한 내용에 따르면
"Microsoft Server Message Block 1.0(SMBv1) 서버가 특정 요청을 처리하는 방식에 원격 코드 실행 취약성이 존재합니다. 이 취약성 악용에 성공한 공격자는 대상 서버에서 코드를 실행할 수 있는 권한을 얻을 수 있습니다."
- https://technet.microsoft.com/ko-kr/library/security/MS17-010#취약성 정보 -
SMB는 윈도우 서비스로, 기본적으로 윈도우 설치 시에 이미 깔려있다고 보면된다.
이에, WannaCry 악성코드를 만든 사람은 최초 WannaCry에 감염된 컴퓨터의 파일들을 암호화 시키는 행위, 랜섬웨어의 기본 행위 외에 주변 컴퓨터들을 추가적으로 감염 시키기 위해 주변 네트워크 대역 혹은 무작위의 IP를 대상으로 SMB 스캐닝 이후, 취약한 데이터를 전송할 것으로 예상된다.
예를 들어, 철수 컴퓨터랑 내 컴퓨터랑 같이 쓰고 있는데, 철수 컴퓨터에 WannaCry가 감염되었으면, 철수 컴퓨터에서 동작중인 WannaCry가 SMB 스캐닝을 해서, 내 컴퓨터의 SMB를 찾아내고, 내 컴퓨터의 SMB의 약점을 건드릴 수 있는 데이터를 보내서, 먹통(?)이 되게 한뒤, WannaCry를 복제해서 유포시키는 것으로 설명할 수 있겠다.
아무튼, 언론에서 인터넷이 연결된 상태이면 감염될 수 있다고 하는 이유가, 바로 여기에 있다. SMB는 윈도우를 사용하는 모든 컴퓨터에 기본적으로 설치되어 있고, 주변에 WannaCry가 감염되어 있는 경우, 나 또한 앞서 설명한 것처럼 SMB를 통하여 악성코드가 복제/유포되는 것이다.
주저리주저리 이야기했지만, 이 모든 것이 맞는 이야기인지는 잘 모르겠다.
어찌됐건, 자신의 컴퓨터에 있는 SMB 서비스를 모두 중지 시키고, 언론에서 이야기하는 OS 업데이트, 보안 업데이트를 진행하여 예방할 수 있도록 해야하겠다.
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25705를 통한 대응을 우선적으로 하시기 바란다.
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
최근 apk 파일 악성 코드가 정상적인 php 페이지 접속 이후 (해당 php 페이지는 취약한 웹 서비스에 올려놓고) 유포되고 있는 것으로 추정된다.
이와 연관이 있을지 모르겠지만 확인 도중 일부 apk 파일이 감염 이후에 정상적이지 않은 HTTP Header를 사용하는 것 같아 기록으로 남긴다.
ser-Agent: Fiddler
이 값은 User-Agent를 Fiddler로 보이도록 하드 코딩 되어 있는 듯 하다.
아무튼, 이 값을 snort로 등록해서 의심된 트래픽을 감시하는 것도 좋을 듯 하다.
alert tcp any any -> any any (msg:"Suspicious UserAgent"; flow:to_server; content:"ser-Agent: Fiddler|0d 0a|"; sid:0;)
업무방해죄
1) 형법 제314조
2) 허위 사실을 유포하거나 위계 또는 위력으로써 사람의 업무를 방해하는 범죄
2-1) 구성요건
(1) 행위객체 - 사람의 업무이어야 함
(2) 행위 - 허위 사실 유포, 기타 위계/위력으로 업무 방해
3) 위계란 목적이나 수단을 상대방에게 알리지 아니하고 그의 무지나 착오를 이용하여 그 목적을 달성
하는 것을 말하며, 기망 뿐만 아니라 유혹도 포함
4) 위력이란 피해자의 자유의사를 제압하기에 충분한 세력을 말한다.
