securityse lab

/ /
05-02 15:56

워너크라이(WannaCry) 랜섬웨어 복구 정보 #2


2017/5/19일 McAfee에서 워너크라이 랜섬웨어 복구에 대한 새로운 소식이 나왔습니다. (나왔었습니다...)

워너크라이는 Victim PC의 데이터를 암호화 한 후 원본파일을 제거하는 것으로 분석되었습니다.


모든 경우 성공하진 못하지만 데이터 복구 도구를 사용하여 암호화된 디스크를 복구할 경우 원본파일을 살릴 수 있습니다.

국내에는 FinalData가 대표적인 복구 프로그램인데 워너크라이 감염 후 즉시 디스크를 분리하고 복구를 시도 할 경우 많은 자료를

살릴 수도 있을것 같습니다. (샘플이 없어서 테스트는 하지 못했음)


※ 참고 : 국내에서 FinalData로 테스트를 진행했다는 글에서는 복구가 가능하다고 작성되어져 있었습니다.


원문 : McAfee researchers test WannaCry recovery method

http://www.computerweekly.com/news/450419177/McAfee-researchers-test-WannCry-recovery-method


참고 URL

- 워너크라이(WannaCry) 랜섬웨어 참고 자료 : http://securityse.tistory.com/44

- 워너크라이(WannaCry) 랜섬웨어 복구 정보 : http://securityse.tistory.com/45

- 워너크라이(WannaCry) 랜섬웨어 복구 도구 : http://securityse.tistory.com/46

저작자표시 비영리 변경금지

'News' 카테고리의 다른 글

워너크라이(WannaCry) 랜섬웨어 복구 정보 및 도구 #2  (0) 2017.06.14
NTFS MFT(Master File Table) 취약점  (0) 2017.06.02
워너크라이(WannaCry) 랜섬웨어 복구 도구  (0) 2017.05.21
워너크라이(WannaCry) 랜섬웨어 복구 정보  (0) 2017.05.21
워너크라이(WannaCry) 랜섬웨어 참고 자료  (0) 2017.05.17

NTFS MFT(Master File Table) 취약점


개요

NTFS는 MS에서 개발한 윈도우 NT 계열 운영체제를 위한 파일시스템

MFT는 각 파일과 디렉터리의 메타데이터가 저장됨


NTFS에 대한 구조는 아래 URL을 참고하자

출처 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=19518&menu_dist=2


해당 MFT안에 임으의 파일에 접근(Access)을 하면 운영체제가 Crash 되는 단순한 취약점이 발견되었음

예를 들어 C:\$MFT\foo 처럼 마스터 파일 테이블의 임의의 파일인 foo에 접근(Access)을 하면 

NTFS Volume dirver가 Hang이 발생되어 운영체제가 다운 되는 증상이 나타나게 됨

- 이를 웹 사이트에 삽입하면 방문자들의 PC를 다운시키는 등으로 악용할 수 있음


[ 이미지 추가 : MFT의 임의의 파일에 접근하게 되면 윈도우즈가 아무런 반응이 없고 커서가 계속 로딩하듯이 돌아간다.

  윈도우 종료, 실행 등 아무것도 할 수 없는 Crash 상태가 됨 - Test환경 : Windows 7 Home Prem K OA ]


영항 

시스템 다운 - BSOD(Blue Scrren Of Death), Crash


영향받는 운영체제

Windows Vista, Windows 7, Windows 8.1


해결책

2017.6.2 현재 MS의 패치가 출시되지 않았음

Windows 10은 영향 없음



원문으로 추정되는 글 - 러시아어

https://habrahabr.ru/company/aladdinrd/blog/329166/


참고글

https://techxplore.com/news/2017-05-ntfs-bug-sites-windows.html

https://ko.wikipedia.org/wiki/NTFS - NTFS


참고기사

http://www.boan24.com/news/articleView.html?idxno=6883

저작자표시 비영리 변경금지

'News' 카테고리의 다른 글

워너크라이(WannaCry) 랜섬웨어 복구 정보 및 도구 #2  (0) 2017.06.14
워너크라이(WannaCry) 랜섬웨어 복구 정보 #2  (0) 2017.06.12
워너크라이(WannaCry) 랜섬웨어 복구 도구  (0) 2017.05.21
워너크라이(WannaCry) 랜섬웨어 복구 정보  (0) 2017.05.21
워너크라이(WannaCry) 랜섬웨어 참고 자료  (0) 2017.05.17

윈도우 DNS 캐시 삭제하기


DNS 서버에 Sub domain의 ip 를 변경을 했을 경우 DNS 서버의 캐쉬가 만료되었을 시간이 지났음에도 

ping 확인 시 변경 전 ip가 뜨는 경우가 있다.


ex) Sub domain ip 변경 예제

www.domain.net 192.168.0.2 -> www.domain.net 192.168.0.3


이럴경우 PC의 DNS 캐시를 삭제하고 재확인 해보면 된다.

시작 > 실행 > cmd > ipconfig /flushdns 입력



PC의 DNS 캐시가 삭제된다.


저작자표시 비영리 변경금지

'Tips' 카테고리의 다른 글

[Linux] UUID(Universally Unique IDentifier) 확인하기  (0) 2017.10.29
[Linux] 표준 입출력과 리다이렉션  (0) 2017.10.12
[SMTP] open relay smtp 서버 점검하기  (0) 2017.04.06
[stty] UNIX에서 backspace 키 설정  (0) 2017.04.02
[terminal] putty 화면 깨짐 복구  (0) 2017.04.02

+ Recent posts

티스토리툴바