추적 misuse_multi4 neodrumsolo bbb_korea money255 std129

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

다음 판		이전 판
tech:wannacry [2017/05/15 04:00] – 만듦 V_Ltech:wannacry [2017/05/15 04:04] (현재) V_L
줄 3: 줄 3:
 {{INLINETOC}} {{INLINETOC}}
  
-윈도우의 [[tech:smb|]]/[[tech:cifs|]]의 취약점을 이용해 네트워크로 침투하여 +윈도우의 [[tech:smb|]]/[[tech:cifs|]]의 취약점을 이용해 네트워크로 침투하여 주요 파일들을 암호화한 후 돈을 요구한다.
  
 윈도우 XP는  [[tech:smb|]]/[[tech:cifs|]] 가 기본으로 설치 되지 않는다. 따라서 상관없다. 윈도우 XP는  [[tech:smb|]]/[[tech:cifs|]] 가 기본으로 설치 되지 않는다. 따라서 상관없다.
줄 17: 줄 17:
   * Windows server 2008 R2 SP1 SP2   * Windows server 2008 R2 SP1 SP2
  
 +
 +=====동작=====
 +자신의 로컬 IP대역의 D클래스 대역을 (xxx.xxx.xxx.1~255) 을 스캔하여 SMB 프로토콜 패킷을 반복하여 전송한다.
 +
 + 
 +
 + 
 +
 +
 +
 +이후 수신되는 데이터를 검증하여 취약점이 발생하는 SMB 패킷 헤더에 실행코드를 추가한 데이터를 추가 전송한다. 타겟 시스템의 운영체제가 취약점 패치되지 않은 환경일 경우 악의적인 쉘코드가 동작한다.
 +
 +
 +
 +출처: http://asec.ahnlab.com/1067 [ASEC Threat Research & Response blog]
  
  
 출처: http://asec.ahnlab.com/1067 [ASEC Threat Research & Response blog] 출처: http://asec.ahnlab.com/1067 [ASEC Threat Research & Response blog]