1
Globelmposter 랜섬웨어 - SQL DB서버를 공격하는 유형 (Globelmposter-Alph865qqz)

Globelmposter 랜섬웨어는 변종에 따라 원격데스크톱(RDP)를 이용한 사람에 의해 실행이 이루어지는 공격 방식외에도 프로그램에 의한 자동회된 공격을 통해서 짧은 시간에 다수의 DB 서버를 노리는 것으로 보입니다

 

접속에 성공한 랜섬웨어는 스크립를 실행시켜 다수의 서비스, 프로세스, 로그 등을 종료및 삭제 하는것은 물론 복구에 필요한 시스템 파티션과 복구파티션을 강제로 활성화 시켜 암호화 시킵니다

 

Microsoft SQL Server Management Studio (SSMS)를 통해 괸리되는 계정을 지속적으로 무작위 대입 공격( Burte Force-Attach) 방식으로 계정과 암호를 찾아내어 접속 후 시스템에 랜섬웨어를 실행하는 공격을 자동화시캬서 진행하고 있습니다

 

따라서, 기본계정(SA)은 삭제하고 유추하기 힘든 계정과 암호를 사용하는 것이 좋겠습니다

00.JPG

 

확장자 변경은 "원본문서.TXT.Globeimposter-Alpha865qqz" 또는 "원본문서.TXT.farrattack" 형태로 바뀝니다

 

 

출처 : https://blog.naver.com/checkmal/222632990496

 

이 게시물을

공유하기

SEARCH