귀농귀촌 정보를 검색해보세요!
그 범 세계적인 ransomware 공격은 우발적으로 명백하게 중단되었습니다.
어제의 글로벌 ransomware 공격 은 여러 가지 이유로 무서웠지만 MalwareTech의 보안 연구원이 신속하게 조치를 취한 것은 그 당시에는 실현되지 않았지만 확산을 종식 시켰습니다.
전체 이야기가 여기 에 있지만, 요지는 이것입니다. 당신이 들었을 지 모르는 ransomware는 지난 달 Shadow Brokers에 의해 NSA 기록에서 공개 된 익스플로잇을 사용하여 퍼지고있었습니다 . 그것은 사실상 그렇게 빠르게 퍼져 나갈 잠재력이 있었고 그렇게함으로써 그것을 포함하고 연구하고자하는 IT 사람들의 관심을 끌었습니다.
이것에 대한 안전성으로, 페이로드에는 등록되지 않은 저자에게 알려진 특정 도메인을 질의하는 코드가 포함되어 있습니다. 악의적 인 코드를 연구하는 포함 된 VM과 같은 일부 네트워크 환경은 도메인에 연결하려는 시도와 같이 나가는 모든 데이터를 캡처하고 자체적으로 선택한 트래픽을 반환하기 때문입니다.
ransomware는 이와 같은 환경에서 자신을 활성화하는 것을 피하기 위해 특정 등록되지 않은 도메인 (예 : afn38sj729.com)을 핑 (ping)하도록 설계되었으므로 DNS 오류 이외의 결과를 반환하는 경우 트래픽이 조작되고 추가 분석을 피하기 위해 종료됩니다.
보안 연구원은이 등록되지 않은 도메인에 호출 된 ransomware가 트래픽을 모니터링 할 수 있도록 즉시 등록했음을 알았습니다 (위지도를 생성 할 수 있음). 그들은 단지 확산을 추적하는 데 도움이 될 것이라고 생각했지만 실제로 그 도메인을 등록함으로써 전체 공격을 효과적으로 죽였습니다. 코드가 해당 도메인을 핑 (ping)했을 때 등록 된 도메인 이름을 반환 했으므로 ransomware는 절대로 활성화되지 않습니다! 그들은 플러그를 뽑았는데 그것을 깨닫지 못했습니다. (이 유형의 행동에 대한 몇 가지 테스트 중에 나중에 연구원이 면화를했다.)
우발적일지도 모르지만 등록은 연구원이 수행해야하는 올바른 작업이었습니다. 명령 및 제어 서버 였을 수도 있고, 아마도 이런 전환기 였을 수도 있습니다. 그리고 여하튼, 당신은 결과. 불행히도, 그것은 이미 몸값에 시달린 사람들을 돕지는 못하지만, 최소한 그것이 더 멀리 퍼져 나가는 것을 막습니다.
