Better than yesterday

안녕하세요 Triumph 입니다.

공격한 페트야(PETYA) 랜섬웨어에 대해 포스팅 합니다.

어제 유럽을 공격한 랜섬웨어로 미국 제약회사 머크와 러시아 국영 석유회사 로스네프트, 영국 광고회사 WPP, 프랑스 자동차 유리 전문기업 상고방 등 다국적 기업들이 모두 랜섬웨어로 피해를 입었습니다.

페트야(PETYA)의 최초 발견은 2016년 초 발견되었습니다.

이때는 단순 MBR(Master Boot Record)만 변조되어 부팅이 불가했으며, MBR 복구를 통해 데이터는 살릴 수 있었습니다.

하지만 지난달 이슈가 된 워너크라이(WannaCry) 랜섬웨어에서 사용되었던 MS17-010 SMB 취약점을 통해

네트워크 검색 후 파일까지 암호화 하도록 기능이 추가되었습니다.

페트야(PETYA) 랜섬웨어 감염 시 아래와 같은 화면으로 비트코인 지불을 유도합니다.

이번 페트야(PETYA) 랜섬웨어가 감염시키는 확장자 정보는 다음과 같습니다.

페트야(PETYA) 랜섬웨어는 워너크라이(WannaCry)에서 사용되었던  MS17-010 SMB 취약점을 이용하고 있기 때문에

워너크라이(WannaCry)와 동일하게 MS17-010 SMB 취약점에 대한 보안 패치가 필요합니다.

 ① PC를 켜기 전 네트워크를 단절(랜선 뽑음)시킨 후 파일 공유 기능 해제
     ※ 파일 공유 기능 해제 방법
 ② 네트워크 연결 후 백신의 최신 업데이트를 적용 및 악성코드 감염 여부 검사
 ③ 윈도우 PC(XP, 7,8, 10 등) 또는 서버(2003, 2008 등)에 대한 최신 보안 업데이트 수행
     ※ MS17-010 SMB 취약점 패치 다운로드

감사합니다.

* Reference

 - http://blog.alyac.co.kr/1180

 - http://m.post.naver.com/viewer/postView.nhn?volumeNo=7658112&memberNo=3326308&vType=VERTICAL

안녕하세요 Triumph 입니다.

최근 워너크라이(WannaCry) 라는 랜섬웨어가 유행하고 있습니다.

워너크라이는 기존의 랜섬웨어와는 달리 네트워크를 검색 후 연결된 PC에 대해 MS17-010 SMB 취약점을 이용하여 랜섬웨어를 퍼트리는 것이 특징입니다.

때문에 MS17-010 SMB 취약점에 대한 보안패치가 되지 않았을 경우 랜선을 통해 감염되게 됩니다.

만약 해당 취약점의 패치를 하지 않았을 경우 아래와 같은 방법으로 랜섬웨어를 예방할 수 있습니다.

① PC를 켜기 전 네트워크를 단절(랜선 뽑음)시킨 후 파일 공유 기능 해제
     ※ 파일 공유 기능 해제 방법
 ② 네트워크 연결 후 백신의 최신 업데이트를 적용 및 악성코드 감염 여부 검사
 ③ 윈도우 PC(XP, 7,8, 10 등) 또는 서버(2003, 2008 등)에 대한 최신 보안 업데이트 수행
     ※ MS17-010 SMB 취약점 패치 다운로드

감사합니다.

안녕하세요 Triumph 입니다.

최근 이슈가 되고 있는 Windows TS Session Hijacking 취약점 입니다.

PoC Video

- Windows 7 via Task Manager

- Windows 7 via command line

- Windows 2012 R2 via service creation

감사합니다.

* Reference

 - http://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html

안녕하세요 Triumph 입니다.

윈도우에서 리눅스로 파일을 옮길 경우 각 라인 끝마다 ^M이 붙을 때가 있는데요

vi 에디터에서 ^M을 제거하는 방법에 대해 알아보고자 합니다.

일단 ^M이 붙는 이유는 윈도우 파일을 Binary 모드로 전송 하였기 때문이며,

윈도우의 개행문자(/r/n)와 리눅스의 개행문자(/n)가 다르기 때문에 발생합니다.

이에 대한 해결법은 ASCII 모드로 전송하는 것이며, ASCII 모드로 전송 시 ^M이 붙지 않습니다.

실수로 Binary 모드로 전송하여 ^M이 붙은 경우 vi 에디터를 실행하여 아래와 같이 입력 하시면 됩니다.

이 때 ^M 보이는 그대로의 ^M이 아닌 Ctrl + v, Ctrl + M을 눌러 입력해야 합니다.

감사합니다.

안녕하세요 Triumph 입니다.

오늘은 스카이레이크에서 Win7 설치시 USB 3.0 인식 방법에 대해 포스팅 하고자 합니다.

저같은 경우 그램에서 드라이버 설치를 위한 파티션이 있어서 USB 3.0 드라이버 설치하면 손쉽게 설치가 가능했는데, 프로젝트가 끝나고 고객사에서 포맷을 맡겨 놨더니..

그램에서 기본적으로 드라이버 설치를 위한 파티션도 날려놨더라구요...ㅠㅠ

일단 스카이레이크에서 USB가 인식되지 않는 이유는 메인보드의 USB 2.0 호스트 컨트롤러인 EHCI가 없어지고 xHCI가 그 역할을 대신하게 되는데 윈도우7 부팅이미지에서는 xHCI 호스트 컨트롤러 드라이버가 없어 인식이 되지 않는 것 입니다.

이러한 문제 때문에 일부 메인보드 제조사에서는 윈도우7 USB 부팅 프로그램을 제공하고 있는데 저는 제조사 상관 없이 만들고 싶어 아래와 같은 방법을 사용했습니다.

1. Windows 7 설치 USB를 만듭니다.

2. 아래 링크에서 USB Creator 유틸리티를 다운로드 받습니다.

   USB Creator 유틸리티 다운로드 링크

3. 압축해제 후 Installer_Creator.exe 를 실행합니다.

4. USB Drive Path에 Windows 7 설치 USB 드라이브를 선택 후 Create Image를 클릭합니다.

5. 아래와 같이 완료가 되면 해당 USB로 스카이레이크에서 Windows 7 설치가 가능합니다.

감사합니다.