‘<script’ , ‘<style’ , ‘<img’, ‘<iframe’, ‘<input’, ‘<bgsound’,
스팸메일을 발송하는 악성코드 감염 주의보
‘<script’ , ‘<style’ , ‘<img’, ‘<iframe’, ‘<input’, ‘<bgsound’,
모든 윈도우 PC와 서버엔 관리공유가 기본적으로 설정되어 있죠… 이 관리공유가 웜 바이러스의 공격수단으로 사용되는 경우가 많아지고 있습니다. 해커 입장에선 모든 윈도우에 다 올려져있는 공유다 보니 좋은 공격 타겟이 될수밖에 없죠… 꼭 필요하지 않다면 제거하는 것이 좋은 방법이라고 할수 있습니다.
관리공유는 풀어 말하면 ‘관리목적 공유폴더’라고 할 수있는데요.. 다른 공유폴더 처럼 사람이 만들어 주는 것이 아니라 윈도우를 설치하면 기본으로 만들어지는 공유폴더라고 할수있습니다. 커맨드창에 Net share라고 치면 C$, D$, admin$등이 나오는 것을 볼수있는데 바로 이것들이 관리공유이지요.. 윈도우98까지는 없고 윈도우2000이상부터 보실 수있습니다. 관리자 권한이 있다면 (혹은 취득하게 된다면..) 각 드라이브의 모든 자료, 또는 윈도우즈 폴더의 모든 자료들을 삭제하거나 변경이 가능하므로 위험성을 많이 내포하고 있다고 할 수있습니다. 정말 관리목적으로 사용할 계획이 없다면 삭제하는 것이 좋습니다.
웜의 중요한 전파 경로중에 하나가 바로 이 관리공유라고 할 수 있습니다. 요즘 최고의 위협중의 하나인 Confiker 웜바이러스도 그 예라고 할수있습니다. 로컬에 유저가 존재하고 쉬운 패스워드 혹은 연상가능한 패스워드를 사용할 경우 웜은 해당시스템의 관리자 자격을 취득하여 감염을 시킬 수 있게 되고 또 다른 시스템들을 다시 공격하게 되는 것이죠.. 혹 해당시스템이 관리자 시스템일 경우엔 또 다른 수많은 컴퓨터를 손쉽게 감염시키게 될 수도 있습니다. 하지만 관리공유를 제거해둔다면 이런 급속한 웜 전파를 상당수 막을 수도 있습니다.
관리공유를 삭제하는 것은 약간의 작업이 필요합니다. 내 컴퓨터 관리에서도 삭제는 가능하지만… 삭제해도 시스템이 리부팅되면서 다시 활성화되어 올라오기때문에.. 다음의 레지스트리 작업이 필요하게 됩니다.
레지스트리 항목:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
– 서버일 경우: Key 추가(DWORD) : AutoShareServer = 0
– 클라이언트의 경우 : Key 추가(DWORD) : AutoShareWks = 0
아래 내역을 메모장에 복사하여 admin_share_remove.reg 로 저장하여 더블클릭하면 적용이 되면 리부팅을 실시하면 관리공유가 없어진 것을 확인하실 수 있습니다. 혹시나 하여 서비스에 문제가 없는지 확인중인데요…
원격관리도 가능하고 MBSA를 이용한 원격취약점 체크도 가능하더군요..
<< admin_share_remove_for_server.reg>>
===========================================================================================
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
“AutoShareServer”=dword:00000000
===========================================================================================
<< admin_share_remove_for_PC.reg>>
===========================================================================================
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
“AutoShareWks”=dword:00000000
===========================================================================================
세미나 참가 신청 페이지: << 교육 신청 페이지 가기 >>
▶ 행사 개요
▶ 참가 문의
한국정보보호진흥원 인터넷침해사고대응지원센터 해킹대응팀
전은국 연구원 (☎: 405-5635, E-mail: ekchun@kisa.or.kr)
▶ 프로그램
|
시 간 |
내 용 |
발표자 |
|
13:00~13:30 |
등록 및 세미나 자료 배포 |
|
|
13:30~13:40 |
행사안내 |
|
|
13:40~14:20 |
KISC DDoS 대응 현황 |
KISA 서진원 수석 |
|
14:20~15:00 |
유무선통합 접근제어를 이용한 침입대응 방안 |
UNET 류동주 팀장 |
|
15:00~15:40 |
Windows 7 개발자 보안과 호환성 |
MS 강성재 차장 |
|
15:40~15:50 |
Coffee Break |
|
|
15:50~16:30 |
2009 개인정보의 기술적 관리적 보호조치 기준 |
KISA 차윤호 선임 |
|
16:30~17:20 |
DDoS 위협의 실체와 효과적 대응방안 |
다음커뮤니케이션 조양현 과장 |
|
17:20~17:30 |
Coffee Break |
|
|
17:30~18:30 |
패널토의 : DDoS 공격, 그 대응책은? |
|
아래와 같이 등록되었답니다.