IDC에 있는 서버 시스템의 보호

요즘 많은 업체들은 회사에 필요한 서버들을 사내가 아닌 IDC에 위탁하여 운영하고 있는 경우가 더욱 많아지고 있습니다. 그러나 큰 업체를 제외한 대부분의 경우 서버 코로케이션 또는 서버 호스팅을 이용하며 한두대 정도의 시스템을 운영하며 통합보안서비스(유상)는 제외하고 운영하고 있는 것으로 알고 있습니다.


해커의 시스템 공격

저희 고객사의 경우도 마찬가지로 메일서버(혹은 그룹웨어 서버), 홈페이지 서버 등을 IDC에 두어 운영하고 있는데 대부분 보안서비스는 받고 있지 않은 실정으로 해커의 공격에 무방비로 노출되어 있습니다. 이로인해 서버에는 웜바이러스, 루트킷, 보트로봇 등의 말웨어가 서버를 좀비로 만들고 해커의 의지대로 이용당하는 사례가 너무도 흔하게 발생하고 있습니다.

예상치 못한 악영향

이로 인하여 서버는 오동작과 스팸메일의 지속적인 발송, 엄청난 양의 포르노 동영상 배포 서버로 이용되는 등 많은 부작용이 발생되고 있습니다. 특히 메일서버의 경우 업무의 의사소통에 직결되는 매우 중요한 통신수단으로서 외부와의 메일 교류에 치명적인 영향을 받고 있습니다.

해커와의 싸움

메일서버 고객으로 부터 걸려오는 대부분의 고객지원 요청은 사실 현상적으로는 메일 통신에 문제가 있는 것으로 보이지만 거의 모두 웜바이러스, 보트로봇, 루트킷 등의 해커의 공격 때문에 발생하고 있습니다. 메일서버에 대한 유지보수가 아닌 해커와의 싸움으로 변질되어 저희 고유 영역인 메일서버 유지보수와는 관계없는 일을 하고 있는 것입니다.


그러면 이런 해커의 공격으로 부터 시스템을 보호하려면 무엇을 준비해야 할까요?

보안서비스의 이용

대답은 너무나 간단합니다. IDC의 보안서비스(방화벽, VPN, 침입방지, 스팸차단, 바이러스 차단)를 유료로 사용하는 것입니다. 매월 추가분의 비용을 지불하면 보안서비스를 받을 수 있습니다. 하지만  이 모든 서비스를 다 받으려면 월 사용료가 엄청나게 소요되어야 합니다.

참고로 데이콤이나 KT가 제공하는 VPN 망 서비스를 제공받는 경우 월 몇 만원에 방화벽 서비스를 제공받기는 하지만 통합적인 보안 서비스를 받는 것은 아니기 때문에 해커의 공격으로 부터 취약성을 그대로 안고 있어 문제해결이 되질 못하고 있습니다.

보안 시스템의 구축

또는 IDC에 서버와 함께 방화벽을 도입하여 구축하는 방법이 있습니다.

저희가 공급하고 있는 하론 "SX-50" 장비는 IDC에 있는 몇 대의 서버들을 해커로 부터 보호할 수 있습니다. "SX-50"에는 방화벽, 침입방지, VPN, UTM 기능이 포함되어 있습니다. 이 장비는 크기가 가로 22cm 높이 4.4cm 깊이 15cm로 랙에 설치되어 있는 자사 서버 뒤쪽이나 옆공간에 쉽게 탑재시킬 수 있습니다.


메일서버를 어떻게 보호할까?

VPN의 PPTP를 통해 서버 접속

방화벽 기능을 통해 메일서버가 사용하는 포트를 제외하고 모든 포트를 차단합니다. 예를 들면 모든 포트를 차단하고 25, 110, 143번 포트를 오픈합니다. 사내에서 메일서버에 접속하려면 3389포트 역시 막혀있어 터미널서비스로 접속할 수 없습니다. 그러나 "SX-50"의 VPN 기능을 활용하면 쉽게 보안망을 통해 사내에서 IDC 서버에 접속할 수 있습니다. 윈도우즈에 기본적으로 탑재되어 있는 PPTP를 사용하여 VPN 보안터널을 통해 아이디, 비밀번호를 사용하여 사내 네트워크와 같이 서버에 접속하여 서버를 관리할 수 있습니다.

UTM(안티스팸, 안티바이러스)

또한 UTM 기능을 활성화하여 SMTP로 접속되는 수신 메일에 대하여 안티스팸과 안티바이러스 스켄을 통해 스팸메일과 바이러스 메일을 걸러내도록 세팅하여 사용자들이 사내에서 메일을 받을 때 깨끗한 메일만 받을 수 있도록 설정할 수 있습니다.

해커의 공격을 감지

스놋트를 탑재한 SX-50은 침입방지 기능을 사용하여 SQL Injection 공격, 웹 취약성 공격 등의 해커의 침입시도를 인지하여 자동으로 막아낼 수 있습니다.

시스템을 갖추어야 하는 이유

이와 같은 통합 보안 기능을 사용하므로서 IDC에 있는 메일시스템(그룹웨어 시스템, 웹서버 시스템)을 안전하게 보호할 수 있게 됩니다. 이런 환경을 갖춘다는 것은 시스템을 운영하는 관리자에게나 서비스를 이용하는 사내 임직원에게나 무척 중요한 작업임에 틀림없습니다.

그러나 저희가 많은 고객사들의 case를 보면 보안에 대한 타당성을 모두들 이해하고 있지만 현실은 무척이나 다르게 나타나고 있습니다.

회사의 경영진(사장, 이사)들은 업무에 있어 메일의 중요성을 너무도 크게 인식하고 있고 그 중요성에 대하여 매우 심각하게 생각하고 있으면서도 메일시스템이나 보안장비에 대한 투자는 그 반대로 가고 있다는 것입니다.

예를들면, 해외와 중요한 비즈니스는 모두 이메일을 통해 이루어지고 있어 어떤 한 시점에서 메일을 사용할 수 없는 상황이 되면 그 회사는 그날 비상사태를 맞게 되고 메일 송수신을 할 수 없어 업무상 큰 낭패를 본다고 합니다. 때로는 회사 대표이사가 저희에게 직접 전화하는 경우도 있습니다. 하지만 저희가 서버에 접속해 보면 해커에 의해 이미 공격되고 유린되어 메일서버 유지보수 수준을 넘겨 버린 경우가 대부분입니다.

저희가 경영진 또는 담당자에게 메일시스템은 업무상 매우 중요한 통신 수단으로서 회사의 경영활동에 직결되므로 메일시스템과 보안 시스템의 보완을 즉시 할 것을 권고합니다만, 문제 해결이 이루어지면 다시 시스템 투자에 대한 생각은 무한정 보류되어 집니다.

어떤 경우는 이런 적도 있습니다.

해커의 공격으로 시스템이 거의 불능상태에 이르고(터미널 접속 불가, 서비스 제어 불가) 메일서버가 근근히 동작하고 있는데 대부분의 상대방 메일서버 들이 메일을 수신거부하자  업무상 중요한 메일의 송수신이 불가능하기 때문에 건당유지보수를 긴급 신청한 업체가 있습니다.

저희의 경우 유지보수 기간이 만료되면 건당 유지보수비가 일정금액 이상으로 높아지기 때문에 더욱이 방문출장 요청시 출장비가 추가되므로 꽤 높은 건당 비용을 지불해야 하는데, 무조건 비용을 입금할테니 당장 처리해 달라고 요청합니다.

보안시스템을 적용하면 서버 시스템의 장애가 그만큼 줄어들어 관리자에게도 임직원에게도 더 많은 이익이 돌아 갑니다.

보안 시스템을 구축하면 해커의 공격으로 부터 안전한 시스템 운영이 가능해 지고, 웜바이러스나 루트킷으로 부터 시스템 자체를 보호하여 메일시스템의 원래의 목적대로 순탄한 메일 송수신이 가능한 상태를 유지할 수 있습니다.

그러면 회사의 중요, 긴급 메일 송수신에 안정적으로 대처되어 제때에 메일을 송수신할 수 있을 뿐만아니라 스팸메일 발송 IP나 좀비 서버이기 때문에 해외에서 메일 차단되는 일도 없어지기 때문에 메일의 정확한 전달이 가능해 집니다. 회사의 중요 통신수단으로서 제역할을 다하는 시스템은 경영자의 만족을 가져다 주며, 시스템 관리자는 그만큼 시스템관리와 유지보수, 문제해결에 소요되는 시간과 비용을 절감할 수 있어 더욱 가치있는 시간을 사용할 수 있게 됩니다.

이러한데도 보안시스템 도입을 미루시겠습니까?

보안 시스템을 갖추지 못하고 있다면 지금 바로 시스템을 도입해 보십시오. 도입이 어렵다면 월 사용료를 지불하는 형태의 임대장비를 사용해 보십시오. 투자한 비용보다 너 많은 잠재가치를 찾으실 수 있습니다.

저희 보안장비인 sx-50 장비의 도입이나 임대를 고려해 보십시오.

http://www.softmail.co.kr/275
를 클릭하여 여름 특가 이벤트에 참여 해보십시오.


블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요


아마 Storm 웜에 대해 들어본 적이 있습니까? 아마도 국어를 애용하는 사람이라면 잘 모르는 경우가 대부분입니다. 이 웜은 주로 제목에 중요한 사실/뉴스 등을 담은 스팸 메시지를 통해 전염되지만 영어인 관계로 한국 환경에서는 그리 크게 주목을 받지 못하였습니다.

잠시 이 웜에 대해서 소개해 드립니다. Storm 웜은 지난 1월 달에 최초 발견된 것으로 알려지고 있으며, 주로 영어권 국가인 유럽쪽에 많이 감염되었습니다. 특히, Storm 웜은 스팸 메시지의 제목에 "230 dead as storm batters europe"와 같이 중요한 뉴스거리 즉, 낚시질 제목으로 많은 사람들이 감염되었습니다. 2월 달에는 발렌타인 데이에 관해서, 최근 3월에는 제 3차 세계 대전에 대한 소식으로 한번 더 전세계적으로 전파가 되었습니다.

이 스팸 메시지의 형태는 다음과 같습니다.

제목
Worm Detected!
Virus Detected!ected!
Virus Activity Detected!
ATTN!
Spyware Alert!
Spyware Detected!
Warning!
Trojan Alert!
Trojan Detected!
Worm Activity Detected!
Virus Alert!


본문

From: Customer Support

Dear Customer,
Our robot has detected an abnormal activity from your IP address on sending e-mails.

Probably it is connected with the last epidemic of a worm which does not have official patches at the moment. We recommend you to install this patch to remove worm files and stop email sending, otherwise your account will be blocked. We had archived the patch because the worm can modify unpacked exe files. You should open the archive file, enter the password and run the patch immediately.

Password: {Random}

Customer Support Center Robot.

Attachment: Patch-{Random}.zip


첨부 파일
 보통 2개의 첨부파일을 포함하고 있습니다. 하나는 일반 그림 파일(*.gif)이고 나머지 하나가 비밀번호로 압축된 zip 파일입니다. 보통 다음의 이름을 가집니다.
patch-[RANDOM 4 DIGITS].zip
removal-[5 RANDOM DIGITS].zip
hotfix-[5 RANDOM DIGITS].zip
bugfix-[5 RANDOM DIGITS].zip

Stom 웜이 새롭게 선보인 기술이 바로 이 비밀번호로 보호하는 zip 파일입니다. 첨부 파일의 비밀번호는 글자와 숫자로 섞여 랜덤하게 조합됩니다. 물론, 이메일에는 비밀번호가 포함되어 있어 쉽게 알 수는 있습니다.

만약 zip 파일에 비밀번호를 넣어서 열어서 실행을 하면, Storm 웜을 PC에 설치하고 바이러스 스캐너로부터 자신을 보호하기 위해 루트킷을 이용하여 숨깁니다. 루트킷에 사용되는 대표적인 파일은 wincom32.sys이고 다음과 같이 루트킷 탐지 프로그램을 찾아 낼 수 있습니다.


루트킷 구성요소

SSDT
ZwEnumerateKey
C:\WINDOWS\system32\wincom32.sys

SSDT
ZwEnumerateValueKey
C:\WINDOWS\system32\wincom32.sys

SSDT
ZwQueryDirectoryFile
C:\WINDOWS\system32\wincom32.sys

IRP
\Driver\Tcpip->IRP_MJ_DEVICE_CONTROL
\\??\C:\WINDOWS\system32\wincom32.sys


대부분의 안티 바이러스 프로그램에서는 이러한 탐지 기술을 가지고 있지 않기 때문에 알아 내기가 그리 쉽지 않습니다. 하지만, 안티루트킷 프로그램을 이용하여 손쉽게 알아 낼 수 있습니다. 참고로, 첨부파일 중 하나를 분석해 놓은 자료를 참고하시기 바랍니다.


마무리
아직 국내에는  대부분 바이러스 백신, 악성코드 프로그램만 알고 있을 뿐, 루트킷에 대해 그리 많은 정보가 알려져 있지 않습니다.  이제부터는 안티 바이러스 제품과 함께 안티 루트킷 제품을 사용하여 정기적으로 감염 여부를 검사하길 추천합니다.

AVG Anti-Rootkit 프로그램 다운로드

자료: Antirootkit.com









블로그 이미지

비회원

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

[Environment]

Widows 2003 Std sp1

 
[ 윈도우 2003 서버의 장해 내용 ]

Windows 2003 std sp2 를 설치하려고 했으나 계속해서 실패됨. e 0x8024200D

=>

해당 오류 코드는 업데이트할 설치파일이 Corrupt 되었다는 의미입니다.

업데이트에 사용되는 서비스들은 모두 정상이지만 서비스가 사용할 폴더 중 SoftwareDistribution 폴더가 Corrupt 된 것으로 보임.

Corrupt 된 원인으로 Rootkit 이 의심되고 있음.

 

[Cause]

N/A

 

[Resolution]

1.       고객님의 서버에서 “MS 유틸리티” 에 있는 파일 중 procexp.exe 를 이용하여 현재 실행되고 있는 프로세스를 확인하였습니다.

[ procexp.exe ms 홈페이지 중에서 다운로드할 수 있는 유틸리티로 윈도우의 작업관리자와 비슷하지만 보다 자세하게 내용을 확인할 수 있는 유틸리티입니다. ]

e 특별히 의심되는 프로세스나 파일이 보이지 않았기 때문에 rootkit 프로세스를 찾을 수 없었습니다.

 

2.       이번에는 유틸리티 중 “Filemon.exe” 를 이용하여 폴더를 제거하려고 할 때 제거되지 않는 폴더를 확인하려고 시도하였습니다.

[ Filemon.exe 는 시스템에서 프로세스들이 어떤 file access 하는지 모니터링하는 유틸리티입니다. ]

e 그러나 Filemon 의 로그에서는 “NOT EMPTY” 라고만 표시될 뿐 어떤 폴더나 파일이 존재하는지 나오지 않습니다.

 

3.       FSBL.exe 를 이용하여 hidden 되어 있는 file 혹은 process 가 있는지 scan 하였습니다. (첨부된 로그)

e hxdefbot.exe, hxdefhide.exe, hxdef100.exe, svchos.exe, lsas.exe 등등 상당히 많은 rootkit 이 고객님 서버에 존재합니다.

 

[조치 사항]

e registry 에서 해당 exe 파일들을 검색하여 이 파일을 실행시켜주는 service 로 등록된 레지스트리에서 시작 유형을 “사용 안 함” 으로 변경하였습니다.

e 실제 경로에 찾아가 지울 수 있는 한 모두 del 하였습니다. 그러나 여전히 지워지지 않는 파일들이 대부분 입니다.

이 파일들은 재부팅 후 서비스가 시작되지 않은 상태에서 다시 보시면 보일 수도 있습니다. 그 때 다시 삭제하셔야 할 수 있습니다.

 

[권장 사항]

1.       서버를 재부팅하기 전 현재 부팅되어 있는 상태에서 데이터를 모두 다른 드라이브로 백업합니다.

2.       서버를 재부팅하여 봅니다. 위에서 안내드린 것처럼 rootkit 들이 시작되지 않으면 파일들이 보일 수 있습니다. 그러면 실제 파일도 모두 제거하고 증상을 확인하여 봅니다.

3.       실제로 고객님 서버에서 ftp.exe , cscript.exe , wcsript.exe 등등 윈도우의 원래 파일들도 rootkit 으로 대체된 것이 확인되어 재설치하시는 것이 가장 좋을 것으로 보입니다.


로그파일 참조 :


블로그 이미지

비회원

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요