당신의 컴퓨터는 안녕하십니까? (컴퓨터 대놓고 해킹당함)

저는 IT담당으로 근무중입니다.

오늘 저는 진짜 해킹이 이렇게 쉽게 되는지 다시한번 느꼈습니다....

물론 제 잘못도있지만 경각심을 갖게해주는 계기가 되는것 같네요

어떻게 해킹이 이루어 졌고, 어떤 이유로 발견하였고 해커가 누구이며,

어떤작업을했는지 같이 확인해 보겠습니다.

첫번째로 

해킹당한 PC는 외부에서 접속가능하게 포트포워딩을 이용한 

원격 데스크톱을 오픈해두었습니다.

이러한 윈도우 원격기능인데요 아이피와 포트번호를 입력하면 로그인창이 뜹니다.

두번째로 

아이디와 패스워드 인데요

제가 사용한 계정은 administratort에 패스워드는 스페이스바 하나였습니다.

이게 해킹당할줄은 생각도 못했지만 자세히 들여다보니 이게 정말 큰 실수였습니다.

만약 패스워드는 한자리나 쉽게 admin 정도로 설정하셨다면 바꿔주시는게 좋습니다.

특히 외부ip를 통해 접속가능한 포트가 열려있는 경우라면 더 신중하게 계정을

만들어 주세요.

세번째로 

어떻게 의심했는가 인데요 잠깐 테스트하려고 장비에 직접가서 모니터를

키고 잠깐 작업하는데 많이 느리더라구요 저번주까지만해도 버벅될 정도는 

아니였는데 상당히 심해서 작업관리자를 켰더니 CPU 사용률이 100%에서 오랫동안

100%에서 머물다가 점점 내려가더라구요... 이게 더 충격적이네요 ㅋㅋ

요즘 트로이바이러스나 채굴바이러스는 거의 이런식이라고 본것 같네요

task 프로세스가 올라오면 자동으로 기능을 일시정지 해버리는......

그래서 뭔가 이상해서 프로세스를 하나하나 들여다보니 이상한 프로세스가 발견

되었습니다.

이상한 프로세스를 파일경로를 들어가보니 이런식으로 모든 프로세스가 2중으로

실행되고있더라구요 저 프로세스들은 시스템 관련된 프로세스여서 일반적인 사용자는

절대 발견하기가 더어렵죠....

중요한 네번째

인데요 이 파일들은 모두 트로이성 바이러스 입니다!

제 경우에는 해당경로를 찾아 지웠고 CPU 점유율 해결이 되었습니다

바이러스 또는 해커마다 경로 또는 프로세스명이 다를 수있습니다!

만약 비슷한 증상이 있는 분이라면 이 경로를 확인해보세요.

일단 폴더옵션에서 숨김 파일 보이기를 설정해야합니다. 

파일들이 모두 숨김처리가 되어있어요. 

2개 폴더에 2중으로 숨겨져 있습니다.

시스템 드라이브 -  User - 사용자명 - 문서 - windows

시스템 드라이브 - User - 사용자명 - 문서 - appdata

파일은 삭제가 바로 되지않아요 프로세스를 죽여하는데 일반적인 경우 svchost.exe

프로세스를 제외한 나머지는 찾아서 종료할 수있지만 svchost.exe는 프로세스가 많아

찾기가 어려우니 작업하기전에 안전모드로 부팅해서 지우는것을 추천드립니다.

다섯번째로 

해커는 누구인가 인데요 원격 데스크톱을 통한 해킹이니 로그를 통해 어떤놈이

들어왔는지 확인을 했습니다. IP 이력과 날짜 시간이 모두 남으니깐요

여기서 한번더 헛웃음이 나오더군요 한두놈이 아니더라구요 아니면 vpn을써서

눈속임을 한 것일수도있구요

하지만 바이러스를 심은 놈먼저 찾기위해 프로세스 접근 명령어를 먼저 분석했는데요

빨간네모칸을 잘 보시면 해커 ip와 포트를 통해 제 PC에서 뭔가 통신을 하고있습니다.

그래서 역으로 원격데스크톱을 시도해봤습니다.

핑도나가고 원격포트도 살아있더군요 근데 저는 해커가아니니...

일단 역으로 접속하는건 무리가 있죠...

누구냐 그래서 ip를 검색했어요

러시아 국가로 검색이 되네요.. 이녀석만 접속을 한건지 vpn을 통해 들어온건지..

원격데스크톱 로그를 확인해봤습니다

하루동안 벌써 4개의 ip가 검색이 되었네요 .... !!

같은 해커인지는 잘 모르겠지만 나라들이 다 다르더라구요 중국..대만.. 러시아.. 등등

정말 이건 아니다 싶었어요 빠른 패스워드 포트 변경을 하고 저 자신과 다른분들도

경각심을 갖기위해 작성해봅니다

모두 보안을 강화해서 해커들에게 당해주지 말아요 

다들 PC들은 안녕하시죠?