https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=28352

https://www.boannews.com/media/view.asp?idx=79969&kind=&sub_kind=

3줄 요약
1. 비상! 갠드크랩이 SQL 서버 통해 전파되는, 새로운 수법으로 무장되다.
2. 상품형 멀웨어이기 때문에 이런 식의 업그레이드는 종종 있는 일. 앞으로 SQL 서버 통한 공격 반복적으로 이어질 것.
3. 비표준 SQL 포트를 사용하고, 관리자 계정의 비밀번호를 강력하게 바꾸며, VPN 사용하면 방어 가능.

데이터베이스 서버 모니터링의 중요성

Window System에서는 NTFS 파일에서 파일이나 폴더에 접근을 관리한다.

예를 들어 특정 User가 특정 파일/폴더에 접근하려면 NTFS에서는 다음과 같은 절차를 걸친 후 사용자에게 권한을 부여해준다.

1.     SID 값 일치여부 확인

2.     해당 사용자의 Access Token과 파일서버에 저장되어 있는 Access Token값과 비교 후 접근 권한 부여

SID값은 객체가 생성될 때마다 자동으로 부여되는 고유한 값이다. 모든 보안 주체들은 고유한 SID 값을 가지고 있다. SID는 사용주체가 만들어질 때마다 고유번호를 생성하여 부여되기 때문에 같은 user name을 가져도 SID가 다르다. 해당 값은 Entity가 삭제될 때 손실되기 때문에 추후 사용 가능성이 있다면 비활성화를 권고하고 있다.

SID값으로만 사용자의 접근 신원을 파악하기 어렵다. 악의적인 목적을 가진 사용자가 타 사용자의 SID를 가장할 수 있기 때문이다.  따라서 NTFS에서는 Access Token을 이용하여 사용자에게 액세스 권한이 부여되었는지 여부를 파악한 후 권한을 부여한다. Access Token은 디지털 서명과 같은 기술로 Entity에 대한 보안을 포함하고 있다. Access Token에는 SID, Permissions, Group membership의 내용이 있다.

<출처 : itfreetraining : https://youtu.be/Ed_2BKn3QR8>

NTFS에서는 Access Token을 이용하는 방식은 다음과 같다.

예를 들어 홍길동이라는 사용자가 특정 파일에 접근한다고 가정하자.

-1. 시스템에 이미 해당 사용자 개체가 존재할 때 Domain Controller는 해당 사용자에게 비밀번호 등으로 올바른 사용자인지 파악한다.

-2. Domain Controller는 해당 사용자에 대한 Access Token(사용자 SID, 해당 사용자가 포함된 모든 그룹에 대한 SID)을 생성 후 사용자에게 전송한다.

-3. 사용자가 파일 접근 시 파일 서버에 사용자의 SIDS값을 전달한다.

-4. 파일 서버는 등록되어있는 ACL 값과 사용자의 SIDS값을 비교 후 접근 허가를 한다.