포인트를 의식한 너무 짧은 내용이거나 내용이 부실한 피드백은 피드백이라고 보기 어렵습니다
너무 부실한 내용이거나 너무 간단한 내용은 통보 없이 게시물 이동 합니다
그와 동시에 지급된 포인트를 모두 회수 합니다URL 링크 : |
---|
회원님들 안녕하십니까? 저는 오늘 최근에 발견한 Row Hammer에 관해 글을 남깁니다.
마침 어제 네이버 검색어도 1위가 랜섬웨어이고 잠도 안오고 그래서 아직 제 기준에 내름대로 정리되지 않았지만 실패기(?)겸 글을 남겨드립니다.
어느날 존경하고 경이로운 여친느님께서 노트북이 멈춘다고 연락을 주셔서 고치기 시작하였습니다.
노트북은 한성 컴퓨터 u13s 모델로서 대략적으로 인텔 셀러론1037u, 4g 램, 500GB HDD입니다.
증상을 보니 거의 8, 9할 정도는 인터넷 익스플로러를 사용하다가 멈추고 나머지는 컴퓨터를 키자마자 멈추더라구요.
그래서 단순히 익스플로러 재설치를 했는데 실패했습니다. 이후로 이벤트 창 확인, 바이러스 검사, 하드웨어 온도 검사, HDD검사, 윈도우 7, 8, 8.1, 10 재설치 등 안해본게 없는데 멈추더라구요.
그래서 일단 지켜보자라는 마음으로 시스템 모니터링을 하고 기다렸습니다. 메모리 사용량이 33%인 순간, 갑자기 윈도우 메모리 부족증상이 떴습니다.
보통 제가 알고 있는 인식으로는 메모리는 고장이 잘 나지 않는다는 인식이 있어서 '아 메인보드 교체 각인가? 하드를 SSD로 바꿔? 램을 바꿔볼까?'라는 생각을 하고 있을때 마침 떠준 경고창 때문에 메모리 검사를 시작하였습니다. 윈도우메모리 검사를 스탠다드 기준으로 했을때는 이상없다고 떴지만 상세검사를 했을때는 갑자기 멈추고 계속 다음으로 넘어가지 않더라구요.
그래서 차선책으로 Passmark사의 프로그램을 쓰기로 했습니다. usb iso파일을 굽기 좋게 usb 굽는 프로그램도 넣어주고 iso 파일 용량자체도 적어서 금방 굽고 실행시켰습니다.
인터페이스도 무료치고 상당히 깔끔해서 맘에 들었습니다.
우측 상단을 기준으로 초록색 글자는 테스트 항복이 약 1~15단계까지 이루어지는데 그 단계의 총 진행량이고 갈색은 매 단계 테스트 항목마다 진행률입니다. 갈색 밑의 항목은 테스트명이구요. 1~15단계의 테스트를 총 4번 반복하더군요.
그렇게 멍하게 있다가
저기 [Note]보이시죠? 사진에는 한개만 떴지만 검사 완료시엔 3개가 떴었습니다.
Row Hammer?? 전~~~혀 뭔지 몰라서 찾아봤습니다~~~!!(이하 Row Hammer를 'rh'로 칭하겠습니다)
이미 해외 포럼에서는 꽤 질문되어져 왔던 내용들이었고 국내에서는 알약블로그에 잘 나와 있었습니다.
rh는 2014년도에 나타난 공격방식으로서 기술 발전에 따라 램의 셀 밀집도가 높아지면서 한 row에 대한 반복적 접근으로 인접 메모리에 병목현상 비슷하게 일어나게 유도하는거 같았습니다.
감염경로는 인터넷이며 자바 스크립트를 이용해 공격하고 구조, 언어, os환경 상관없이 모두 공격이 가능하고 직접적 물리적 접근(정확히 이해를 못했습니다;; 죄송합니다;; 아마 원격 공격 같습니다.)
2010~2014년도에 제작된 DDR3가 상당히 취약하며 이때문에 DDR4에선 이것에 대해 대비책을 설정하였지만 최근엔 DDR4에도 증상이 발견된다고 합니다.
해결방법에 대해 결국은 바이러스라는 생각에 알약과 v3를 사용해봤지만 못잡았습니다. 카스퍼키등은 시간 부족으로 아쉽게도 해보지 못했지만 나중에 해보고 싶습니다.
그리고 해외 포럼에서 이 이슈에 관해서 새로 램을 사면 된다. 아니다. 이건 램 뿐만 아니라 메인보드까지 감염되었기 때문에 소용없다, 아니다! 현재 rh에 노출된 램의 동일 모델로 새로사면 다시 노출되니 다른 회사의 램을 구매해야 된다 등등 말이 많네요.
하....포기하기 10분전의 마음으로 아주 이상하게 다시 윈도우 10을 설치하고 '마지막이다.'라는 생각에 네이버웨일 브라우저를 설치하고 메모리 세이브 설정을 하니 이상하게 잘되네요. 크롬도 안되고 스윙브라우저도 안되고 파이어폭스도 안되고 엣지도 안되고 그랬는데 왜 그럴지;; 혹시나 싶어 다시 램 검사 해봤는데 여전히 rh는 남아있었습니다.
이 사실을 여친에게 말하니 여친이 오늘 네이버 검색에 1위가 랜섬웨어라고 겁을 먹어서 용산가서 중고 4g짜리 싸게 하나 업어왔습니다.
이상 저의 실패기를 마치겠습니다. 감사합니다.
P.S.
이 이슈에 대해 제 나름대로 이것에 대해 쓸데없이 궁금해지기도 하고 그래서 안랩과 이소프트시큐리티에 문의를 남기니 안랩에서는 바이러스리포트 형식으로 하라하고 알약은 공식홈페이지에 관련 피드백을 남기는 곳이 없었는데 마침 rh에 관해 알약블로그에 포스팅되어 있어서 궁금증을 방명록에 남겼는데 아직 답이 없네요ㅎㅎ
물리적 ram은 휘발성이라고 알고 있는데요???
찾아보니 row hammer 자체가 바이러스가 아니라 메모리 결함이네요. 쉽게 이해하기에는 메모리의 한 특정 열(row)에 특정 신호를 반복적으로 계속 보내면 인접한 열에도 간섭이 발생하여 결함이 발생한다는 거네요. dd3 dram이 간격이 좁게 설계되어 있어서 발생하는 현상이랍니다. 집적도가 높아지니까 이러한 현상이 발생하네요. ㅎㅎ
문제는 이를 이용해서 해킹하는 놈들이 있다는 겁니다. 대단한 놈들...ㅎㄷㄷ
님이 하신 테스트 결과는 바이러스 걸렸다는 것이 아니라 이 row hammer 가 발생할 수 있는 요인이 있다는 겁니다. 재수 없으면 바이러스 걸릴 수 있다는 거죠.
(아래 내용참조)
http://www.dailysecu.com/?mod=news&act=articleView&idxno=9017
설계 결함이라 뭐 램 새로 교체해도 row hammer가 없다고 할 수 없겠네요.
바이오스에 침입하는 바이러스는 거의 없다고 보면 됩니다. 요즘은 바이오스에서 자체적으로 방어하기 때문이고, 바이오스를 해킹할 수 있는 능력자는 없다고 보는 것이 맞겠습니다. 현재까지는.
윈도우를 포함한 모든 소프트웨어 정품 쓰시고,
지속적인 보안 업데이트 및 의심우려 사이트에는 접근하지 않는 것이 해결책이겠네요.
특히 컴알못 분들이나 여성분들 보면 주소 잘못 타이핑하거나 해서 예 또는 아니오 선택하는 창이 나오면 예를 누르는 경우가 많더군요. 되도록 예 또는 아니오 둘다 누르지 말고 창을 닫는게 좋습니다.
안되면 강제종료하시구요.
또한 하드 디스크도 전부 포멧하시고(파티션 나눠진 것도 당연 모두 포멧), 걍 파티션 날리시는게 안전하겠지요. ㅎㅎ 윈도우도 정품으로 설치해보세요. 인터넷 연결하지 말고 3일정도 써보시고 그래도 동일증상이라면 하드웨어 결함입니다. 하드웨어 결함도 특히 노트북 특히 한성 u13s 모델은 발열로 인해 스피트스탑 같은 현상으로 버벅일 수 있으니 온도체크도 해보세요.
우선 스피드스텝까지 언급해주신점 감사드립니다.
발열문제에 대해서는 솔직히 말해서 제가 하드웨어적인 지식에 있어서 전문적이진 않지만 본문에서 언급한 바와 같이 메모리 교체를 위해 분해한 결과 방열시스템이 하드웨어 초보인 제가 봐도 문제가 있을 정도로 부족한거 같아서 구글링 결과 어떤 블로그에서 이 부분에 대한 언급이 있더군요. 그래서 그 분의 글을 보니 그 분은 직접 한성에 문의를 주셨다는데 한성 측에선 '부품 제조사에서 100도 이상 넘어가도 괜찮다.'는 답변을 해주신걸로 보아 일단 안심했습니다. 그래도 혹시나 싶어서 확인해본 결과 최대 80도 이상을 넘지 않고 프로그램들도 cpu한계인지 몰라도 약간의 버벅임은 있지만 80도라는 온도와 함께 이정도면 무난하다 싶어서 발열 부분에선 문제가 없었다고 생각했습니다(최초 증상 발견 당시엔 노트북이 윈도우 진입 후 인터넷 익스플로러를 사용하고 10분 전 후로 멈추는 문제가 발생했기 때문에 약간의 버벅임 정도로 미루어 본 바 온도에 의한 문제는 아니라고 생각했습니다).
또한 반돌님이 언급하신 바 그래도 바이러스라는 표현에 대한 것은 잘못되었음을 인정합니다. 아직 한참 부족하지만 여러 포럼등을 확인한 결과 'ddr3 램의 설계상 결함 상태에서 인터넷 등에 연결시 이 취약점이 row hammer 현상을 발생시킨다.'와 'ddr3 램 설계 자체의 결함에 의해 자체적으로 발생하는 이슈이다.'(다수설)이 있네요. Addi님이 말씀해 주신 바와 같이 램은 휘발성이기 때문에 제 생각도 다수설과 같습니다.
그리고 "님이 하신 테스트 결과는 바이러스 걸렸다는 것이 아니라 이 row hammer 가 발생할 수 있는 요인이 있다는 겁니다. 재수 없으면 바이러스 걸릴 수 있다는 거죠." 라고 언급해 주신 부분에 대해서 검사 결과가 RAM may be vulnerable to high frequency row hammer bit flips란 문구에서 본 바와 같이 may be 때문에 row hammer이슈에 '걸릴수 있다'라는 것도 동의 합니다. 이 부분에 대해서 passmerk 포럼에 누가 글을 올려준 것에 대해 기술팀이 본인들에게 로그 파일을 보내주면 도와주겠다는 글이 있던데 뭐 어짜피 여친느님도 노트북을 거의 사용하는 것이 아니고 may be이기 때문에 그냥 쓰려고 합니다.ㅎㅎ
심도있는 조언 감사드립니다.
노트북 온도 80도면 높은 온도입니다. 80도면 고사양 게임으로 풀로드되어야 나오는 온도입니다. 단순히 웹서핑이나 사무용도로 80도면 문제가 있는겁니다. 모든 CPU는 100도까지는 버티도록 설계되어 있지만, 좋지 않습니다. 지속적으로 80도로 돌아간다면 내부 공기순환이 좋지 못한 노트북은 찜찔기 같이 되겠죠. 써멀 다시 발라보시고, 노트북 쿨러 사용해보세요. 그리고 절대 이불위에서는 노트북 쓰지 마세요. 한성 노트북은 프리미엄 시리즈 말고는 문제가 조금씩 다 있더군요. 특히 발열문제로 몇몇 분들은 타공하기도 하더군요. 그리고 제 경험상 노트북의 경우 윈도우 버전이나 드라이버 특성을 많이 타더군요. 윈7에서 버벅이던 문제가 윈10에서는 발생하지 않거나, 최신 드라이버에서는 불안정 한데, 제조사 드라이버는 안정적이라던가...
재밌는 것도 있네요. 덕분에 알아갑니다.
그런데 말씀하신 증상이 CPU 온도가 높아서 나타나는 증상과도 유사합니다.
제 경우 몇년동안 2 번을 겪었는데 의 CPU 쿨러에 먼지가 많이 끼다 못해 먼지막이 생겨서 컴퓨터를 키고 조금지나면 느려지고 심지어 다운되는 증상이 있었고 최근에도 게임이 끊기고 쿨러소음이 심해져서 확인을하니 CPU 온도가 8~90도, 이번엔 황당하게도 CPU 쿨러 핀이 하나가 빠져서 생기던 문제더군요. 지금은 온도가 4~50도 정도밖에 안나오고 매우 잘됩니다.
하여튼 CPU 온도가 생각보다 많이 높은 것 같습니다.
고생 하셨네요
그래도 할수 있는 것은 다 하신것 같네요
문제는 이번 바이러스가 장난 아니네요