[사건사고] 사상최악랜섬웨어 '워너크라이(Wanna Cry)' 정리
SMB(Server Message Block)는 MS OS에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식을 의미하는데, 지난 4월 미 NSA를 해킹한 것으로 알려진 셰도우 브로커스에 의해 SMB 취약점이 공개된 바 있다.
공격방법
- 서버 메시지 블록(Server Message Block, SMB)에 존재하는 치명적인 취약점을 익스플로잇 한다. 해당 취약점은 마이크로소프트가 3월 14일 이미 패치를 배포한 바 있다. 이 제로데이 취약점은 셰도우 브로커스가 최초로 NSA의 해킹 툴이라며 공개한 문건에 포함되어 있었으며, 이 툴은 이터널 블루라고도 불린다.
- 워너크라이 랜섬웨어는 마이크로 소프트 윈도우에 있는 SMBv2의 원격 코드 실행 취약점을 통해 침투한 후, 데이터를 암호화해 확장자를 전부 .WCRY로 바꾼다고 설명했다. 그런 후에 디크립터 툴을 드롭하고 실행시킨다. 이 디크립터 툴의 기능은 여러 국가에 있는 피해자들에게 협박 편지를 전달하는 것이다.
동향
- 현재 스페인의 통신사인 텔레포니카(Telefonica)와 영국의 국립건강서비스(National Health Service) 소속 병원들이 이 랜섬웨어에 감염되었다고 한다. 여러 대형 병원이 마비된 영국의 피해가 현재 가장 심각한 상태이다.
- 영국 NHS 병원들이 공격을 받은 건 점심 시간 즈음부터였다고 한다. 제일 처음 이상 신호가 온 건 직원들의 이메일 서버에서부터였다. 뭔가 작동이 잘 되지 않는가 싶더니, 곧바로 의료 시스템과 환자 보호 시스템들이 차례로 다운되기 시작했다. 곧이어 협박 편지가 병원 직원들의 컴퓨터 화면에 도착했다. 3일 안에 30만원에 해당하는 비트코인을 내라는 내용이였고 기한을 어길 때마다 돈은 두배씩 늘어난다고 까지 말했다.
- 보통 조직적인 공격들은 특정 인물이나 조직, 산업을 노리는 편인데 이번 랜섬우어 공격은 표적형 공격이라 보기 힘들고, 산업과 지역을 가리지 않는 듯 한 모습이다. 그럼에도 기업 네트워크 내의 치명적인 취약점을 집요하게 노린다.
- 보통 랜섬웨어는 이메일에 첨부된 악성코드를 다운로드해서 감염되거나 악성코드가 삽입된 웹사이트 접속시 들아이브 바이 다운로드 형태로 감염됐는데, 이번에는 네트워크를 통해서 급속도로 감염이 확산됐다.
- 영국의 한 보안전문가가 확산을 방지할 수 있는 '킬스위치'를 만들어 확산을 저지했으냐, 다시 이를 제거한 변종 웜이 등장해 다시 확산되고 있다는 소식이 들려왔다.
- 영국의 한 보안전문가(멀웨어테크)가 이번 워너 크라이가 등록되지 않은 특정 도메인과 연결되어 있다는 것을 확인하고 이 도메인을 구입 및 등록해 확산을 막았다. 이를 통해 랜섬웨어의 확산을 막을 수 있었지만, 랜섬웨어를 유포시킨 범임이 또다른 변종을 만들어 다시 유포 시킨 것으로 알려졌다.
- 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단
*SMB관련포트 : 137(UDP), 138 (UDP), 139(TCP), 445(TCP)
- 운영체제 내 설정을 이용해 모든 버전의 SMB 프로토콜 비 활성화
- 반드시 인터넷 연결을 해제한 후 KISA 보안공지 'SMB 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법'을 따라한다.
댓글