본문 바로가기

security_downloads

워너크라이 랜섬웨어 감염 예방방법

728x90

지난 주 금요일 2017년 5월 12일 이전에 윈도 취약점을 활용하여 웜[1]처럼 확산되는 새로운 형태의 랜섬웨어가 발견되었으며, 

전 세계으로 확산하고 있습니다. 워너크라이(WannaCry)라는 이름의 랜섬웨어[2] 감염을 예방하는 방법을 소개합니다. 


1. 윈도 SMB 취약점 보안패치

2. 윈도 시스템 자체 방화벽에 SMB 패킷 차단 규칙 적용

3. 윈도 SMBv1 비활성화

4. 킬 스위치 도메인 접속확인

5. 조직의 네트워크 차원 방어 


워너크라이 랜섬웨어는 아래 중 한가지를 실행하면 감염을 예방할 수 있습니다.


1. 윈도 SMB 취약점 보안패치


윈도 비스타 이상의 운영체제에서 MS17010 업데이트 설치

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx


윈도 XP 또는 윈도 서버 2003 R2는 아래의 보안업데이트 설치

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/


2. 윈도 시스템 자체 방화벽에 SMB 패킷 차단 규칙 적용


윈도 명령어 실행 프로그램(CMD)을 관리자 권한으로 실행하여, 아래의 두개 명령어 입력 

C:\> netsh advfirewall firewall add rule name="Block-Inbound-SMB" dir=in action=block protocol=TCP localport=135 

C:\> netsh advfirewall firewall add rule name="Block-Inbound-SMB" dir=in action=block protocol=TCP localport=445



3. SMBv1 지원 비활성화


윈도 명령어 실행 프로그램(CMD)을 관리자 권한으로 실행하여, 아래의 명령어 입력

C:\> dism /online /norestart /disable-feature /featurename:SMB1Protocol



4. 킬 스위치 도메인 접속확인


네트워크에서 프록시 없이 아래의 "킬 스위치" 도메인에 연결할 수 있는 지 확인(싱크홀이 설정되어 있음). 그렇지 않은 경우 자체 DNS 싱크홀 설정

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 


새로운 킬스위치 도메인 

킬스위치: ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com 


출처:

https://virustotal.com/en/file/b9318a66fa7f50f2f3ecaca02a96268ad2c63db7554ea3acbde43bf517328d06/analysis/

https://www.hybrid-analysis.com/sample/b9318a66fa7f50f2f3ecaca02a96268ad2c63db7554ea3acbde43bf517328d06?environmentId=100



5. 조직의 네트워크 라우터 및 방어벽 SMB 포트 차단 규칙


조직에서 운영하는 네트워크 경계선의 라우터 또는 방화벽에 445번 포트로 들어오는 SMB 트래픽을 차단하는 규칙 추가 


요약


워너크라이는 지난 주 금요일 5월 12일 처음 발견되었으며, 전 세계의 많은 조직 및 개인용 PC 통해 빠르게 확산되었습니다. 

이전의 랜섬웨어와 달리 이 랜섬웨어는 "ETERNALBLUE"익스플로잇을 사용하여 확산되었습니다

("ETERNALBLUE"는 NSA 해킹도구의 쉐도우브로커 덤프 데이터의 일부로 공개되었을 때 함께 한 달 전에 공개되었습니다.)


마이크로소프트는 NSA 해킹 도구 공개 한 달 전에, 3월 화요일 정기 보안업데이트에서 이 취약점을 패치하였습니다[3]. 

이 패치는 3월 MS17-010의 일부로 윈도 비스타, 윈도 서버 2008 이후 버전의 윈도용으로 발표되었습니다[MS17-010]. 

지난 주 금요일에 워너크라이가 급속하게 확산됨에 따라 마이크로소프트는 윈도 XP 및 윈도 서버 2003 등 구형 윈도용 패치도 발표하였습니다. 


초기 워너크라이 발생 초기에는, 445번 포트에 대한 검색이 크게 증가한 것으로 나타났습니다. 445번 포트 검색이 증가한 것은 감염된 시스템이 

더 많은 공격대상을 검색한 것 때문에 발생한 것으로 판단됩니다. 최초 감염이 어떻게 시작되었는지는 명확하지 않습니다. 일부 보고에 따르면, 

최초로 네트워크를 감염시키기 위해 악성코드가 첨부된 이메일이 있는 것으로 보고되었습니다. 그러나 현재 이메일 감염에 대한 샘플은 공개되지 않았습니다. 

웜이 인터넷에 노출된 445번 포트를 가진 취약한 시스템을 통해 회사 네트워크에 진입했을 가능성이 있습니다. 워너크라이 악성코드 자체에는 

이메일 발송 기능이 없습니다.


이 랜섬웨어는 먼저, 특성 웹사이트(http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)에 접속할 수 있는 지 확인합니다. 

또한 레지스트리 키가 있는지 여부도 확인합니다.


레지스트리 키가 있거나, 웹 사이트에 연결할 수 있으면 실행되지 않습니다. 위 도메인은 한 보안연구원이 등록하였으며 웹서버도 구축하였습니다. 

이것 때문에 워너크라이 감염을 크게 줄였습니다. 레지스트리 키 설정에 도움이되는 도구가 발표되어 감염 위험을 줄였습니다. 

지난 주말동안 보고에 따르면 약간 다른 "킬 스위치"를 사용하는 새로운 버전의 웜이 확산되고 있다고합니다. 

그러나 모든 최신 버전은 웹 사이트를 확인하고 레지스트리 키를 확인합니다. 


파일 암호화 기능


이 랜섬웨어는 2048비트의 RSA 키 쌍을 만듭니다. 개인 키는 랜섬웨어에 포함 된 공개 키를 사용하여 암호화됩니다. 

각 파일에 대해 새로운 임의의 AES 키가 생성됩니다. 이 임의의 AES 키는 공개 사용자 키를 사용하여 암호화됩니다. 파일의 암호를 해독하려면 

사용자의 개인 키를 해독해야하며, 악성코드 개발자의 개인 키가 필요합니다.


다른 랜섬웨어와는 달리 키를 생성하기 위해 네트워크 통신이 필요하지 않습니다. "WNcry@2ol7" 패스워드는 파일을 암호화하는 데 사용되지 않습니다. 

대신 패스워드를 이용해서 악성코드가 일부 구성 요소의 암호를 해독합니다. 암호화된 파일은 wncry. 확장자를 사용합니다. 

이 파일을 복호화하기 위해 사용자는 300달러를 지불해야하며 며칠 후에는 600달러로 증가합니다. 랜섬웨어는 일주일 후에 모든 파일을 삭제하겠다고 위협합니다.


백도어 설치


랜섬웨어는 파일 암호화 외에도 DOUBLEPULSAR 백도어를 설치합니다. 이 백도어를 사용하면 시스템을 더 손상할 수 있습니다. 

이 악성코드는 랜섬웨어 개발자와의 통신하기 위해 토르(TOR)를 설치합니다. 

지난 주말에 킬 스위치 도메인과 레지스트리 키에서 약간 변경된 변종이 보고되었습니다. 


참고 


[1] 웜(Worm)이란 : 컴퓨터 악성코드의 일종으로 독립적으로 실행할 수 있는 컴퓨터 프로그램. 네트워크상의 다른 호스트에 자체 버전을 전파할 수 있고, 

컴퓨터가 정상적으로 동작하지 못할 정도로 자원을 소비할 수 있다.

[2] 랜섬웨어란 : http://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201608_kr.pdf

[3] MS, 쉐도우 브로커 윈도 취약점 3월에 패치: https://www.itlkorea.kr/newsletter/newsletter_view.php?No=2990

728x90