상세 컨텐츠

본문 제목

전세계로 확산되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 이슈 정리 및 조치 방안

악성코드 분석 리포트

by 알약(Alyac) 2017. 5. 14. 00:39

본문

전세계로 확산되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 이슈 정리 및 조치 방안


안녕하세요. 이스트시큐리티입니다.

5월 12일부터 전세계로 급속히 유포되고 있는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어에 대한 내용을 정리했습니다. 또한 사전조치 방안에 대해 공유 드리며, 피해를 최소화 하고자 알약 워너크라이(WannaCry) 예방 조치툴을 개발하였으니 필요한 경우 툴을 내려받아 조치해주시길 부탁 드립니다. 



 알약 워너크라이(WannaCry) 예방 조치툴 다운로드 하기

 알약 워너크라이(WannaCry) 예방 조치툴 내용 자세히 보기



**이스트시큐리티에서는 해당 랜섬웨어 초동 대응에 Wcry, Wana Decrypt0r 등 여러가지 이름을 혼용해 사용했습니다. 사용자의 혼돈을 최소화하기 위해 앞으로는 워너크라이(WannaCry)/워너크립터(WannaCryptor)로 명칭을 통일하는 점 참고 부탁 드립니다.



워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어란?


2017년 5월 12일부터 Windows SMB 취약점을 악용한 유포되기 시작한 랜섬웨어입니다.

해당 랜섬웨어는 다국적 언어를 지원하며 지원언어에는 한국어도 포함되어 있습니다. 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어에 감염되면, 파일 확장자를 ".WNCRY”으로 변경하고, 랜섬머니로 300달러 이상 가치의 비트코인을 요구합니다.

(변종의 경우는 파일확장자나 요구하는 랜섬머니의 금액이 조금씩 달라집니다.)


또한 워너크라이(WannaCry)/워너크립터(WannaCryptor)는 네트워크를 타고 전파되기 때문에, 한대의 PC가 감염되면 같은 네트워크에 SMB취약점이 존재하는 PC들이 모두 감염될 가능성이 있어 특별히 더 주의를 기울여야 합니다.


현재 워너크라이(WannaCry)/워너크립터(WannaCryptor)는 Wcry, Wana Decrypt0r, WannaCry, Wanna Crypt 등 다양한 이름으로 불리우고 있으며 모두 같은 랜섬웨어 이슈를 언급하는 것으로 혼동 없으시길 바랍니다.



워너크라이(WannaCry)/워너크립터(WannaCryptor) 감염 원인


Microsoft Windows의 SMB 취약점을 통해 동일 네트워크상에서 급격히 감염이 이뤄지고 있습니다. 2017년 3월에 업데이트된 MS의 보안패치를 설치하지 않았다면 인터넷에 연결된 것만으로도 감염될 가능성이 있습니다.


* SMB(Server Message Block) : 마이크로소프트 윈도우 운영체제(OS)에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식



워너크라이(WannaCry)/워너크립터(WannaCryptor) 감염예방을 위한 조치방법


일반 사용자 


1. 인터넷 연결을 일단 해제하고, 주요자료를 가능하면 별도 오프라인매체에 백업합니다.

 관련 상세내용은 여기 참조


2. 백업이 완료되면, 다시 인터넷을 연결하고 윈도 보안패치를 최신으로 업데이트합니다.

 윈도우 보안 업데이트 방법 보러가기 


3. 알약 워너크라이(WannaCry) 예방 조치툴을 사용하여 이번 공격에 악용되는 포트를 차단합니다. 

알약 워너크라이(WannaCry) 예방 조치툴 다운로드


4. 랜섬웨어 공격을 방어할 수 있는 백신과 같은 보안솔루션을 활용합니다.



▲ 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 차단 영상 


※ 전산/서버 담당자 


워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어는 미국, 영국, 중국 그리고 한국 등을 포함한 100여개 국가에서 유포되고 있습니다. 공격자는 윈도 시스템에서 기본적으로 오픈되어 있도록 설정된 445 포트를 주로 악용하여, 기업 및 학교 내부망에 침투하는 것으로 보입니다.


특히 해당 랜섬웨어는 악성 첨부파일을 다운로드하여 열어보거나, 취약한 웹사이트나 배너에 노출되지 않았음에도 불구하고 어떤 네트워크상에 있는 시스템이 1대라도 감염되면, 랜섬웨어가 해당 대역의 네트워크를 스캐닝하고 네트워크에 연결되어 있는 다른 시스템에게도 MS17-010 취약점을 악용하는 공격을 시도할 수 있어 매우 치명적입니다. 이는 웜 바이러스의 특성을 함께 지니고 있는, 기존에 볼 수 없었던 웜과 랜섬웨어의 결합형이라고 볼 수 있습니다.


워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어는 한국어를 포함해 다양한 국가의 언어를 지원하고 있으며, 암호화된 데이터를 복호화하는 댓가로 300달러 혹은 변종에 따라 다양한 가격의 비트코인을 요구합니다.


워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어가 악용하는 취약점은 Microsoft Windows SMB 원격 임의코드실행취약점 (MS17-010)으로, SMB version1 서버에 존재하는 취약점을 악용합니다. 공격자는 원격에서 특수하게 제작된 패킷을 통해 해당 취약점을 악용하여 임의의 코드를 실행합니다.


해당 취약점에는 다음과 같은 CVE가 포함되어 있습니다.


CVE-2017-0143

CVE-2017-0144

CVE-2017-0145

CVE-2017-0146

CVE-2017-0147

CVE-2017-0148


또한 이 취약점에 영향을 받는 Windows OS 버전은 다음과 같습니다.


Windows Vista

Windows Server 2008

Windows 7

Windows Server 2008 R2

Windows 8.1

Windows Server 2012 and Windows Server 2012 R2

Windows RT 8.1

Windows 10

Windows Server 2016

Windows Server Core installation option


MS에서는 해당 SMB 취약점에 대해 이미 지난 3월 14일에 패치를 진행했습니다. 그러나 현재까지 해당 업데이트 패치를 적용하지 않은 시스템은 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 감염 위협에 노출되어 있습니다. 이스트시큐리티 알약 블로그에서는 지난 2월부터 꾸준히 SMB Exploit에 대해 경고 드리며, 최신패치를 적용할 것을 강력하게 권고한 바 있습니다.


※ 관련 글 :


윈도우 SMB 제로데이 익스플로잇, 마이크로소프트가 패치 진행하지 않아 공개돼 ▶ 자세히 보기

TheShadowBrokers, 대량의 Windows 제로데이 취약점 공개 ▶ 자세히 보기

유출된 NSA 해킹 툴, 취약한 윈도우 PC 수천대를 해킹하는데 사용되고 있어 ▶ 자세히 보기

마이크로소프트, 또 다른 제로데이 취약점 4개 패치해 ▶ 자세히 보기

SMB 취약점을 통해 유포되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어, 이용자 긴급 주의 ▶ 자세히 보기


이에 전산/서버 담당자들은 다음과 같은 조치를 취해주셔서 피해를 최소화 시켜주시길 당부드립니다. 


1. 시스템을 네트워크로부터 분리하고 방화벽을 통해 SMB 관련 포트 차단 (137, 138, 139, 445)

자동조치 : 알약 워너크라이(WannaCry) 예방 조치툴(WannaCryChecker.exe) 다운로드

 수동조치 : SMB 관련 포트차단 방법은 여기 참조



2. 사용중인 OS가 Windows 8.1 이상에서는 SMB v1 / CIFS 파일공유기능 해제

 자동조치 : 알약 워너크라이(WannaCry) 예방 조치툴(WannaCryChecker.exe) 다운로드

수동조치 : SMB v1 / CIFS 파일공유기능 해제 방법은 여기 참조

** SMB v1 / CIFS 파일공유기능 해제시, 공유프린터 사용이나 파일 네트워크 공유시 문제가 발생할 수 있으므로 긴급조치를 취한 후 OS패치를 진행하고 문제가 발생하는 경우 해당기능을 다시 활성화시킬 것


3. 사용중인 OS가 Windows Vista, Windows 2008 이상인 경우, 

▶[시작] - [Windows Powershell] - 우클릭 - [관리자 권한으로 실행] -

① set-ItemProperty –Path

“HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB1 –Type DWORD –Value 0 –Force 

② set-ItemProperty –Path“HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB2 –Type DWORD –Value 0 –Force 


4. 사용중인 OS가 Windows XP, Windows Server 2003인 경우 , RDP 사용시 IP 접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정 및 기본 포트번호(3389/TCP) 변경


5. MS에서 제공하는 MS17-010 보안 업데이트 진행 / 사용중인 OS 및 SW 최신 업데이트 진행


6. 주요문서 백업 및 별도매체에 보관 / 문서중앙화 솔루션 활용


7. 안티랜섬웨어 기능이 탑재된 보안솔루션 활용




현재 알약에서는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 및 추가 발견된 변종들에 대해 

Trojan.Ransom.WannaCryptor, Trojan.Ransom.Wcry, Gen:Variant.Graftor.369176 등으로 탐지하고 있으며, 지속적으로 업데이트를 진행하고 있습니다. 


또한, 알약 랜섬웨어 차단기능을 통한 행위기반 탐지로 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어를 효과적으로 방어하고 있습니다. 그러나 이미 워너크라이(WannaCry) 변종이 150개 가까이 확인되고 있으며, 이후에도 변종은 계속 생성될 것으로 보입니다. 따라서 무엇보다도 MS에서 제공하는 Windows 보안패치를 최신으로 업데이트하는 것이 가장 필수적입니다. 현재까지 패치를 진행하지 않은 사용자, 기업 및 기관은 신속히 패치를 진행해주시길 간곡히 당부 드립니다. 감사합니다.







관련글 더보기

댓글 영역