2017.05.14 SMB 취약점을 이용한 랜섬웨어(WannaCry)

1. 개요

• 최근 SMB 취약점을 이용한 랜섬웨어(WannaCry) 피해 확산에 따른 공격 주의 권고
  ※ SMB(Server Message Block) : Microsoft Windows OS에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식

2. 내용

• 뉴스관련 요약
• 12일 사이버보안회사 아바스트로부터 범죄조직이 뿌린 것으로 추정되는 악성프로그램 랜섬웨어 '와나크라이(WannaCry)'의 막대한 피해 발생 확인
• 12일 오전 영국 10여개 병원의 컴퓨터가 작동을 멈춰 처음 알려진 이후 76개 국가 정부기관과 기업 등 상당수 컴퓨터들도 같은 악성 소프트웨어에 감염된 것으로 전해짐
• 랜섬웨어에 감염된 컴퓨터는 암호화되고, 돈을 내지 않으면 파일이 삭제된다는 메시지가 뜨며 6시간 내에 돈을 지불하지 않으면 금액이 올라감
• 증상 및 동작 원리
• 아래의 특정 확장자 파일 암호화로 정상 사용 불가
  

.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc​

• 랜섬웨어 감염 시 감염된 컴퓨터의 IP 주소를 확인한 후 악성코드가 동일 네트워크에 있는 다른 컴퓨터를 스캔하고 접속에 성공하면 TCP 445번 포트를 이용하여 공유폴더(SMB) 취약점 이용 동일 네트워크 내 악성코드 전파
• 랜섬웨어 내부 유입 시 취약점이 존재한다면 인터넷과 상관없이 감염
• 킬스위치 도메인 활성화 여부 확인. 활성화 시 악성코드 동작 정지
  - 킬스위치 도메인 : IUQERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA[.]COM
  ※ 랜섬웨어 감염 후 도메인에 접속하면 스스로 전파를 중단
  - 랜섬웨어 초기배포 시 위의 도메인이 비활성화 되어 있었으나 해외 분석가가 랜섬웨어를 분석하여 도메인이 활성되 있으면 스스로 전파를 중단하는 사실을 발견하고 도메인을 등록함
• Ransomeware 제작 시 Global Target으로 Ransomware 제작됨
  - 총 27개 언어로 Bitcoin요구 문구 작성됨 - 한국어 포함
• 2017년 3월 15일 업데이트된 MS17-010 취약점을 이용하여 랜섬웨어의 전파 발생