워나 크라이 랜섬웨어(WanaCry) 작동원리와 대응책

지난 주말부터 랜섬웨어라는 요물 단지가 전세계를 강타하고 있습니다.

랜섬웨어? 

뜻을 풀이하자면, 컴퓨터 문서를 인질(Ransom, 랜섬)로 잡고 돈을 요구한다고 해서 붙여진 이름입니다.

Avast protects you from WanaCrypt0r 2.0 ransomware that infected NHS and Telefonica.

Update (4:23 CET, Monday, May 15th): We are now seeing more than 213,000 detections of WanaCrypt0r 2.0, in 112 countries.

아베스트에 따르면 텔레포니카와 NHS에 워나크라이 랜섬웨어가 걸렸다고 하네요.

무려 15일자 기준으로 112나라에서 213,000대의 장비들이 감염되었다고 하네요.

공격의 원리를 간단히 설명하자면, 파일 전체를 암호화를 시키고 풀어주는 형태입니다.

그후 지속적인 공격이 가능하오니 악성코드가 심어졌다면 꼭 분석을 통해 컴퓨터를 다시 설치하시길 권장하며 백업은 필수사항입니다.

온나라가 시끌벅적하네요
우리나라도 전산업 군의 취약한 컴퓨터를 대상으로 랜섬웨어를 유포시켰네요.
많은 사람들이 예방책을 페북과 블로그에 적고있네요

잘못 감염되시면 여러분이 저장해두셨던 모든 업무와 데이터가 무용지물인 상태로 변신하기 때문에 주의 하셔서

사용하시길 바랍니다.

구체적인 공격의 형태는

SMB 취약점으로써, ‘Shadow Brokers’에서 공개한 일명 NSA 사이버무기인 ‘EternalBlue’입니다. 

마이크로소프트(MS)는 이미 3월 14일경 MS17-010으로 취약점을 패치했으나,

아직 업데이트하지 않은 전세계 컴퓨터들이 감염 위험에 노출되고 있습니다.

취약한 윈도우즈의 MSSMB 포트인 445 포트를 통해서 바인드하여 공격하는 공격기법이니 주의 하시길 바랍니다.

대응방안은 모든기관마다 대응책과 보안장비에서 방어를 하겠지만, 

개인의 경우에는 자신의성향에 맞는 글을 찾아 대응을 하시면 되겠습니다.

 

집단지성의 힘으로 다양한 스캐너가 나왔는데요.

제가 체크해봤던 내용을 공유 해드립니다.

How to scan a host for MS17-010

Download the new “smb-vuln-ms12-010.nse” script from the link below:

https://raw.githubusercontent.com/cldrn/nmap-nse-scripts/master/scripts/smb-vuln-ms17-010.nse

Then the syntax to launch a scan is shown below:

nmap -p 445 -script=./smb-vuln-ms17-010.nse <<IP ADDRESS or RANGE>>

For example, if your network range is 192.168.0.1-255 then you could scan your entire range using this command:

nmap -p 445 -script=./smb-vuln-ms17-010.nse 192.168.0.1-255

빨간색으로 표시된 타켓시스템 IP를 입력하시고 진행하시면 됩니다.

간단히 말씀드리면 다음과같습니다.
UDP: 137,138 과 TCP 139, 445 포트를 차단 하시길 바랍니다.

netsh advfirewall firewall add rule name=wanacry” dir=in action=block protocol=udp localport=137,138

netsh advfirewall firewall add rule name=wanacry” dir=in action=block protocol=tcp localport=139,445

참고자료는 다음과 같습니다.

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723

https://www.boho.or.kr/search/boardView.do?bulletin_writing_sequence=25743&ranking_keyword=%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4&queryString=cmFua2luZ19rZXl3b3JkPSVFQiU5RSU5QyVFQyU4NCVBQyVFQyU5QiVBOCVFQyU5NiVCNA==

참고가 되시면 좋겠네요.

감사합니다.