2017. 5. 14. #2 - KISA (krcert) 대응 방안 공유 (중요!!)
- http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723
2017. 5. 14. #1 유포 관련 개인적인 생각
국내외 Ransomware가 유포된지도 상당 시간이 흘렀고,
현재로서는 감염이 된 경우, 개인키가 확보되지 않는 이상 감염된 파일(암호화된)을 복구하는 것이 상당히 힘든 상태이다.
최근, 아니 몇일 전부터 국외 기업들에 Ransomware가 유포되었고, 기사로 나왔다. 필자는 '뭐 그냥 또 흘러가는 악성 코드 트렌드 이겠지' 하고는 별것아니라고 생각했다.
바로 그날 오후였는지, 다음 날이였는지 모르겠지만,
국내 뉴스에도 앞서 국외 기업들에 유포되었다고 하는 Ransomware에 대한 주의와 긴급성을 소개하고, 이야기하고 있었다.
해당 Ransomware는 WannaCry라고 불리는 악성코드로,
일반적으로 Ransomware는 이메일 혹은 취약한(버전이 낮은? 혹은 해커들로부터 분석이 끝난?) 프로그램(IE, Flash, Java 등)을 통해서 유포되는 경우가 많았던 것으로 기억한다.
하지만, 이번 WannaCry는 과거 Worm 유형 악성 코드가 SMB 서비스를 통해 유포하는 것과 같은 유포형태를 취하고 있는 것으로 확인이 되었다.
SMB는 Server Message Block의 약자로, 컴퓨터 간 데이터를 주고 받기 위해 사용되는 프로토콜(일종의 약속)인데, 해당 프로토콜의 취약점(취약점이라고 하지만, 한마디로 약점이라고 봐도 무방할 듯 하다)을 WannaCry Ransomware 제작자가 발견하고, 이를 악성코드의 동작모듈에 포함시킨 것으로 보인다.
MS에서 발표한 내용에 따르면
"Microsoft Server Message Block 1.0(SMBv1) 서버가 특정 요청을 처리하는 방식에 원격 코드 실행 취약성이 존재합니다. 이 취약성 악용에 성공한 공격자는 대상 서버에서 코드를 실행할 수 있는 권한을 얻을 수 있습니다."
- https://technet.microsoft.com/ko-kr/library/security/MS17-010#취약성 정보 -
SMB는 윈도우 서비스로, 기본적으로 윈도우 설치 시에 이미 깔려있다고 보면된다.
이에, WannaCry 악성코드를 만든 사람은 최초 WannaCry에 감염된 컴퓨터의 파일들을 암호화 시키는 행위, 랜섬웨어의 기본 행위 외에 주변 컴퓨터들을 추가적으로 감염 시키기 위해 주변 네트워크 대역 혹은 무작위의 IP를 대상으로 SMB 스캐닝 이후, 취약한 데이터를 전송할 것으로 예상된다.
예를 들어, 철수 컴퓨터랑 내 컴퓨터랑 같이 쓰고 있는데, 철수 컴퓨터에 WannaCry가 감염되었으면, 철수 컴퓨터에서 동작중인 WannaCry가 SMB 스캐닝을 해서, 내 컴퓨터의 SMB를 찾아내고, 내 컴퓨터의 SMB의 약점을 건드릴 수 있는 데이터를 보내서, 먹통(?)이 되게 한뒤, WannaCry를 복제해서 유포시키는 것으로 설명할 수 있겠다.
아무튼, 언론에서 인터넷이 연결된 상태이면 감염될 수 있다고 하는 이유가, 바로 여기에 있다. SMB는 윈도우를 사용하는 모든 컴퓨터에 기본적으로 설치되어 있고, 주변에 WannaCry가 감염되어 있는 경우, 나 또한 앞서 설명한 것처럼 SMB를 통하여 악성코드가 복제/유포되는 것이다.
주저리주저리 이야기했지만, 이 모든 것이 맞는 이야기인지는 잘 모르겠다.
어찌됐건, 자신의 컴퓨터에 있는 SMB 서비스를 모두 중지 시키고, 언론에서 이야기하는 OS 업데이트, 보안 업데이트를 진행하여 예방할 수 있도록 해야하겠다.
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25705를 통한 대응을 우선적으로 하시기 바란다.
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/