보안 SMB 취약점을 이용한 ‘워나크라이(WannaCry)’ 랜섬웨어 공격 주의 권고

[TuKuL]

□ 개요
 o SMBv2 원격코드실행 취약점 악용한 랜섬웨어 악성코드 공격이 전세계적으로 보고되고 있어 주의 필요
 o 악용된 취약점은 Windows 최신 버전에서는 발생하지 않으므로 운영체제에 대한 최신 보안 업데이트 및 버전 업그레이드

    권고

□ 용어 정리
 o SMB(Server Msessage Block) : Microsoft Windows OS에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식

 
□ 주요 내용
 o Microsoft Windows의 SMBv2 원격코드실행 취약점('17.3.14 패치발표, MS17-010) 악용하여 랜섬웨어 악성코드

    유포
   - 패치 미적용 시스템에 대해 취약점을 공격하여 랜섬웨어 악성코드(WannaCry) 감염시킴
 o 랜섬웨어 악성코드(WannaCry) 특징
   - 다양한 문서파일(doc, ppt, hwp 등), 압축파일, DB 파일, 가상머신 파일 등을 암호화
   - 비트코인으로 금전 요구, Tor 네트워크 사용, 다국어(한글 포함) 랜섬노트 지원
 
□ 영향을 받는 시스템
 o Windows 10
 o Windows 8.1
 o Windows RT 8.1
 o Windows 7
 o Windows Server 2016
 o Windows Server 2012 R2
 o Windows server 2008 R2 SP1 SP2

[ 해당 사이트 ]

http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703

http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25704

http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25705

[ 참고 사이트 ]

  https://www.estsecurity.com/securityCenter/news/view/1311

  http://blog.alyac.co.kr/1093                                                    (이슈 정리 및 조치 방안)

  https://www.hauri.co.kr/information/issue_view.html?intSeq=309&page=1

  http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do?utm_source=NC&utm_medium=eDM&utm_campaign=WannaCry&utm_content=rcenter

▒ Microsoft 보안 공지 MS17-010

     https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

▒ 지원중단한 OS에 대해서 별도로 제공한 패치

Windows Server 2003 SP2 x64

  https://www.microsoft.com/ko-KR/download/confirmation.aspx?id=55244

Windows Server 2003 SP2 x86

  https://www.microsoft.com/ko-KR/download/confirmation.aspx?id=55248

Windows XP SP2 x64

  https://www.microsoft.com/en-us/download/confirmation.aspx?id=55250

Windows XP SP3 x86

  http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-kor_b2a6516e2fd541c75ebb4bcaeb15e91846ac90c5.exe

Windows XP Embedded SP3 x86
  https://www.microsoft.com/ko-KR/download/confirmation.aspx?id=55247

Windows 8 x86

  https://www.microsoft.com/ko-KR/download/confirmation.aspx?id=55246

Windows 8 x64             

  https://www.microsoft.com/ko-KR/download/confirmation.aspx?id=55249

[ WannaCryptor 감염 화면 ]

[예방 요령]             http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723

1. 랜섬웨어 방지 대국민 행동

1) PC를 켜기 전 네트워크 단절
 - 랜선 뽑기
 - 와이파이 끄기

2) 감염 경로 차단
 - 방화벽 설정 변경

3) 인터넷 재연결 후 보안 업데이트
 - 윈도우 보안 패치 실행
 - 백신 프로그램 업데이트

2. 파일 공유 기능 해제 - 방화벽 설정

Window 방화벽에서 SMB에 사용되는 포트 차단

1) 제어판 -> 시스템 및 보안
2) Windows 방화벽 -> 고급 설정
3) 인바운드 규칙 -> 새규칙 -> 포트 -> 다음
4) TCP -> 특정 로컬 포트 -> 139,445 -> 다음
5) 연결 차단 -> 다음
6) 도메인, 개인, 공용 체크 확인 -> 다음
7) 이름 설정 -> 마침

  

□ 기타 해결 방안(아래 버전을 사용하는 경우, 다음과 같은 방안으로도 해결 가능)
   ㅇ Windows Vista 또는 Windows Server 2008 이상 사용자
       시작 -> 'Windows Powershell' 입력 -> 우클릭 -> 관리자 권한으로 실행 ->
      ① set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver
\Parameters" SMB1 -Type DWORD -Value 0 -Force
      ② set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver
\Parameters" SMB2  -Type DWORD -Value 0 -Force

   ㅇ Windows 8.1 또는 Windows Server 2012 R2 이상 사용자
       클라이언트 운영체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제
                                        -> SMB1.0/CIFS 파일 공유 지원 체크해제 -> 시스템 재시작 
       서버 운영체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제
                                        -> 확인 -> 시스템 재시작

---------------------------------------------------------------------------------------------------------------

□ 파일 공유 기능 필요 시 - 방화벽 설정 복구

 o Window 방화벽에서 SMB 차단 설정 삭제
    1) [제어판] → [시스템 및 보안] → [Windows 방화벽] → [고급 설정]
     2) [인바운드 규칙] → [SMB 차단] → [우클릭 후 삭제, 예(Y)] → [재부팅]