'원격코드의 취약점' 태그의 글 목록

원격코드의 취약점

토픽 스터디 / 정보보안 / 워너크라이(WannaCry) 랜섬웨어 - 악성코드 2020.10.31

토픽 스터디 / 정보보안 / 워너크라이(WannaCry) 랜섬웨어 - 악성코드

2020. 10. 31. 18:09

토픽 스터디 / 정보보안 /워너크라이(WannaCry) 랜섬웨어 - 악성코드

주요 키워드

랜섬웨어, 멀웨어툴, 서버 메시지 블록(SMB), 원격코드의 취약점

워너크라이(WannaCry)의 개념

Windows SMB 취약점을 악용해 유포되기 시작한 랜섬웨어입니다.워너크라이(WannaCry)랜섬웨어에 감염되면, 파일 확장자를 ".WNCRY”으로 변경하고, 랜섬머니로 300달러 이상 가치의 비트코인을 요구합니다.

워너크라이(WannaCry)의 원인

Microsoft Windows의 SMB 취약점을 통해 동일 네트워크상에서 급격히 감염이 이뤄지고 있습니다.

워너크라이(WannaCry)의 특징

윈도우 운영체제의 공유 프로토콜 SMBv1 원격코드의 실행 취약점을 악용해 PC와 서버로 전파되었습니다.
네트워크 웜(Network WORM) 기반 공격으로 인터넷 연결만으로도 감염되며, 파일명에 ‘.WNCRY’가 붙어 ‘파일명.jpg.WNCRY’와 같은 식으로 파일명을 변경합니다. 웜(WORM) 형태로 확산되는 새로운 랜섬웨어로 대부분의 컴퓨터에서 보안 업데이트가 자동으로 적용되지만, 일부 사용자와 기업에서는 패치 배포가 지연되거나 업데이트하지 않는 경우가 많은 점을 노렸습니다.

워너크라이(WannaCry)의 동작 원리

워너크라이 랜섬웨어는 MS17-010(Microsoft Windows SMB 서버용 보안 업데이트)을 설치하지 않은 버전을 감염킵니다. 이 취약점을 이용해 SMBv1 서버에 원격 코드를 실행해 mssecsvc 2.0이란 서비스를 만들고, 감염된 시스템 IP 주소를 확인해 동일한 서브넷의 각 IP주소의 445포트 연결을 시도했습니다. 원격지 SMBv1 서버에 연결이 성공하면 MS17-010 취약점을 이용해 웜과 같이 확산했습니다.

또한, 워너크라이는 실행시 네트워크에 공유된 이동식 저장장치를 포함한 디스크 드라이브를 확인해 파일들을 RSA 2048 비트로 암호화합니다. ‘cmd.exe/vssadmin.exe/WMIC.exe’의 윈도우 명령어를 이용해 액세스 권한 등을 모든 사용자에게 허용함으로서 원활한 실행을 구현했습니다. SMB 프로토콜은 중개경로가 되고 그 경로를 이용해 실제 랜섬웨어 파일을 옮겨 감염되게 하는 형식은 기존 랜섬웨어와는 다른 것으로 분석되고 있습니다.

워너크라이(WannaCry)의 피해

영국에서는 국립건강서비스 산하 16개 대형병원이 공격을 받아 진료중단 및 타병원으로 환자를 긴급 이송했으며, 스페인에서는 대형 통신사 텔레포니카가 일부 업무를 중단되었습니다. 프랑스에서는 르노 자동차가 공장 일부의 가동을 중지했으며, 독일 철도 티켓 발행기는 일부 발행이 중단되었습니다. 인도네시아의 국립 암센터 등 대형 종합병원 두 곳 역시 일부 진료를 중단하는 사태가 벌어졌습니다.

우리나라에서의 피해 역시 확산되었습니다. 글로벌 본사에서는 제조공정 서버 및 PC가 감염되어 공장 일부의 가동이 중지됐으며, 한 대기업에선 보안관제센터 모니터링 PC가 감염돼 PC 운영을 중단하고 포맷한 것으로 알려졌습니다. 대형 종합병원도 이번 공격으로 일부 업무가 중단됐으며, IoT 장비 모니터링 서버가 감염돼 서버 운영을 중지하고 포맷한 것으로 분석되었습니다.

워너크라이 방어 전략

△ 랜섬웨어 방어를 위한 글로벌 표준
- 랜섬웨어가 침해하지 못하는 전문 백업제품을 사용하여 사전에 백업받을 것
- 랜섬웨어 차단 가능한 백신으로 업데이트할 것
- 이메일 첨부파일 열람에 주의를 기울일 것
- 윈도우 업데이트로 보안취약점을 없앨 것
- 이메일 링크로 접속 말고, 직접 접속할 것
- 회사와 기관은 데이터 보호관리 정책수립 후 사용자에게 교육할 것

△ 랜섬웨어 방어를 위한 정책 제안
- 해커를 살찌우는 비트코인 송금의 불법화 정책 수립
- 부득이 복호화가 필요한 경우 신고제 통해 감염-복호화-비트코인 송금 등 전 과정에
대한 추적과정의 DB화
- 사전 예방이 최선의 방어라는 인식을 확산시켜 데이터를 백업해 IT 재해 상황 대비
- 기업 혹은 공공기관 중 랜섬웨어 감염이 발생할 경우 언제든지 사이버테러 혹은 APT
공격을 받을 수 있다는 사실을 주지시키고 반드시 시정조치가 필요

참고문헌

전세계로 확산되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 이슈 정리 및 조치 방안
[워너크라이 랜섬웨어 사태] 사이버 보안의 악몽이 된 랜섬웨어의 진화

위키백과 워너크라이

저작자표시

'기술사 토픽 > 정보보안' 카테고리의 다른 글

토픽 스터디 / 정보보안 / XSS(Cross Site Scripting) 공격 - 해킹 (0)	2020.11.01

PREV 1 NEXT

해커를 꿈꾸는 개발자