태그: WanaCrypt0r 2.0

70여개국에 동시에 감염된 사상 최악의 랜섬웨어, WanaCrypt0r 2.0 설명 / Windows Update 설정 / SMB 포트 차단법

Ransomware
Ransomware

 

70여개국을 강타한 사상 최악의 랜섬웨어, WanaCrypt0r 2.0

취약점 패치를 진행하지 않은 PC 및 구형 운영체제 사용으로 병원, 기업등이 피해를 봐…

 

Windows XP, Windows 7, Windows 10 할 것 없이 Windows Update 를 하지 않은 PC의 대부분이 SMB 프로토콜 취약점을 통해 랜섬웨어가 확산되었다.

 

SMB 프로토콜이란? : Windows 운영체제에서 사용하는 폴더 및 파일을 공유하기 위해 사용되는 MSG 형태

 

WanaCryptor2.0 Ransomware.png

위 랜섬웨어는 05월 12일 유포된 WanaCrypt0r 2.0 이 SMB 취약점을 통해 70여개국에서 피해사례가 속출했다.

이 랜섬웨어는 기존 랜섬웨어 방식(특수하게 조작된 홈페이지 방문, 출처를 알 수 없는 이메일 첨부파일 실행)이 아닌, 단순히 인터넷에 연결만 되어있어도 감염이 되었던 사례이기에 사상 최악의 랜섬웨어로 불리고 있다.

이 랜섬웨어의 보안패치는 KB4012212(Windows 7, 8.1, 10 용 17년 03월 14일 패치), KB4012598(Windows XP, 8, SMB 서버 용 17년 05월 13일 긴급 패치) 으로 패치가 되었으며, MS17-010, CVE-2017-0143 으로 취약점 관련 내용이 배포되었다.

WanaCrypt0r 2.0

WanaCrypt0r 2.0은 현재는 배포가 중단(킬 스위치 작동)이 되었으나, 언제든지 해당 랜섬웨어의 변종(킬 스위치가 없는 변종 랜섬웨어)이 등장할 가능성이 매우 높은 랜섬웨어이다.

위 유튜브 영상은 해당 랜섬웨어가 작동하는 형태를 가상 PC에서 촬영한 것 이다.

특이점은 랜섬노트 안내 파일을 exe 파일 형태로 따로 제출하여 표시하였다는 점이다.

그런데, 이 랜섬웨어에 대해 궁금한점이 생길 수 있다.

생각보다 한국은 큰 피해를 입지 않았는데 왜그랬을까.

답은 아래에 있다.

생각보다 대한민국은 WanaCrypt0r 2.0 랜섬웨어에 크게 피해를 입지 않았다?

사실이다.

대한민국은 ISP(인터넷 제공업체. 대표적으로 SK Broadband, LGU+, Olleh KT 등이 있다.)업체에서 SMB 프로토콜을 사용하는 포트인 137, 138, 139, 445 포트에 대해 대부분이 차단이 되어있기 때문이다.

한국 사용자들이 대부분 감염되었던 랜섬웨어는 Ceber, Sage, Locky, CryptXXX 계열등, Windows Update 를 하지 않은 취약한 상태에서 악의적인 스크립트가 포함된 사이트에 방문을 하거나, 출처를 알 수 없는 이메일의 첨부파일을 열었을 때 감염되었던 경우가 상당히 많았다.

 

하지만, 이번 WanaCrypt0r 2.0 은 Windows 의 취약점을 통해 전파된것은 기존 랜섬웨어와 같지만, “인터넷 익스플로러” 등, 인터넷 연결 관련해서의 프로그램을 통해 특정 사이트 등을 방문해야 한다는 전제가 없이 단순히 인터넷에 연결만 되어있어도 감염이 되었다는 점 이기 때문에 사태가 심각해진 것이다.

 

물론, 언론등의 과대포장으로 인하여 WanaCrypt0r 2.0 관련 랜섬웨어 내용이 부풀어 오른것도 사실이긴 하다.

 

하지만, 분명 이 내용에 대해 의구심을 품을 수 있다.

 

CGV 를 포함하여 병원, 기업등이 랜섬웨어에 피해를 입었는데 말이 안되는 내용일 수 있다.

 

이는 가정용과 기업용 랜의 차이에 있다.

 

가정용은 서버를 꾸릴 이유가 거의 없기 때문에 서버 통신에 필요한 포트는 ISP단에서 대부분 차단을 시킨다.

 

하지만 기업용은 서버를 꾸릴 경우가 존재하기 때문에 모든 포트를 열어놓는 경우가 많아 피해를 입을 수 있었던 것이다.

 

 

그렇다면 일반인이 사용하는 PC는 안전할까?

답은 아니다.

  Windows 취약점에 의해 공격을 당했기 때문에 언제든지 보안위협에 노출이 될 수 있음을 의미하기 때문이다.

 

기업등이 돈을 많이 가지고 있기 때문에 기업쪽으로 랜섬웨어 공격이 기울 수 있냐는 얘기도 있지만 틀린 말 일 수 있다.

 

개인도 언제든지 랜섬웨어에 피해를 입을 수 있는데, 기업보다 더 뚫기 쉽다는 점을 고려하면 당연히 개인도 타깃이 되기 마련이다.

 

우리는 Windows Update 를 포함한 여러 보안 상식을 통해 예방을 하여 다음번에 유사한 공격이 있더라도 랜섬웨어를 피할 가능성이 높아진다.

 

완벽한 보안이란건 없지만, 대부분 간단하게 지킬 수 있으며 이 점을 역으로 노려 공격을 하기 때문에 아래 내용들을 참고해보도록 하자.

랜섬웨어 예방법

랜섬웨어를 예방하는 가장 최고의 방법은 무엇보다 Windows Update 를 생활화 하는 것 이다.

 

아래와 같이 Windows Update 를 업데이트 하는 방법을 알아보자.

 


 

Windows XP Windows Update

 

Windows XP는 2014년 04월 08일에 지원이 중단된 운영체제 이다. 하지만, 이번 랜섬웨어의 피해가 매우 심각하여 MS 측에서도 지원 중단한 XP 를 포함한 Server 2003 에도 해당 랜섬웨어 감염의 주요 원인지인 SMB 취약점 관련 패치를 배포하였다.

 

Windows XP 는 일반적인 업데이트 방법 (Windows Update 프로그램을 실행하여 인터넷 상에서 업데이트)이 통하지 않기 때문에 아래와 같은 방법으로 업데이트를 시도해야 한다.

 

WinXP-1.png

1. 좌측 하단의 시작 -> 제어판을 누른다.

WinXP-2.png

2. 보안 센터를 누른다.

WinXP-3.png

3. 자동 업데이트 항목이 “사용 안 함”으로 되어있는경우 눌러서 “자동 업데이트 사용”을 누른다.

WinXP-4.png

4. 일정 시간이 지나면 우측 하단 작업 표시줄에 노란색 느낌표 방패 아이콘이 뜨면서 “사용자 컴퓨터의 업데이트가 있습니다.” 메시지가 뜬다. 이것을 누른다.

WinXP-5.png

5. 빠른 설치를 누르고 그대로 “설치” 버튼을 눌러 진행한다.

WinXP-6.png

6. 업데이트가 진행 될 것이다.


Windows 7 Windows Update

 

Win7-1.png

1. 좌측 하단의 시작 -> 제어판을 누른다.

Win7-2.png

2. 시스템 및 보안을 누른다.

Win7-3.png

3. Windows Update 를 누른다.

Win7-4.png

4. “업데이트 확인”을 누른다. 만약 업데이트 확인 항목이 안보이는 경우 5번으로 넘어간다.

Win7-5.png

5. 업데이트 확인중을 기다린다.

Win7-6.png

 6. “업데이트 설치”를 누른다.

Win7-7.png

7. 업데이트가 진행될 것 이다.


Windows 10 Windows Update

 

Win10-1.png

1. 좌측 하단의 시작 -> 설정을 누른다.

Win10-2.png

2. “업데이트 및 복구”를 누른다.

Win10-3.png

3. “업데이트 확인”을 눌러 최신 보안 패치가 있는지 확인 한다. (자동으로 설치된다.)


보안업데이트를 할 수 없는 PC 환경일 때

이럴 때는 임시로 포트를 차단하거나, 변경하거나, PowerShell 을 사용하거나, SMB 기능을 비활성화 하는 방법을 통해 변경해야 한다.   아래와 같이 따라하자.


 

Windows XP 포트 변경법 / SMB 포트 차단법

winxp-1.png

1. Win + R 키를 눌러서 실행창을 열고 regedit 을 입력한다.

winxp-2.png

2. HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 에 들어간 후 PortNumber 를 더블클릭 후 10진수 -> 3389 대신 다른 숫자로 변경 후 확인을 한다.

winxp-3.png

 3. 재부팅 후 내 네트워크 환경을 마우스 오른쪽 클릭후 속성을 누른다.

winxp-4.png

4. 로컬 영역 연결(PC마다 다를 수 있음)을 더블클릭하여 연다.

winxp-5.png

 5. 속성을 누른다.

winxp-7.png

6. Microsoft 네트워크용 파일 및 프린터 공유를 체크 해제 한다. (TCP 139 차단)

winxp-7.png

7. 인터넷 프로토콜(TCP/IP) 를 누르고 속성을 누른다. (절대 체크 해제가 아니다!)

winxp-8.png

8. 고급을 누른다.

winxp-9.png

9. WINS 텝에서 TCP/IP 에서 NetBIOS 사용 안 함을 누른다.

winxp-10.png

10. 라디오 버튼이 사용 안 함으로 이동되었으면 확인 후 재부팅 한다. (TCP 445 차단)


 

Windows 7 이상 SMB 포트 차단법

win7-1.png

1. 좌측 하단의 시작 -> 제어판을 누른다.

win7-2.png

2. 시스템 및 보안을 누른다.

win7-3.png

3. Windows 방화벽을 누른다.

win7-4.png

4. 고급 설정을 누른다.

win7-5.png

5. 인바운드 규칙을 누른다.

win7-6.png

6. 새 규칙을 누른다.

win7-7.png

7. 포트 -> 다음을 누른다.

win7-8.png

8. TCP -> 특정 연결 포트 -> “137-139, 445” 라고 입력 후 다음을 누른다.

win7-9.png

9. 연결 차단 -> 다음을 누른다.

win7-10.png

10. 3개가 기본적으로 체크되어있으므로 다음을 누른다.

win7-11.png

11. 설명을 작성하고 마침을 누른다.

win7-12.png

12. 정상적으로 블락걸려있으면 된다.


 

서버 운영체제(Windows Server 2008 등)사용시 PowerShell 로 SMB 프로토콜 비활성화

pwshell-1.png

1. 검색창 -> Windows PowerShell 입력 후 관리자 권한으로 실행한다.

pwshell-2.png

pwshell-3.png

2. 아래와 같이 입력하고 엔터를 친다. (각각 입력)

set-ItemProperty -Path "HKLM:SYSTEMCurrentControlsetServicesLanmanserverParameters" SMB1 -Type DWORD -Value 0 -Force
set-ItemProperty -Path "HKLM:SYSTEMCurrentControlsetServicesLanmanserverParameters" SMB2 -Type DWORD -Value 0 -Force

Windows 8 이상 SMB 기능 자체 비활성화

disa-1.png

1. 제어판 -> 프로그램 제거를 누른다. (P.S : Windows 10 운영체제 에서 제어판이 안뜨는 경우 주소창에 “제어판” 입력)

disa-2.png

2. Windows 기능 켜기/끄기 를 누른다.

disa-3.png

3. SMB 1.0/CIFS 파일 공유 지원을 체크 해제 하고 PC를 재부팅한다.


예외상황 발생시?

일부 운영체제는 위와 같은 방법을 시도하려 해도 안되는 경우가 있다.   현재 나에게 문의온 예외상황을 알아보자.

Windows XP 업데이트 하려는데 “보안 센터 서비스가 시작되지 않았거나 중단되어서 보안 센터를 현재 사용할 수 없습니다.” 가 표시될 때

serv-1.png

위 이미지와 같이 보안 센터가 비활성화 상태다. 아래와 같이 따라하자.

serv-2.png

1. Win + R 키 눌러 실행 창 띄운 후 service.msc 를 입력후 확인을 누른다.

serv-3.png

2. Security Center 를 찾아 더블클릭 한다.

serv-4.png

3. 시작 유형을 자동으로 설정하고, 시작 을 누른다.

serv-5.png

4. 정상적으로 작동하는지 확인한다.


 

SMB 프로토콜 취약점 업데이트만 하고 싶을 때

 

아래에 적힌 내용은 5월 13일 일자로 긴급 패치 하는 용도이다. 즉, 보안업데이트가 지원 중단된 운영체제를 대상으로 긴급 업데이트를 한 내용이므로 취약한 운영체제를 사용하고 있는 사용자는 아래의 보안업데이트를 다운로드 받는것이 좋다.

 

Windows XP SP2 / 64Bit 용 (Security Update for Windows XP SP2 for x64-based Systems (KB4012598))

https://www.microsoft.com/en-us/download/details.aspx?id=55250

 

Windows XP SP3 용 (Security Update for Windows XP SP3 (KB4012598))

https://www.microsoft.com/en-us/download/details.aspx?id=55245

 

Windows Server 2003 용 (Security Update for Windows Server 2003 (KB4012598))

https://www.microsoft.com/en-us/download/details.aspx?id=55248

 

 

Windows Server 2003 64bit 용 (Security Update for Windows Server 2003 for x64-based Systems (KB4012598))

https://www.microsoft.com/en-us/download/details.aspx?id=55244

 

 

Windows Embedded (SP3) 용 (Security Update for Windows XP SP3 for XPe (KB4012598))

https://www.microsoft.com/en-us/download/details.aspx?id=55247

 

 

Windows 8 용 (Security Update for Windows 8 (KB4012598))

https://www.microsoft.com/en-us/download/details.aspx?id=55246

 

 

Windows 8 64bit 용 (Security Update for Windows 8 for x64-based Systems (KB4012598))

https://www.microsoft.com/en-us/download/details.aspx?id=55249​

 

 


 

랜섬웨어 예방법

 

사실 예방법은 정말 간단한다. 아래와 같은것들을 지키면 대부분의 랜섬웨어를 막을 수 있다.

 

  1. Windows Update 를 항상 활성화 및 주기적인 보안 업데이트를 진행한다.
  2. 출처를 알 수 없는 사이트나 출처를 알 수 없는 이메일의 첨부파일을 함부로 방문 / 열지 않는다.
  3. 구형 운영체제를 사용하는경우 최신 운영체제로 업그레이드 한다.
  4. Adobe Flash Player, Java 등 자주 취약점이 노출되는 프로그램을 항상 보안 업데이트를 진행한다.
  5. 백신 소프트웨어를 최소 1개 설치하고, 추가적으로 랜섬웨어 전용 보조 백신도 설치한다.
  6. 중요 파일은 백업을 생활화 한다.

 

 

끝으로

이번 랜섬웨어는 대한민국을 포함하여 세계 70여개국에 거의 동시다발 적으로 피해를 입혔던 만큼 대한민국의 보안의식이 떨어졌던 것을 올리게 해주는 계기가 되어 보안을 생활화 하였으면 좋겠다고 생각한다.

 

항상 예방만이 중요하다. 소 잃고 외양간 고치는 격의 보안 의식은 이번 사태처럼 최악의 피해를 낳을 수 있다.

 

참고

보호나라 : https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703

Microsoft TechNet 보안 공지 : https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

원클릭 WanaCrypt0r 취약점 확인 (알약 공식 블로그) : http://blog.alyac.co.kr/1096

원클릭 WanaCrypt0r 취약점 확인 (V3 공식 사이트) : http://www.ahnlab.com/kr/site/support/notice/noticeView.do?boardSeq=50124728

구형 운영체제용 Microsoft Windows Update 카탈로그 : http://www.catalog.update.microsoft.com/Home.aspx