워너크라이 (WannaCry)

I. 전세계적 위협 랜섬웨어, 워너크라이

가. 워너크라이(WannaCry)의 개념/국내외 감염 사례

개념MS Windows 기반 시스템 대상 SMB 취약점 등 이용하여 파일 암호화 및 비트코인 요구 랜섬웨어
감염
사례
– 러시아, 영국 등 공공/민간 시스템 20여만대 감염
– 국내 구버전 윈도 PC, POS, 전광판 등 4천여건 발생

나. 워너크라이의 특징

SMB 취약점 이용– 원격 파일 접근 취약점 이용한 기법
다양한 파일 대상– 문서, DB, 가상머신 파일 등 암호화
비트코인 요구– 0.17 bitcoin 요구, 3일 후 2배로 증가
Kill Switch 포함– 킬스위치(URL) 활성화로 확산 종료

 

II. 워너크라이 감염 방식 및 대응 방안

가. 워너크라이 감염 방식

감염 방식감염 기법설명
네트워크
자동 확산
① 서브넷 판단
② 내부 IP 연결
③ 전파 시도
– NIC를 통해 서브넷 판단, 서브넷 전체 IP의 TCP 445 port로 전파 시도
기존 방식
수동 확산
– 드라이브 바이
다운로드, 이메일
– 사용자가 악성 이메일 링크, 파일 실행 시 감염

나. 감염 방식에 따른 워너크라이 대응 방안

감염 방식대응 방안
네트워크
자동 확산
– 최신 보안 업데이트 다운로드 및 패치 수행
– TCP 139, 445 port 및 NetBIOS 차단 설정
기존 방식
수동 확산
– 출처가 불명확한 메일 열람, 파일 실행 금지
– 안티바이러스 사용, 메일 검사 시스템 도입
  • 데이터 피해를 원천 차단하기 위해 정기적으로 백업 후 네트워크 차단 장소에 소산하여 보관 필요

 

III. 워너크라이 등 랜섬웨어 확산에 따른 고려사항

고려사항설명
보안 취약점
적극 대응 필요
– 2017년 3월 보안 패치 제공되었지만 미적용 시스템 다수 감염/피해 확산
해커 대응 시
관련 기관 공조
– 요구 금액 지불 시 해커의 표적이 될 수 있어 KISA 등 관련 기관 공조 필요

 

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^