워나크라이(WannaCry)
SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령
■ 한국인터넷진흥원
2017년 5월 14일 일요일
워나크라이(WannaCry) 랜섬웨어 예방 방법
워나크라이(WannaCry) 사용자 예방 방법
o 최근 윈도우 SMB의 취약점을 악용한 WannaCry 랜섬웨어의 확산에 따라 피해 예방을 위한 사용자의 적극적인 대처 당부
□ 주요 특징
o WannaCry 랜섬웨어는 윈도우가 설치된 PC 및 서버를 대상으로 감염시키는 네트워크 웜(자가 전파 악성코드) 형태이며, 윈도우 SMB 취약점을 이용
o PC 또는 서버가 감염된 경우 네트워크를 통해 접근 가능한 임의의 IP를 스캔하여 랜섬웨어 악성코드를 확산시키는 특징을 보이므로 감염과 동시에 공격에 악용됨
□ 예방 방법
■ 워나크라이(WannaCry) 랜섬웨어 방지 대국민 행동 요령
http://cafe.naver.com/rapid7/2882
① PC를 켜기 전 네트워크를 단절시킨 후 파일 공유 기능 해제
② 백신의 최신 업데이트를 적용 및 악성코드 감염 여부 검사
③ 윈도우 PC(XP, 7,8, 10 등) 또는 서버(2003, 2008 등)에 대한 최신 보안 업데이트[2] 수행
참고 : http://cafe.naver.com/rapid7/2881
※ 특히 인터넷에 오픈된 윈도우 PC 또는 서버의 경우 우선적인 최신 패치 적용 권고
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
o 뉴딜코리아 랜섬웨어대응센터 : 070-7867-3721 (ismsbok@gmail.com)
[참고사이트]
[1] http://cafe.naver.com/rapid7/2879
[2] http://cafe.naver.com/rapid7/2881 (windows 보안 패치 )
[참고사이트]
[1] http://cafe.naver.com/rapid7/2879
[2] http://cafe.naver.com/rapid7/2881 (windows 보안 패치 )
워나크라이(WannaCry) 관련 Windows XP, Server 2003 등 긴급 보안 업데이트
워나크라이(WannaCry)
취약점 관련 Windows XP, Server 2003 등 긴급 보안 업데이트 권고
□ 개요
o Microsoft社는 Windows의 SMB 프로토콜을 이용한 랜섬웨어 공격이 발생함에 따라 이를 해결하기 위한 긴급 보안 패치 발표
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/?utm_source=t.co&utm_medium=referral
□ 해당 시스템
o Windows Vista
o Windows 8
o Windows 8 Enterprise
o Windows 8 Enterprise KN
o Windows 8 KN
o Windows 8 Pro
o Windows 8 Pro KN
o Windows Embedded 8 Industry Enterprise
o Windows Embedded 8 Industry Pro
o Windows Embedded 8 Pro
o Windows XP Embedded
o Microsoft Windows Server 2003 Compute Cluster Edition
o Microsoft Windows Server 2003 R2 Datacenter Edition(32비트 x86)
o Microsoft Windows Server 2003 R2 Datacenter x64 Edition
o Microsoft Windows Server 2003 R2 Enterprise Edition(32비트 x86)
o Microsoft Windows Server 2003 R2 Enterprise x64 Edition
o Microsoft Windows Server 2003 R2 Standard Edition(32비트 x86)
o Microsoft Windows Server 2003 R2 Standard x64 Edition
o Microsoft Windows Server 2003, Datacenter Edition(32비트 x86)
o Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
o Microsoft Windows Server 2003, Datacenter x64 Edition
o Microsoft Windows Server 2003, Enterprise Edition(32비트 x86)
o Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
o Microsoft Windows Server 2003, Enterprise x64 Edition
o Microsoft Windows Server 2003, Standard Edition(32비트 x86)
o Microsoft Windows Server 2003, Standard x64 Edition
o Microsoft Windows Server 2003, Web Edition
o Windows XP Home Edition
o Windows XP Media Center Edition 2004
o Windows XP Media Center Edition 2005
o Windows XP Professional
o Windows XP Professional x64 Edition
o Windows XP Tablet PC Edition
o Windows XP Tablet PC Edition 2005
□ 해결 방안
o (자동 설치) Windows 자동 업데이트를 통한 업데이트 실시
- [제어판] - [자동 업데이트] 실행 후 “자동”으로 설정
o (수동 설치) 다음 사이트를 방문하여 Windows Update 카탈로그에서 사용 중인 운영체제 버전에 맞는 업데이트 파일 수동 설치 (사용자 증가로 정상적인 접속이 안될 수 있음)
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
□ 기타 문의사항o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
o 뉴딜코리아 랜섬웨어대응센터 : 070-7867-3721 (ismsbok@gmail.com)
[참고사이트]
[1] http://cafe.naver.com/rapid7/2879
[2] http://cafe.naver.com/rapid7/2880
워나크라이(WannaCry) SMB 취약점을 이용한 랜섬웨어 공격 주의 권고
워나크라이(WannaCry)
SMB 취약점을 이용한 랜섬웨어 공격 주의 권고
SMB 취약점을 이용한 랜섬웨어 공격 주의 권고
□ 개요o SMBv2 원격코드실행 취약점 악용한 랜섬웨어 악성코드 공격이 전세계적으로 보고되고 있어 주의 필요
o 악용된 취약점은 Windows 최신 버전에서는 발생하지 않으므로 운영체제에 대한 최신 보안 업데이트 및 버전 업그레이드 권고
□ 주요 내용
o Microsoft Windows의 SMBv2 원격코드실행 취약점('17.3.14 패치발표, MS17-010) 악용하여 랜섬웨어 악성코드 유포
- 패치 미적용 시스템에 대해 취약점을 공격하여 랜섬웨어 악성코드(WannaCry) 감염시킴
o 랜섬웨어 악성코드(WannaCry) 특징
- 다양한 문서파일(doc, ppt, hwp 등), 압축파일, DB 파일, 가상머신 파일 등을 암호화
- 비트코인으로 금전 요구, Tor 네트워크 사용, 다국어(한글 포함) 랜섬노트 지원
□ 영향을 받는 시스템
o Windows 10
o Windows 8.1
o Windows RT 8.1
o Windows 7
o Windows Server 2016
o Windows Server 2012 R2
o Windows server 2008 R2 SP1 SP2
□ 해결 방안
o MS에서 보안 업데이트 지원을 중단한 Windows Vista 이하 버전을 이용하는 사용자는 Windows 7 이상의 운영체제로 버전 업그레이드 및 최신 보안패치 적용
o Windows 최신 보안 패치가 불가능한 사용자는 서비스 영향도를 검토하여 아래와 같은 방법으로 조치 권고
① 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단
※ SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)
② 운영체제 내 설정을 이용하여 모든 버전의 SMB 프로토콜 비활성화
- (Windows Vista 또는 Windows Server 2008 이상)
모든 운영 체제 :
시작 -> Windows Powershell -> 우클릭 -> 관리자 권한으로 실행 ->
① set-ItemProperty –Path
“HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB1 –
Type DWORD –Value 0 –Force
② set-ItemProperty –Path
“HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB2 –
Type DWORD –Value 0 –Force
- (Windows 8.1 또는 Windows Server 2012 R2 이상)
클라이언트 운영 체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제 -> SMB1.0/CIFS 파일 공유 지원 체크해제 -> 시스템 재시작
서버 운영 체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제 -> 확인 -> 시스템 재시작
③ (Windows XP 또는 Windows Server 2003 사용자) RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정및 기본 포트번호(3389/TCP) 변경
④ (Windows Server 2003 이하 사용자) 서버 내 WebDAV 서비스 비활성화
□ 용어 정리
o SMB(Server Msessage Block) : Microsoft Windows OS에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
o 뉴딜코리아 랜섬웨어대응센터 : 070-7867-3721 (ismsbok@gmail.com)
[참고사이트]
[1] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
[2] https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
[3] https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware
피드 구독하기:
글 (Atom)