HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

전 세계를 강타중인 WannaCryptor 변종 주의
등록일 :
2017.05.15

□ 개요

지난 달 감염 대상에 한글파일을 포함하여 유포되었던 WannaCryptor(혹은 WannaCry) 랜섬웨어가 새로운 버전으로 배포되어 전 세계를 강타하고 있다. 금번 유포중인 WannaCryptor2.0은 지난 달 해킹 그룹 ShadowBrokers NSA를 해킹하여 공개한 SMB(Server Message Block) 취약점을 이용하여 유포 중이다. 이 취약점은 이미 지난 3월에 마이크로소프트사에서 보안 업데이트가 발표되었다. 하지만 3월 이후 업데이트가 되지 않은 시스템에서 해당 취약점을 통해 WannaCryptor2.0가 유포되고 있다. 또한 같은 네트워크에 연결되어있는 다른 시스템에도 해당 취약점을 통해 공격을 시도하고 이를 통해 확산되고 있으므로 최신 윈도우 업데이트 등 사용자들의 각별한 주의가 요구된다.

 

□ 내용

지난 달 한글 파일을 타깃으로 하여 유포되었던 WannaCryptor 랜섬웨어가 2.0버전으로 돌아왔다. 특히 금번에 유포된 버전은 윈도우 최신 취약점을 악용하여 유포 중으로 전 세계로 확산되고 있다. 또한 변종이 다수 발견되고 있어 사용자들에게도 각별한 주의가 필요한 상황이다.

WannaCryptor2.0이 악용하고 있는 취약점은 Microsoft Windows SMB 원격 임의 코드 실행 취약점(CVE-2017-0144)으로 공격자가 SMBv1 서버로 특수 제작한 패킷을 보내면 대상 서버에서 임의의 코드를 실행 시킬 수 있다. 해당 취약점은 2017314일 마이크로소프트에서 보안 업데이트(MS17-10)가 발표되었으나 현재 해당 업데이트가 적용되지 않은 시스템을 통해 랜섬웨어가 확산되고 있다.

 


[그림 1] SMB 취약점을 악용한 패킷 전송

 

 

금번 유포중인 WannaCryptor는 감염 시 바탕화면에 다음과 같은 파일을 생성하고 사용자의 주요파일을 암호화 시킨 후 확장자를 WNCRY로 변경한다.

 


[그림 2] 생성파일



[그림 3] WNCRY로 확장자 변경

 

WannaCryptor 1.0과 달리 28개의 언어팩을 설치하여 사용자가 사용하는 언어를 선택할 수 있다. 또한 몸값이 이전의 요구 몸값이었던 0.3비트코인에서 300달러로 변경되었다. 이전에 제공했던 QR코드 기능은 사라졌지만 사용자의 파일을 일부 복구하여 사용자에게 파일의 정상복구가 가능하다는 것을 보여주는 것은 1.0 버전과 같다.

 

 


[그림 4] 암호화된 파일

 

 

 

 [1] 감염대상 확장자

 

 

<현재 유포에 악용중인 취약점은 윈도우 보안 업데이트를 통하여 예방할 수 있다.>

 

◇ Window XP/Vista/8 버전 보안업데이트 패치 다운로드 (KB4012598)

    http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

 

Window 7 버전 보안 업데이트 패치 다운로드(KB4012215)

    http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012215

 

Windows 8.1 버전 보안 업데이트 패치 다운로드(KB4012216)

    http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012216

 

Windows 10 버전 보안 업데이트 패치 다운로드(KB4012606)

    http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606

 

 

바이로봇 업데이트 내역

대표진단명 : Trojan.Win32.WannaCry

 

※ 랜섬웨어 감염 예방방법 : http://www.hauri.co.kr/Ransomware/prevention.html


 

 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top