여러 국가를 강타한 대규모 WannaCry/Wcry 랜섬웨어 공격

게시일: 2017-05-13 l 작성자: Trend Micro

올해 초 두 건의 보안 위험이 발견되었는데 원격코드실행을 허용하는 SMB 서버의 취약점인 CVE-2017-0144는 3월에 픽스되었고 신종 랜섬웨어 패밀리인 WannaCry/WCRY는 4월 말 Dropbox URL을 통해 전파되었습니다. 이 두 위협들이 결합되어 전 세계 사용자들을 강타한 매우 심각한 랜섬웨어 공격으로 발전하였습니다.

랜섬 노트는 비트코인으로 300달러를 요구하였는데 이 랜섬 요구액은 기존 공격에서 요구한 금액에 비해 감소한 것입니다. 영국에서 개시된 첫 공격 외에도 다수의 국가들이 이러한 랜섬웨어 공격을 받았습니다.

트렌드마이크로는 이 공격에 사용된 변종들을 RANSOM_WANA.A와 RANSOM_WCRY.I로 명명하였습니다. 고객들은 Predictive Machine Learning과 트렌드마이크로 XGen™ 보안 제품에서 제공하는 여러 랜섬웨어 보안 기능을 통해 이러한 위협들로부터 이미 보호를 받고 있습니다.

[무료 트렌드마이크로 머신 러닝 평가 도구를 이용하여 여러분의 엔드포인트 보안 솔루션에 누락된 기능이 있는지 확인해보십시오.]

감염 매개체

이 공격(코드명 EternalBlue)에 사용된 취약점은 Shadow Brokers 그룹이 공개한 해킹 툴이며 이들은 미국국가안전국(NSA)으로부터 훔쳤다고 주장하였습니다. 이 취약점은 취약한 시스템에 파일을 드롭하는데 악용되었으며 드롭된 파일은 하나의 서비스로써 실행됩니다. 그런 다음 감염된 시스템에 랜섬웨어 파일을 드롭한 후 파일들을 암호화하고 .WNCRY 확장자를 첨부합니다. (이 때, 랜섬노트를 표시하기 위한 별도의 구성요소 파일도 드롭합니다.) Microsoft Office, 데이터베이스, 파일 아카이브, 멀티미디어 파일 및 다양한 프로그래밍 언어에 주로 사용되는 파일들을 비롯하여 총 166개의 확장자 파일들을 암호화하였습니다.

그림1. 감염 다이어그램


그림 2. 랜섬 노트

스마트 프로텍션 네트워크(Smart Protection Network)가 제공한 피드백에 의하면 영국 외에 대만, 칠레 및 일본 역시 이 위협으로부터 심각한 공격을 받았고 인도와 미국도 공격에 노출된 것으로 나타났습니다.

앞서 언급한 바와 같이 이번 공격에 사용된 SMB v1 취약점은 마이크로소프트가 3월에 패치를 발표한 바 있습니다. 그리고 2016년 9월부터 마이크로소프트는 사용자들에게 1990년대 초부터 사용되고 있는 SMBv1에서 마이그레이션할 것을 강력히 권고해왔으며 US-CERT 역시 강력한 권고문을 발표하기도 하였습니다. SMB 서비스를 올바르게 설정하고 패치를 적용시켜 모범 사례를 준수한 조직들은 이번 공격에 영향을 받지 않을 것입니다.

트렌드마이크로 솔루션

XGen™이 탑재된 Trend Micro 오피스스캔 엔드포인트 보안은 랜섬웨어와 지능형 멀웨어에 대한 포괄적인 방어를 위해 하이파이 머신 러닝에 다른 탐지 기술과 글로벌 위협 인텔리전스를 결합시켰습니다. 앞에서 언급한 대로 우리는 이번에 탐지된 랜섬웨어를 RANSOM_WANA.A와 RANSOM_WCRY.I로 명명하였습니다.

Predictive Machine Learning과 모든 랜섬웨어 보안 관련 기능들을 활성화시킨 제품들은 이러한 위협들로부터 이미 보호를 받고 있으며 Trend Micro Deep SecurityVulnerability Protection(취약점 보호), Deep Discovery Inspector티핑포인트가 이러한 위협들을 방어합니다. 트렌드마이크로 및 티핑포인트 제품에 대한 관련 규칙과 필터에 대한 전체 목록은 본 트렌드마이크로 지원 페이지를 참조하십시오.

아래는 이번 랜섬웨어와 관련 있는 SHA256 해시(hash)들입니다.

  • 4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32
  • f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
  • b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0
  • 16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab
  • 57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4
  • 190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e
  • 78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df
  • ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
  • a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740
  • c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
  • 11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49
  • 201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
  • fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a
  • dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696
  • b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
  • 940dec2039c7fca4a08d08601971836916c6ad5193be07a88506ba58e06d4b4d
  • b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4
  • 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
  • 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41d
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
  • eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb
  • 3f3a9dde96ec4107f67b0559b4e95f5f1bca1ec6cb204bfe5fea0230845e8301
  • 9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977
  • 043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2


원문: Massive WannaCry/Wcry Ransomware Attack Hits Various Countries