SMBv1 취약점을 이용한 WannaCryptor 랜섬웨어 유포에 따른 Windows XP 긴급 보안 패치 : KB4012598 (2017.5.13)

2017년 5월 11일경부터 인터넷이 연결된 모든 사용자를 표적으로 WannaCryptor 랜섬웨어(= WannaCry / WannaCrypt / WCry Ransomware)가 폭발적으로 유포되어 심각한 문제를 유발하고 있습니다.

 

이번 랜섬웨어(Ransomware) 유포는 매우 짧은 시간 내에 역대 최고 수준으로 대량의 감염이 이루어지고 있으며, 이런 유포에 성공할 수 있었던 이유는 미국(USA)의 NSA 정부 기관에서 사용하던 취약점(Exploit) 소스를 Shadow Brokers 그룹에 해킹하여 인터넷에 공개하였는데 그 중에서 ETERNALBLUE 취약점은 Windows SMBv1 서버에 조작된 메시지를 전송하여 원격 코드 실행이 가능한 취약점을 이용하였기 때문입니다.

 

Windows SMB 원격 코드 실행 취약점(CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148)은 마이크로소프트(Microsoft)에서 2017년 3월 정기 보안 업데이트를 통해 MS17-010 보안 패치를 통해 해결하였습니다.

 

하지만 여전히 다수의 인터넷 연결 기기에서 보안 패치가 이루어지지 않았다는 점과 이미 보안 업데이트 지원이 종료된 Windows Server 2003, Windows XP, Windows Vista, Windows 8 운영 체제에서도 해당 보안 취약점에 영향을 받는 문제가 발생하고 있습니다.

 

특히 사용자가 인터넷 상에서 악성 파일을 다운로드하는 행위가 없어도 Worm 방식으로 네트워크를 타고 보안 패치가 적용되지 않은 기기로 원격 접속하여 감염이 유발될 수 있기 때문에 대규모 랜섬웨어(Ransomware) 공격에 성공할 수 있는 긴급 상황인 상태입니다.

 

 

이에 따라 마이크로소프트(Microsoft)는 모든 보안 업데이트가 종료된 Windows Server 2003, Windows XP, Windows Vista, Windows 8 운영 체제에 대한 KB4012598 긴급 보안 패치를 2017년 5월 12~13일부터 배포하기 시작하였습니다.

 

그러므로 Windows Server 2003, Windows XP, Windows Vista, Windows 8 운영 체제 사용자는 Windows Update 기능을 통해 반드시 KB4012598 보안 패치를 설치하시기 바라며, 만약 해당 보안 패치가 설치되지 않은 경우 이번 랜섬웨어 뿐만 아니라 수시로 악성코드 자동 감염 및 블루스크린(BSoD) 등의 시스템에 치명적인 오류를 유발할 수 있습니다.

 

또한 그 외의 운영 체제 사용자도 Windows 업데이트 기능을 통해 최신 보안 패치가 적용되어 있는지 점검하시기 바랍니다.

 

참고로 WannaCryptor 랜섬웨어는 감염 후 다른 네트워크 중 SMB 취약점 패치가 적용되지 않은 PC를 찾아 TCP 445번 포트를 통해 악성코드 전파 기능을 가지고 있으므로 파일 공유 기능을 사용하는 기업 환경은 심각한 피해를 당할 수 있습니다.

 

그렇다면 WannaCryptor 랜섬웨어는 어떤 행위를 하는지 간단하게 살펴보도록 하겠습니다.

 

생성 폴더 / 파일 등록 정보

\\TaskData \\TaskData\Data \\TaskData\Tor \\TaskData\Tor\taskhsvc.exe \\TaskData\Tor\tor.exe \\@Please_Read_Me@.txt \\@WanaDecryptor@.exe \\@WanaDecryptor@.exe.lnk \\00000000.eky \\00000000.pky \\00000000.res \\b.wnry :: 바탕 화면 배경 파일(@WanaDecryptor@.bmp) \\c.wnry :: C&C 서버, 비트코인(Bitcoin) 주소 및 Tor 다운로드 주소 \\f.wnry :: 암호화된 파일 목록 \\r.wnry :: 랜섬웨어 결제 안내 파일(@Please_Read_Me@.txt) \\s.wnry :: Tor 관련 ZIP 압축 파일 \\t.wnry :: 암호화/복호화 관련 파일 \\taskdl.exe :: 특정 프로세스 종료 및 암호화된 파일(.WNCRYT) 삭제 \\taskse.exe :: 모든 사용자 세션에서 동작 수행 파일 \\u.wnry :: Wana Decrypt0r 2.0 메시지 창 파일(@WanaDecryptor@.exe)

 

생성 레지스트리 등록

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run  - syuukjyl842 = "\\tasksche.exe"   HKEY_CURRENT_USER\Software\WanaCrypt0r  - wd = <랜섬웨어 실행 폴더 위치>   HKEY_LOCAL_MACHINE\SOFTWARE\WanaCrypt0r

 

임의의 폴더 위치에서 실행된 WannaCryptor 랜섬웨어 파일(SHA-1 : 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467 - ALYac : Trojan.Ransom.Wcry)은 다수의 관련 파일을 생성한 후 파일 암호화 행위를 수행합니다.

 

파일 암호화 시에는 암호화 대상 폴더에 존재하는 파일에 대한 파일 속성(attrib +h 또는 attrib +h +s D:\$RECYCLE)을 변경하여 숨김(H) 및 시스템(S) 파일 속성을 해제할 수 있습니다.

 

• taskkill.exe /f /im mysqld.exe
• taskkill.exe /f /im sqlwriter.exe
• taskkill.exe /f /im sqlserver.exe
• taskkill.exe /f /im MSExchange*
• taskkill.exe /f /im Microsoft.Exchange.*

 

또한 SQL 서버 데이터 파일에 대한 암호화를 위해 특정 프로세스가 실행 중인 경우 강제 종료를 한 후 암호화를 진행합니다.

 

특히 특정 위치에 존재하는 폴더 및 파일에 대한 접근 권한 획득 목적으로 "icacls . /grant Everyone:F /T /C /Q;" 명령어를 수행합니다.

 

 

암호화 대상 파일에 대해서는 .WNCRYT 확장명으로 변경하여 파일 암호화를 수행한 후 최종적으로 .WNCRY 확장명으로 변경하며, 암호화된 파일 날짜는 현재 시간으로 변경되지 않습니다.

 

특히 파일 암호화가 완료되는 시점까지는 원본 파일을 그대로 유지한 후 파일 암호화 종료 시점에서 원본 파일을 삭제하여 복구할 수 없도록 합니다.

 

또한 파일 암호화 시 생성된 .WNCRYT 파일은 임시 폴더(%Temp%)로 <숫자>.WNCRYT 형태로 이동한 후 taskdl.exe 파일(SHA-1 : 47a9ad4125b6bd7c55e4e7da251e23f089407b8f - Microsoft : Ransom:Win32/WannaCrypt)을 통해 삭제 처리됩니다.

 

 

• vssadmin delete shadows /all /quiet
• wmic shadowcopy delete
• bcdedit /set {default} bootstatuspolicy ignoreallfailures
• bcdedit /set {default} recoveryenabled no
• wbadmin delete catalog -quiet

 

파일 암호화 완료 후에는 시스템 복원 및 부팅 복구 옵션을 통해 파일 복구를 할 수 없도록 명령어 실행을 통해 VSS 서비스 삭제 및 복구 옵션을 비활성화 처리합니다.

 

 

또한 WannaCryptor 랜섬웨어는 Tor 프로토콜을 통한 통신 목적으로 "h**ps://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip" 파일 다운로드을 통해 다음과 같은 폴더 생성을 통해 파일을 압축 해제합니다.

 

• C:\Users\%UserName%\AppData\Roaming\tor
• \\TaskData

 

 

WannaCryptor 랜섬웨어 감염 시 생성된 msg 폴더 내에는 28개 언어팩이 포함되어 있으며, 다음과 같은 "Wana Decrypt0r 2.0" 메시지 창 생성 시 운영 체제 언어를 참고하여 한국어(Korean)로 표시될 수 있습니다.

 

 

생성된 "Wana Decrypt0r 2.0" 메시지 창은 주기적으로 최상위에 노출되려고 시도를 하며, 그 외에 다음과 같은 @Please_Read_Me@.txt 메시지 파일과 바탕 화면 배경(@WanaDecryptor@.bmp)을 변경합니다.

 

 

 

참고로 WannaCryptor 랜섬웨어는 2017년 4월 초에 .WCRYT 확장명으로 변경하여 파일 암호화를 수행한 후 .WCRY 확장명으로 변경하는 변종이 존재하였으며, 당시에는 !Please Read Me!.txt 랜섬웨어 메시지 파일 생성 및 바탕 화면 배경(!WannaCryptor!.bmp)을 변경하였습니다.

 

백신 탐지에 실패하여 WannaCryptor 랜섬웨어에 의한 파일 암호화가 진행될 경우 앱체크 안티랜섬웨어(AppCheck Anti-Ransomware) 차단 솔루션은 랜섬웨어 행위 탐지를 통해 파일 암호화 행위 차단 및 원본 파일을 자동 복원해주고 있으므로 백신 프로그램과 함께 사용하시기 바랍니다.

 

앞서 언급했듯이 SMB 취약점(Exploit)으로 전파가 이루어지는 공격 방식으로 인해 사용자가 인터넷에 연결만 되어 있다면 자동으로 감염이 발생할 수 있으며, 445 포트(Port)를 통해 다른 기기로 전파될 수 있으므로 반드시 Microsoft에서 제공하는 보안 패치를 적용하시기 바랍니다.

 

• <KISA> SMB 취약점을 이용한 랜섬웨어 공격 주의 권고 (2017.5.13)

• <KISA> SMB 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법 (2017.5.13)

 

또한 이미 감염된 경우에는 보안 패치 적용에 문제가 될 수 있으므로 인터넷 연결을 우선 해제한 후 Windows 방화벽의 인바운드 규칙에서 137-138(UDP), 139(TCP), 445(TCP)번 포트 차단 및 제어판의 Windows 기능 중 "SMB 1.0/CIFS 파일 공유 지원" 체크 박스를 해제한 후 Windows 재부팅을 진행하시고 인터넷 연결을 통해 제공되는 보안 패치를 반드시 설치하시기 바랍니다.