본문 바로가기

벌새::Security

SMBv1 취약점을 이용한 WannaCryptor 랜섬웨어 유포에 따른 Windows XP 긴급 보안 패치 : KB4012598 (2017.5.13)

2017년 5월 11일경부터 인터넷이 연결된 모든 사용자를 표적으로 WannaCryptor 랜섬웨어(= WannaCry / WannaCrypt / WCry Ransomware)가 폭발적으로 유포되어 심각한 문제를 유발하고 있습니다.

 

이번 랜섬웨어(Ransomware) 유포는 매우 짧은 시간 내에 역대 최고 수준으로 대량의 감염이 이루어지고 있으며, 이런 유포에 성공할 수 있었던 이유는 미국(USA)의 NSA 정부 기관에서 사용하던 취약점(Exploit) 소스를 Shadow Brokers 그룹에 해킹하여 인터넷에 공개하였는데 그 중에서 ETERNALBLUE 취약점은 Windows SMBv1 서버에 조작된 메시지를 전송하여 원격 코드 실행이 가능한 취약점을 이용하였기 때문입니다.

 

Windows SMB 원격 코드 실행 취약점(CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148)은 마이크로소프트(Microsoft)에서 2017년 3월 정기 보안 업데이트를 통해 MS17-010 보안 패치를 통해 해결하였습니다.

 

하지만 여전히 다수의 인터넷 연결 기기에서 보안 패치가 이루어지지 않았다는 점과 이미 보안 업데이트 지원이 종료된 Windows Server 2003, Windows XP, Windows Vista, Windows 8 운영 체제에서도 해당 보안 취약점에 영향을 받는 문제가 발생하고 있습니다.

 

특히 사용자가 인터넷 상에서 악성 파일을 다운로드하는 행위가 없어도 Worm 방식으로 네트워크를 타고 보안 패치가 적용되지 않은 기기로 원격 접속하여 감염이 유발될 수 있기 때문에 대규모 랜섬웨어(Ransomware) 공격에 성공할 수 있는 긴급 상황인 상태입니다.

 

 

이에 따라 마이크로소프트(Microsoft)는 모든 보안 업데이트가 종료된 Windows Server 2003, Windows XP, Windows Vista, Windows 8 운영 체제에 대한 KB4012598 긴급 보안 패치를 2017년 5월 12~13일부터 배포하기 시작하였습니다.

 

그러므로 Windows Server 2003, Windows XP, Windows Vista, Windows 8 운영 체제 사용자는 Windows Update 기능을 통해 반드시 KB4012598 보안 패치를 설치하시기 바라며, 만약 해당 보안 패치가 설치되지 않은 경우 이번 랜섬웨어 뿐만 아니라 수시로 악성코드 자동 감염 및 블루스크린(BSoD) 등의 시스템에 치명적인 오류를 유발할 수 있습니다.

 

또한 그 외의 운영 체제 사용자도 Windows 업데이트 기능을 통해 최신 보안 패치가 적용되어 있는지 점검하시기 바랍니다.

 

참고로 WannaCryptor 랜섬웨어는 감염 후 다른 네트워크 중 SMB 취약점 패치가 적용되지 않은 PC를 찾아 TCP 445번 포트를 통해 악성코드 전파 기능을 가지고 있으므로 파일 공유 기능을 사용하는 기업 환경은 심각한 피해를 당할 수 있습니다.

 

그렇다면 WannaCryptor 랜섬웨어는 어떤 행위를 하는지 간단하게 살펴보도록 하겠습니다.

 

생성 폴더 / 파일 등록 정보

 

\\TaskData
\\TaskData\Data
\\TaskData\Tor
\\TaskData\Tor\taskhsvc.exe
\\TaskData\Tor\tor.exe
\\@Please_Read_Me@.txt
\\@WanaDecryptor@.exe
\\@WanaDecryptor@.exe.lnk
\\00000000.eky
\\00000000.pky
\\00000000.res
\\b.wnry :: 바탕 화면 배경 파일(@WanaDecryptor@.bmp)
\\c.wnry :: C&C 서버, 비트코인(Bitcoin) 주소 및 Tor 다운로드 주소
\\f.wnry :: 암호화된 파일 목록
\\r.wnry :: 랜섬웨어 결제 안내 파일(@Please_Read_Me@.txt)
\\s.wnry :: Tor 관련 ZIP 압축 파일
\\t.wnry :: 암호화/복호화 관련 파일
\\taskdl.exe :: 특정 프로세스 종료 및 암호화된 파일(.WNCRYT) 삭제
\\taskse.exe :: 모든 사용자 세션에서 동작 수행 파일
\\u.wnry :: Wana Decrypt0r 2.0 메시지 창 파일(@WanaDecryptor@.exe)

 

 

생성 레지스트리 등록

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - syuukjyl842 = "\\tasksche.exe"

 

HKEY_CURRENT_USER\Software\WanaCrypt0r
 - wd = <랜섬웨어 실행 폴더 위치>

 

HKEY_LOCAL_MACHINE\SOFTWARE\WanaCrypt0r

 

 

임의의 폴더 위치에서 실행된 WannaCryptor 랜섬웨어 파일(SHA-1 : 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467 - ALYac : Trojan.Ransom.Wcry)은 다수의 관련 파일을 생성한 후 파일 암호화 행위를 수행합니다.

 

파일 암호화 시에는 암호화 대상 폴더에 존재하는 파일에 대한 파일 속성(attrib +h 또는 attrib +h +s D:\$RECYCLE)을 변경하여 숨김(H) 및 시스템(S) 파일 속성을 해제할 수 있습니다.

 

  • taskkill.exe /f /im mysqld.exe
  • taskkill.exe /f /im sqlwriter.exe
  • taskkill.exe /f /im sqlserver.exe
  • taskkill.exe /f /im MSExchange*
  • taskkill.exe /f /im Microsoft.Exchange.*

 

또한 SQL 서버 데이터 파일에 대한 암호화를 위해 특정 프로세스가 실행 중인 경우 강제 종료를 한 후 암호화를 진행합니다.

 

특히 특정 위치에 존재하는 폴더 및 파일에 대한 접근 권한 획득 목적으로 "icacls . /grant Everyone:F /T /C /Q;" 명령어를 수행합니다.

 

 

암호화 대상 파일에 대해서는 .WNCRYT 확장명으로 변경하여 파일 암호화를 수행한 후 최종적으로 .WNCRY 확장명으로 변경하며, 암호화된 파일 날짜는 현재 시간으로 변경되지 않습니다.

 

특히 파일 암호화가 완료되는 시점까지는 원본 파일을 그대로 유지한 후 파일 암호화 종료 시점에서 원본 파일을 삭제하여 복구할 수 없도록 합니다.

 

또한 파일 암호화 시 생성된 .WNCRYT 파일은 임시 폴더(%Temp%)로 <숫자>.WNCRYT 형태로 이동한 후 taskdl.exe 파일(SHA-1 : 47a9ad4125b6bd7c55e4e7da251e23f089407b8f - Microsoft : Ransom:Win32/WannaCrypt)을 통해 삭제 처리됩니다.

 

 

  • vssadmin delete shadows /all /quiet
  • wmic shadowcopy delete
  • bcdedit /set {default} bootstatuspolicy ignoreallfailures
  • bcdedit /set {default} recoveryenabled no
  • wbadmin delete catalog -quiet

 

파일 암호화 완료 후에는 시스템 복원 및 부팅 복구 옵션을 통해 파일 복구를 할 수 없도록 명령어 실행을 통해 VSS 서비스 삭제 및 복구 옵션을 비활성화 처리합니다.

 

 

또한 WannaCryptor 랜섬웨어는 Tor 프로토콜을 통한 통신 목적으로 "h**ps://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip" 파일 다운로드을 통해 다음과 같은 폴더 생성을 통해 파일을 압축 해제합니다.

 

  • C:\Users\%UserName%\AppData\Roaming\tor
  • \\TaskData

 

 

WannaCryptor 랜섬웨어 감염 시 생성된 msg 폴더 내에는 28개 언어팩이 포함되어 있으며, 다음과 같은 "Wana Decrypt0r 2.0" 메시지 창 생성 시 운영 체제 언어를 참고하여 한국어(Korean)로 표시될 수 있습니다.

 

 

생성된 "Wana Decrypt0r 2.0" 메시지 창은 주기적으로 최상위에 노출되려고 시도를 하며, 그 외에 다음과 같은 @Please_Read_Me@.txt 메시지 파일과 바탕 화면 배경(@WanaDecryptor@.bmp)을 변경합니다.

 

 

 

참고로 WannaCryptor 랜섬웨어는 2017년 4월 초에 .WCRYT 확장명으로 변경하여 파일 암호화를 수행한 후 .WCRY 확장명으로 변경하는 변종이 존재하였으며, 당시에는 !Please Read Me!.txt 랜섬웨어 메시지 파일 생성 및 바탕 화면 배경(!WannaCryptor!.bmp)을 변경하였습니다.

 

백신 탐지에 실패하여 WannaCryptor 랜섬웨어에 의한 파일 암호화가 진행될 경우 앱체크 안티랜섬웨어(AppCheck Anti-Ransomware) 차단 솔루션은 랜섬웨어 행위 탐지를 통해 파일 암호화 행위 차단 및 원본 파일을 자동 복원해주고 있으므로 백신 프로그램과 함께 사용하시기 바랍니다.

 

앞서 언급했듯이 SMB 취약점(Exploit)으로 전파가 이루어지는 공격 방식으로 인해 사용자가 인터넷에 연결만 되어 있다면 자동으로 감염이 발생할 수 있으며, 445 포트(Port)를 통해 다른 기기로 전파될 수 있으므로 반드시 Microsoft에서 제공하는 보안 패치를 적용하시기 바랍니다.

 

 

또한 이미 감염된 경우에는 보안 패치 적용에 문제가 될 수 있으므로 인터넷 연결을 우선 해제한 후 Windows 방화벽의 인바운드 규칙에서 137-138(UDP), 139(TCP), 445(TCP)번 포트 차단 및 제어판의 Windows 기능 중 "SMB 1.0/CIFS 파일 공유 지원" 체크 박스를 해제한 후 Windows 재부팅을 진행하시고 인터넷 연결을 통해 제공되는 보안 패치를 반드시 설치하시기 바랍니다.

  • Playing 2017.05.15 14:18 댓글주소 수정/삭제 댓글쓰기

    벌새님 오랫만입니다
    휴~ 이번 일이 제법 큰 일이긴 한가 봅니다
    자동업데이트가 3일째 뱅글뱅글거리고 진행이 안되고 있어서 왜 그런가 살펴보니 여기까지 왔네요

    저는 XP 라서 그냥 손을 놔야하나 그랬는데 구형운영체제까지 업데이트해주는거 보니 이런 건 마이크로소프트가 듬직하게 잘하는 듯 싶습니다 ^^;;

    더 많은 분들이 이 글을 보고 도움을 받으셨으면 좋겠네요
    건강하시고 하시는 일들 순탄하게 풀리시길

    • Windows XP 자동 업데이트가 안되시면 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 사이트에 접속해서 수동 설치 파일을 받아서 진행하시기 바랍니다.

      고맙습니다.^^

  • 상선약수 2017.05.15 15:28 댓글주소 수정/삭제 댓글쓰기

    1년전쯤 랜섬웨어 때문에 많은 도움을 받았습니다.
    이번에도 대단히 죄송합니다만, 염치불고하고 글 남깁니다.
    지금 윈도우7사용하고 있는데 윈도우바탕화면에[빌드7601, 이 윈도우는 정품이 아닙니다/윈도우7입니다]라는 메시지가 있는데 윈도우는 계속 업데이트했고 지금 확인해봐도 최신버전이라고 나옵니다 더불어 V3와 앱체크 유료로 사용하고 있고 실시간사용중입니다. 이렇게 해서 사용하고 있는데 괜찮을까요?

    • 정품 인증 관련 메시지는 정품 윈도우가 아니라서 그런게 아닌가 의심됩니다.

      V3 + 앱체크를 사용하시면서 보안 업데이트만 꾸준하게 하시면 큰 문제는 없을겁니다.

      감사합니다.

  • 상선약수 2017.05.15 15:36 댓글주소 수정/삭제 댓글쓰기

    빠른 답변 감사합니다. 하드교체하면서 소위 동네PC가게에 맡겼는데 아마 그곳에서 윈도우설치를 그렇게 해주셨나봅니다 ㅜ.ㅜ
    큰 문제가 없다고 하시니까 안심입니다 ^^ 감사합니다 !!!

  • 질문드립니다! 2017.05.15 20:50 댓글주소 수정/삭제 댓글쓰기

    벌새님! 제어판에서 인바운드 규칙-새규칙에서 TCP/UDP체크박스가 따로 존재하더라구요. 인터넷에서는 TCP를 선택하고 137-139, 445를 하라고 하는데 TCP선택후 139,445라고 하고 UDP선택후 137,138 이라고 해야하는게 아닌지요? 이 궁금증 생기자 마자 벌새님 블로그가 생각나서 검색해 왔네요..다른곳도 찾아봤지만 보안과 전혀 관련없는 블로그들도 이런 예방법을 알려주는 터라..이곳외에는 궁금증을 해결할 곳이 없습니다 ㅠㅠ

  • 질문드립니다! 2017.05.15 20:57 댓글주소 수정/삭제 댓글쓰기

    그러면 제어판-방화벽-고급설정-인바운드 규칙-새규칙 에서 TCP누르고 139,445 하고 저장, 다시 새규칙에서 UDT누르고 137,138 하는게 맞는건가요? 인터넷에서 돌아다니는것은 TCP선택후 137-139, 445 라고 해버리더라구요..

  • 질문있습니다. 2017.05.16 10:41 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 게시글에 관련되어 질문하나 드립니다.
    137, 138, 139, 445등의 포트를 모두 내린뒤에
    마이크로소프트에서 제공하는 최신 윈도우 업데이트를 진행하여
    모두 설치한 경우에는 137, 138, 139, 445등의 포트를
    다시사용할 수 있는건가요?

    • 패치 후에는 차단한 포트를 그대로 둘 경우 파일 공유나 프린터 공유와 같은 정상적인 윈도우 기능에 문제가 있을 수 있으므로 되도록이면 기존 상태로 변경하시는게 좋습니다. 물론 프린터나 파일 공유 기능을 이용하지 않는다면 차단해도 됩니다.

  • 워너크라이 랜섬웨어가 파일 포맷의 헤더를 구분한 것이 아닌 "확장자"로 구분되는 것으로 확인 되었습니다.
    워너크라이 파일을 분석해서, 확장자 목록 코드를 따로 추출해서 본 블로그에 스프레드시트로 작성했습니다.

    테스트로 7z로 압축된 파일을 확장자 목록에 없는 smc 확장자로 바꾸니 무사히 잘 살아있습니다.

    http://zx132435.blog.me/221006844698

  • 흑흑 2017.05.16 18:50 댓글주소 수정/삭제 댓글쓰기

    XP 사용자로서 벌새님이 구세주이십니다... ㅠㅠ
    벌새님이 말씀해주신대로 엑스피 해당 패치를 다운로드 받아서 패치시킨 후,
    하드디스크 각각 드라이브별 단위로 공유가 막혀있는지 모조리 확인했으며,
    원격 지원 기능도 막아놓고,
    윈도우 자체에 긴(...) 암호를 설정해놓고,
    바이러스 백신 프로그램 쓰는 것을 최신으로 DB 업데이트 하고 랜섬웨어 감지기능 또는 행위 기반 의심 기능 등을 전부 활성화 시켜놨어요.

    이렇게 해놓으면 현재 문제되고 있는 랜섬웨어는 일단 막을 수 있을까요? (새로 또 변종이 나오는 것까지는 모르겠지만... ㅠㅠ )

    그리고 139나 445 포트를 막아놓으라고 하던데.. 저는 엑스피 방화벽이 아닌 유료 백신 프로그램에서 제공하는 방화벽 기능을 쓰는 중이거든요. 거기엔 따로 특정 TCP 포트를 차단하는 방법이 없던데...
    윈도우 패치를 해놨으면 포트 막는것까지는 안 해 놔도 될까요?

    P.S : 다시한번 감사드립니다. 엑스피용 패치를 찾을 수 없어서 멍했는데 벌새님 덕분에 할 수 있었습니다. 복받으세요. ㅠㅠ

    • 우선 기본적으로 보안 패치가 이루어졌다면 포트를 막을 필요는 없지만 SMB 취약점이 차후에도 나올 수 있으므로 윈도우 기능에 문제가 없다면 막아두셔도 상관은 없습니다.

      XP의 경우에는 이것 외에도 다양한 취약점에 대한 보안 패치가 더 이상 제공되지 않으므로 다른 취약점으로 충분히 감염될 수 있으므로 되도록이면 Windows 7 이상의 운영 체제를 사용하시기 바랍니다.

      감사합니다.^^

    • 흑흑 2017.05.17 15:28 댓글주소 수정/삭제

      정말 감사드립니다. 덕택에 많은 걸 배우는 중입니다. ㅠㅠ 벌새님 오늘도 좋은 하루 되세요.

  • 궁금 2017.05.17 03:04 댓글주소 수정/삭제 댓글쓰기

    회사 컴퓨터는 오래된 OS나(XP) SMB 공유 폴더를 사용한다지만

    개인 유저는(윈도우7~10) ISP업체에서 445포트를 차단하므로 개인 컴퓨터들은 웜전파 자체가 차단 되어 안전한거 아닌가요?
    (개인적으로 워너크라이 변종이나 기본 파일을 실행 하지 않을경우)

    내부 공유기 아이피끼리는 SMB연결이 된다지만 외부아이피에서는 다른 유저 컴퓨터 SMB 포트에 접근이 되지 않으므로 안전하지 않나요?