보안 / 해킹 지난 10시간 동안 75,000건의 랜섬웨어 공격 발생
2017.05.13 11:58
Avast에 의하면 지난 10시간 동안 전세계 99개국에 75,000건의 랜섬웨어 공격이 발생했습니다.
대부분의 공격은 러시아, 우크라이나, 타이완을 향하고 있습니다.
영국 병원은 랜섬웨어 공격으로 수술이 취소되고 구급차가 돌아갔습니다.
참고로 Hacker House 창업자인 Matthew Hickey에 의하면 이번 랜섬웨어 공격은 윈도우 업데이트를 하지 않은 시스템에서 발생했으며 주기적으로 최신 업데이트를 실시한 컴퓨터는 안전했습니다.
https://money.cnn.com/2017/05/12/technology/ransomware-attack-nsa-microsoft/index.html
(추가)
이번 랜섬웨어의 이름은 WannaCry이며 공격은 지난 3월에 발견된 윈도우의 취약점을 이용한 공격입니다. 따라서 즉시 윈도우 업데이트하시면 안전합니다.
이번 랜섬웨어는 감염 6시간안에 랜섬 즉 몸값을 요구하며 시간이 지날수록 몸값은 올라갑니다. 최초 1시간 안에 몸값을 지급하면 미화 300달라를 요구합니다.
영국의 16개 보건당국이 공격을 당했으며 보건당국에 속해 있는 병원들이 피해를 봤습니다. 내원 환자 예약을 취소했으며 급한 경우가 아니면 응급실 내원을 자제해 달라고 합니다.
스페인은 윈도우의 속칭 이터널블루라는 취약점을 이용해 공격한다고 발표했으며 즉시 윈도우 패치를 권고했습니다.
영국의 안보 전문가는 지금까지 본 사이버 공격중 최대라고 말했습니다.
러시아는 국내 컴퓨터의 1%가 감염되었다고 내무장관이 발표했습니다.
러시아의 통신회사인 Megafon도 피해를 봤으며 네트워크는 안전하다고 발표했고 현재 진정 국면이라고 발표했습니다.
미국의 국토안보국도 현지 시간 금요일 즉시 윈도우 업데이트를 실시하라고 했습니다.
카스퍼스키는 업데이트를 실시한 컴퓨터도 이번 WannaCry 램섬웨어에 취약하다고 발표했으며 이번 이터널블루 취약점은 가장 위험한 요소라고 말했습니다.
(추가 2)
보호나라에 올라온 이번 랜섬웨어 관련 보안 공지입니다.
https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703
해결방안
1. 즉시 보안 업데이트 적용
2. 보안업데이트 적용 불가시
Windows 최신 보안 패치가 불가능한 사용자는 서비스 영향도를 검토하여 아래와 같은 방법으로 조치 권고
① 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단
※ SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)
② 운영체제 내 설정을 이용하여 모든 버전의 SMB 프로토콜 비활성화
- (Windows Vista 또는 Windows Server 2008 이상)
모든 운영 체제 : 시작 -> Windows Powershell -> 우클릭 -> 관리자 권한으로 실행 -> ① set-ItemProperty –Path
“HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters” SMB1 –
Type DWORD –Value 0 –Force ② set-ItemProperty –Path
“HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters” SMB2 –
Type DWORD –Value 0 –Force
- (Windows 8.1 또는 Windows Server 2012 R2 이상)
클라이언트 운영 체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제 -> SMB1.0/CIFS 파일 공유 지원 체크해제
-> 시스템 재시작
서버 운영 체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제 -> 확인 -> 시스템
재시작
③ (Windows XP 또는 Windows Server 2003 사용자) RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정
및 기본 포트번호(3389/TCP) 변경
④ (Windows Server 2003 이하 사용자) 서버 내 WebDAV 서비스 비활성화
댓글 [14]
-
드레코 2017.05.13 12:46 -
DarknessAngel 2017.05.13 12:53
지난 NSA 언급하는걸 보니 SMB관련 취약점 노리는듯합니다
-
마스크 2017.05.13 14:30 한국 회사도 많이 당했나봐요.
이번 계기로 보안에 신경 좀 썼으면...
-
AlphaGo 2017.05.13 15:39
평소 보안관리를 잘 안하면 항상 위험하죠.
변동이 나올수 있지만 Desktop 위치를 애초부터 %Windir% 아래로 이동하는것도 한 방법이며,
중요자료는 반드시 안전하게 겪리된 Read Only SMB에 FTP로 저장할때 불편도 적고 가장 안전합니다.
아직까지 FTP 세션까지 가로채는 랜섬은 보고된바 없습니다.
-
DarknessAngel 2017.05.13 19:33
위와 같은 방식으로 공격하는 경우 그 방법도 안 통합니다
구형OS이거나, 업데이트 안 한 경우 무조건 문제됩니다
네트워크상의 1대에서 실행되면 스캔해서 네트워크에 있는 smb프로토콜 열린 컴 다 검색해서 프토토콜 버전 확인후 다 공격시도 해봅니다 (만일 보안상 문제가 있는 상태라면 쓰기는 커녕 읽기 권한조차 없는 상태라도 뚤고 들어갈 수 있습니다)
심지어는 공유폴더 1개도 존재 안 해도 IPC가 쓰기 위해 존재하는 관리용 경로를 기준으로 공격해서 모든 고정식 디스크에 접근 가능합니다 (OS가 매번 부트과정에서 자동으로 생성합니다)
-
AlphaGo 2017.05.15 05:18
삼바를 윈도우로 서비스하는 경우는 거의 없을테니 그문제는 Linux/Unix 시스템 보안차원의 문제고,
큰 회사면 자체 보안 관리자가 책임관리 하고 있을테지만 그렇지 않은 병원등 중소규모가 항상 취약하죠.
-
DarknessAngel 2017.05.15 11:36
그렇게 생각하신다면 실재 smb사용 현황을 못 보신듯합니다
메인 서버나 nas만이 아니라 개별의 PC에 공유폴더 만들어서 문서등을 공유해두거나, USB전용 프린터/팩스/스캐너등을 공유해서 쓰는 경우 허다합니다
-
AlphaGo 2017.05.15 20:12
보편적인 현황에서의 문제점은 물론 잘 알고 있습니다.
일반적으로 네트워크 환경에 보통 수십개의 공유폴더가 오토 브라우징되어 나타나고 있으며
복합기 역시 흔히 Wifi로 연결하여 공유하고들 있는데 이번 유형의 공격에는 거의 무방비라고 봐야겠죠.
이번 WannaCry 공격은 아마도 위와같은 환경에서 삼바 취약점으로 침투하여 파일을 심어넣고
레지스트리에 작업 스케줄러나 시작환경에 실행명령을 심어넣어 점령하는 구조인듯 합니다.
-
쿵딱쿵 2017.05.13 16:30
전 항상 패치 바로바로하니 잘 모르겠는데 혹시
SMB 취약점이란것도 웜바이러스처럼 방화벽 운용을 하고 있으면 괜찮을까요?
-
DarknessAngel 2017.05.13 19:34
방화벽에서 smb관련 포트 싹 다 막어버리면 안전합니다
결국은 로컬의 1대 이상에서 실행되어서 네트워크상의 smb프로토콜을 검색해서 공격하기때문에 접근 못하게 막아버리면 끝입니다
-
파도사랑 2017.05.13 19:43
무서운 세상이네요. 예전엔 백신없어도 그런데로 괜찮았는데
요즘은 백신도 못믿겠고 무서워서 자료다운받기도 겁나네요.
범죄가 넘쳐나도 잡았다는 얘기는 없고 이런 상황에
무선인터넷이나 가전등을 인터넷을 통해 제어한다는게 무서워집니다.
asklee 정보 감사합니다.
-
노래하는다롱이 2017.05.13 23:28 이제 테러리스트들이 영악하게도 사이버 테러로 눈을 돌렸나 보네요. 이쪽이 흔히 하는 말로 가격 대비 효율이 더 좋을지도 모르겠네요.
-
내사랑울보 2017.05.15 01:28
정보 감사합니다..
-
컴퓨터악마 2017.05.15 20:22
토렌토로 유틸 크랙 실행하다가 랜섬웨어 걸렸네요.
외장하드 연결된거 2개하고 추가 ssd 다 밀어버렸네요. 내자료들.ㅠㅠ
빠른정보 감사 합니다.