WannaCry 랜섬웨어 관련 대비책

최근 WannaCry 랜섬웨어는 전세계의 의료기관과 각종 시스템에 대한 무차별적 공격을 감행하고 있으며, 이 공격은 개인에게도 예외가 아니다. 해당 공격은 SMBv2 원격 코드 취약점(https://technet.microsoft.com/en-us/library/security/ms17-010.aspx)을 이용하여 악성코드를 유포한다. 이는 네트워크 내 모든 컴퓨터의 접근가능한 IP를 스캔하여 악성코드를 확산시킨다. 따라서 모든 MS Windows 시스템에 대해 대비책을 마련해야할 필요가 있다. 대비책은 다음과 같다.

1) PC를 켜기 전 네트워크 연결을 끊는다(랜선을 뽑거나 무선랜카드를 끔)

2) 네트워크 방화벽을 이용하여 SMB 프로토콜 관련 접근을 차단한다.

 - 제어판-Windows 방화벽-고급설정을 들어간다.

 - Windows 방화벽에서 SMB 프로토콜 관련 접근을 차단시킨다. 수행하는 방법은 다음과 같다.

 1) 인바운드 규칙을 수립한다. 포트관련 규칙을 선택한다.

 2) 특정 포트관련 규칙을 수립한다. TCP의 137부터 139, 445번 포트의 접근을 막는다.

 3) 연결을 차단을 선택한다.

 4) 모든 연결에 대해 차단한다.

 5) 해당 정책의 이름을 입력하고 완료한다.

혹은 다음과 같은 해결책을 사용하도록 한다.

   ㅇ Windows Vista 또는 Windows Server 2008 이상 사용자
       시작 -> 'Windows Powershell' 입력 -> 우클릭 -> 관리자 권한으로 실행 ->
      ① set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters" SMB1 -Type DWORD -Value 0 -Force
      ② set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters" SMB2  -Type DWORD -Value 0 -Force

   ㅇ Windows 8.1 또는 Windows Server 2012 R2 이상 사용자
       클라이언트 운영체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제
                                        -> SMB1.0/CIFS 파일 공유 지원 체크해제 -> 시스템 재시작
       서버 운영체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제
                                        -> 확인 -> 시스템 재시작

3) 링크에 접속하여 현재 사용중인 운영체제에 알맞는 보안패치를 수행한다.

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/?utm_source=t.co&utm_medium=referral

추가:

서버 운영자에 대해 필요에 따른 Yara 규칙을 추가하도록 한다. 규칙은 아래와 같다.

rule Wanna_Cry_Ransomware_Generic {
       meta:
              description = "Detects WannaCry Ransomware on disk and in virtual page"
              author = "US-CERT Code Analysis Team"
              reference = "not set"                                        
              date = "2017/05/12"
       hash0 = "4DA1F312A214C07143ABEEAFB695D904"
      
       strings:
              $s0 = {410044004D0049004E0024}
              $s1 = "WannaDecryptor"
              $s2 = "WANNACRY"
              $s3 = "Microsoft Enhanced RSA and AES Cryptographic"
              $s4 = "PKS"
              $s5 = "StartTask"
              $s6 = "wcry@123"
              $s7 = {2F6600002F72}
              $s8 = "unzip 0.15 Copyrigh"
       condition:
              $s0 and $s1 and $s2 and $s3 or $s4 or $s5 or $s6 or $s7 or $s8
}
/*
The following Yara ruleset is under the GNU-GPLv2 license 
(http://www.gnu.org/licenses/gpl-2.0.html)
and open to any user or organization, as long as you use it under this license.
*/
rule MS17_010_WanaCry_worm {
       meta:
              description = "Worm exploiting MS17-010 and dropping WannaCry Ransomware"
              author = "Felipe Molina (@felmoltor)"
                     reference = "https://www.exploit-db.com/exploits/41987/"
                           date = "2017/05/12"
       strings:
              $ms17010_str1="PC NETWORK PROGRAM 1.0"
              $ms17010_str2="LANMAN1.0"
              $ms17010_str3="Windows for Workgroups 3.1a"
              $ms17010_str4="__TREEID__PLACEHOLDER__"
              $ms17010_str5="__USERID__PLACEHOLDER__"
              $wannacry_payload_substr1 = "h6agLCqPqVyXi2VSQ8O6Yb9ijBX54j"
              $wannacry_payload_substr2 = "h54WfF9cGigWFEx92bzmOd0UOaZlM"
              $wannacry_payload_substr3 = "tpGFEoLOU6+5I78Toh/nHs/RAP"
       condition:
              all of them
}

출처:

http://www.boho.or.kr/data/secNoticeList.do

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/?utm_source=t.co&utm_medium=referral

https://www.us-cert.gov/ncas/alerts/TA17-132A