[케이스스터디]NSHC가 분석한 워너크라이

NSHC(대표 허영일)는 워너크라이 랜섬웨어가 이용하는 비트코인 계좌 정보 5개 거래량을 분석해 현재 누적 피해금이 7000만원에 달한다고 밝혔다. NSHC 레드얼럿팀이 내놓은 워너크라이 분석 보고서를 소개한다.

[케이스스터디]NSHC가 분석한 워너크라이

◇사건 개요

워너크라이 랜섬웨어는 5월 12일 국내외에서 첫 감염 사례가 보고 된 이후, 피해 사례가 계속 증가했다. 이미 3 월에 패치 된 윈도 서버메시지블록(SMB) 취약점을 통해 유포됐다.

마이크로소프트는 공식 보안 업데이트를 제공하지 않았던 윈도 XP, 윈도 서버 2003, 윈도 8 에 대해서도 따로 패치를 제공한다.

2017.3.14 MS17-010 SMB 취약점 공식 패치

2017.4.14 쉐도우브로커, NSA의 이터널블루(EternalBlue) 익스플로잇 공개

2017.5.12 해당 취약점 악용해 유포된 국내외 '워너크라이(워너크립트, 워너디크립트,

워너크립토라고도 불림)'라는 랜섬웨어 감염 사례 보고

◇공격 시나리오

1. 네트워크를 통해 PC에 접근

2. 감염된 PC 에서 SMB 취약점으로 인한 악성코드 접근

3. 네트워크를 통해 다른 PC 감염 시도

4. 로컬 시스템의 파일 암호화 진행

[케이스스터디]NSHC가 분석한 워너크라이

◇보안 대책

1. SMB 139, 445 TCP 포트 차단 또는 SMB 비활성화

2. 최신 보안 업데이트

3. 백신 프로그램 사용

4. 악성코드와 연결되는 도메인, IP 주소 차단

[전자신문 CIOBIZ] 김인순 보안 전문기자 insoon@etnews.com

위방향 화살표