5월12일 대규모 랜섬웨어 공격이 전 세계적으로 행해졌습니다. 카스퍼스키랩 연구원들은 전 세계 74개국에서 최소 45,000건의 감염 시도를
탐지 하였으며 대부분은 러시아에서 이루어졌습니다. 랜섬웨어는 마이크로소프트 취약점을 이용하여 감염 공격을 하였습니다.
(이 취약점에 대해서는 Microsoft
Security Bulletin MS17-010을
참고 하시기 바랍니다)
이 공격은 4월14일 Shadowbroker 덤프에서 공개된 “Eternal Blue”를 이용하였습니다.
이 공격이 시스템 안으로 침투하게 되면 공격자는 루트킷을 설치하여 데이터 암호화 소프트웨어를 다운로드 하도록 한 후 파일을 암호화 합니다.
처음에는 비트코인으로 600달러를 요구하며 시간이 갈수록 가격을 올립니다.
카스퍼스키랩 전문가들은 현재 암호화된 데이터의 복호화 가능성에 대해 조사하고 있습니다.
카스퍼스키랩 보안 제품은 이 공격에 사용된 악성 코드를 다음과 같이 탐지하고 있습니다.
• Trojan-Ransom.Win32.Scatter.uf
• Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Trojan.Win64.EquationDrug.gen
• Trojan.Win32.Generic (시스템 감시기가 반드시 작동 중이어야 합니다)
감염 위협을 줄이기 위하여 다음과 같은 조치를 취할 것을 권장합니다.
• 마이크로소프트사의 공식
패치를
설치하여 이 공격에 이용된 취약점을 제거 합니다.
• 네트워크의 모든 노드의 보안 솔루션이 작동 중인지 점검합니다.
• 만약 카스퍼스키랩의 솔루션을 사용중인 경우에는, 시스템
감시기를 포함하여
행동기반 사전 방역 기능이 작동 중인지 확인 합니다.
• 카스퍼스키랩 솔루션에서 중요 영역 검사 등을 즉시 시행하여 감염 위협을 탐지 합니다.
• MEM: Trojan.Win64.EquationDrug.gen이 탐지된 경우에는 시스템을 재부팅 합니다
WannaCry 공격 방법에 대한 자세한 내용 및 IoC(Indicators of Compromise-침해지표)에 대해서는 Securelist
홈페이지를
참고하시기 바랍니다.
[출처 : 카스퍼스키(http://kaspersky.co.kr)]