소프트캠프, 워너크라이 랜섬웨어 리서치 리포트

[워너크라이 랜섬웨어 사태] 사이버 보안의 악몽이 된 랜섬웨어의 진화  세계 패닉 랜섬웨어 '워너크라이' 北 개입했나

지난 5월 12일, 전 세계에 큰 피해를 입힌 랜섬웨어 워너크립터(WannaCryptor, 일명 워너크라이 WannaCry),

신문 기사, SNS 등등 워너크라이의 피해 현장, 위험성, 대비 방안을 많이 보셨을 텐데요

첫 감염사례가 보고된 이후 피해사례가 줄어들지 않아 긴장을 늦출 수 없습니다. 

워너크라이의 피해 예방에 도움을 드리고자

소프트캠프가 워너크라이 랜섬웨어 리서치 리포트를 공유합니다. 

워너크라이의 공격과 유포, 대응방안에 대해 잘 살펴보시고

많은 도움을 받으시기 바랍니다!

WannaCry 랜섬웨어 개요

MS Windows를 사용하는 컴퓨터를 대상으로 공격하는 랜섬웨어 멀웨어 툴로

2017년 5월 12일 대규모 공격이 시작되어 전세계 99개국의 컴퓨터 12만대 이상을 감염시켰습니다. 

감염되면 컴퓨터 내의 파일들이 암호화 되어 버리며

감염된 컴퓨터로는 20개의 언어로 비트코인을 지급하라는 메시지 창이 뜹니다. 

워너크라이의 랜섬웨어의 정확한 파일명은 Wana Decrypt0r (Wana Decryptor)인데

Wanna의 오타인 Wana라고 되어있어서 워너크라이라고 읽기도 하고 워나크라이라고 읽기도 합니다. 

WannaCry 랜섬웨어 특징

워너크라이 랜섬웨어는 

윈도우의 파일 공유에 사용되는 서버 메시지 블록(SMB) 원격코드의 취약점을 악용한 것으로,

이메일 첨부파일을 통해 유포되는 일반적인 랜섬웨어와 달리

인터넷 네트워크에 접속만 해도 감염이 됩니다. 

워너크라이는 문서 파일 뿐만 아니라 압축 파일, 데이터베이스 파일 등 다양한 파일을 암호화하며

암호화 된 파일을 푸는 댓가로 $300~$600의 비트코인을 요구하는 메시지를 다국어로 띄웁니다.

PC가 워너크라이에 감염되면 'Wana Decrypt0r 2.0'이라는 이름의 창이 뜨는데요

감염창에는 상황 설명, 복구 방법, 금전 지급 방법, 비트코인을 보내는 주소가 함께 표시되고

지불 기한과 파일을 잃게 되는 기한도 함께 표시됩니다. 

대체로 프로그램이 처음 실행되는 시점에서 $300 상당의 비트코인을 요구했다가

3일이 지나면 $600로 늘어나며 7일이 지나면 아예 파일 복구가 불가능 하게 됩니다. 

비트코인을 지불하더라도 어떤 컴퓨터가 돈을 지불했는지를 식별하는 기능이 없고

변종도 수 백 가지가 넘기 때문에 복구 가능성이 희박하다고 볼 수 있습니다. 

감염된 파일명에는 '.WNCRY'가 붙어, '파일명.jpg.WNCRY'와 같은 식으로 파일명을 변경해 암호화 됩니다. 

만약 보안 프로그램이 워너크라이 랜섬웨어를 지우게 되면 배경화면이 검은색 창으로 바뀌며,

워너크라이를 다시 가동하라는 경고문이 뜨게 되어 피할 수가 없습니다. 

 

간혹 테스트 목적으로 랜섬웨어를 재현하고자 의도적으로 감염시켰다가

결국 전체로 번진 사례도 많으니 호기심으로라도 재현해서는 안됩니다!

 

WannaCry 랜섬웨어 전파경로

워너크라이 랜섬웨어의 가장 큰 특징은

브라우저를 통해 해킹된 광고 서버, 사이트 자체에 접속을 시도해야 감염이 되는

드라이브 바이 다운로드(drive-by download) 방식이나

이메일 유포를 통한 고전적인 방식만을 이용하던 이전 랜섬웨어와 달리

윈도우 네트워크 파일 공유 프로토콜인 SMB의 보안 취약점을 함께 이용하기 때문에

인터넷에 연결되어 있기만 해도 감염이 될 수 있습니다. 

또한 웜 바이러스와 유사하여 자기 자신을 복제해 네트워크로 흘려 보내기 때문에

전파력 또한 높습니다. 

MS는 이 취약점을 보완한 패치를 2017년 3월 중순부터 제공했지만

유포 초기 SMB 취악점보다 드라이브 바이 다운로드 방식과 이메일 유포 방식에 의존했기 때문에

워너크라이에 감염되지 않을 것이라고 확신할 수는 없습니다. 

WannaCry 랜섬웨어 공격 대상

워너크라이 랜섬웨어는 드라이브 바이 다운로드, 이메일을 통해서도 유포되지만

SMB 보안 취약점을 주로 이용하기 때문에 아래의 OS는 반드시 보안 패치를 받아야 합니다. 

· Windows XP  · Windows Server 2003  · Windows Embedded POSReady 2009  · Windows Vista  · Windows Server 2008  · Windows 7  · Windows Embedded Compact 7  · Windows Server 2008 R2  · Windows Embedded POSReady 7  · Windows 8

· Windows RT  · Windows Embedded 8  · Windows Server 2012  · Windows 8.1  · Windows RT 8.1  · Windows Embedded 8.1  · Windows Server 2012 R2  · Windows 10 (RTM, 버전 1511, 버전 1607)  · Windows Server 2016 (RTM)

WannaCry 랜섬웨어 파일 타입

워너크라이 랜섬웨어의 파일 타입은 exe, bat, vbs 정도로 파악됩니다. 

워너크라이의 악성파일을 감지할 수 있도록 작성된 YARA Rule에는 아래처럼 exe, bat, vbs의 룰이 존재합니다. 

(YARA는 문자열이나 바이너리 패턴을 기반으로 악성코드를 검색하여 이러한 악성코드를 분류할 수 있게 하는 도구이며, 제품에 적용해 사용하고 있는 업체는 VirusTotal과 FireEye가 있습니다.) 

EXE
BAT
VBS

WannaCry 랜섬웨어의 감염, 대상 확장자, 확산 방법

▲ 감염 

- MS17-010 패치가 적용되지 않은 윈도우에서 ETERNALBLUE로 명령된 악성코드가 실행됨

- 악성코드는 아래와 같은 경로로 감염 또는 유입될 수 있음

· Torrent Web Site, Fake Updates 파일 또는 Fake Setups 실행파일을 통한 감염  · 이메일의 첨부파일로 유입 (Java Script, 실행파일, 악성코드 매크로가 담겨진 문서파일)

- 악성코드 매크로가 담긴 문서파일을 실행 할 경우, 아래와 같은 단계로 악성코드를 다운로드하고 실행함

 

▲ 악성코드 동작방식

- Program Data 폴더 안에 tasksche.exe 파일을 생성하거나 

  Windows 폴더안에 임의의 문자 폴더를 생성하여 mssecsvc.exe 및 tasksche.exe를 생성

- Icacls . /grant Everyone:F /T /C /Q 명령어를 실행하여 모든 파일에 대한 모든 권한을 부여

- 아래의 Windows System Process를 종료

· Mysqld.exe  · Sqlwriter.exe  · Sqlserver.exe  · MSExchange  · Microsoft.Exchange

 

- 윈도우 레지스트리를 편집하여 시스템이 부트될 때 파일 암호화를 시작

· HKCU\Software\Microsoft\Windows\CurrentVersion\Run\  · HKCU\Software\WanaCrypt0r\  · HKCU\Software\WanaCrypt0r\wd  · HKCU\Control Panel\Desktop\Wallpaper

- 감염된 후에 경고창과 함께 비트코인 결제를 요구함

▲ 대상 확장자

- 179개의 파일 타입을 .WNCRY 확장자로 암호화하며 대표적인 확장자로는 아래와 같음

· Commonly used office file extensions (.ppt, .doc, .docx, .xlsx, .sxi)  · Less common and nation-specific office formats (.sxw, .odt, .hwp)  · Archives, media files (.zip, .rar, .tar, .bz2, .mp4, .mkv)  · Emails and email databases (.eml, .msg, .ost, .pst, .edb)  · Database files (.sql, .accdb, .mdb, .dbf, .odb, .myd)  · Developers' sourcecode and project files (.php, .java, .cpp, .pas, .asm)  · Encryption keys and certificates (.key, .pfx, .pem, .p12, .csr, .gpg, .aes)  · Graphic designers, artists and photographers files (.vsd, .odg, .raw, .nef, .svg, .psd)  · Virtual machine files (.vmx, .vmdk, .vdi)

WannaCry 랜섬웨어 대응 솔루션

랜섬웨어로 인한 피해가 증가하는 요즘, 

랜섬웨어로 대응할 수 있는 솔루션 도입 또한 고민하지 않을 수 없지요.

소프트캠프는 이런 상황을 반영하여

외부에서 유입되는 파일에 의한 랜섬웨어 공격에 대응할 수 있는 솔루션으로

CDR(Content Disarm & Reconstruction) 기술 기반의 실덱스(SHIELDEX)를 출시했는데요,

실덱스는 인터넷, 이메일 USB, 망간자료 전송 등

다양한 외부 경로를 통해 유입되는 모든 문서/파일을 CDR 기술로 무해화 한 후 재구성하는 방식으로

안전한 컨텐츠만 내부로 들여보내기 때문에 악성코드를 포함한 외부유입파일이 

시스템 중요영역으로 접근할 수 없도록 원천 차단해 줍니다. 

망이 분리된 환경에서 외부에서 유입된

문서/파일에 구성된 컨텐츠의 텍스트, 도형, 그림, 표 등에 대한 모든 구성 요소의 구조를 검사한 후,

승인된 요소들만 추출하여 파일을 재구성 하는 것 인데요,

이렇게 재구성된 파일은 원본 파일 그대로의 형식으로

깨끗하고 안전한 내용물로만 만들어진 파일로 재탄생 되기 때문에

랜섬웨어에 철저하게 대응할 수 있습니다. 

 

▲ 자세한 정보  · SHIELDEX  홈페이지   · CDR, 파일무해화 솔루션으로 망분리 보안 강화, 악성코드 대응

사용자, 정보보호 관리자를 위한 랜섬웨어 예방법

▲ 사용자 

· 모르는 계정에서 발송된 메일의 첨부파일을 열어보지 않는다.   · 불법 다운로드 사이트에서 파일을 다운로드 받지 않는다.   · 외부에서 유입된 문서의 매크로 허용을 선택하지 않는다.   · 사용중인 백신 및 SW를 수시로 업데이트 한다.   · 주기적으로 데이터를 백업한다.   · 보안 취약 사이트는 방문을 자제한다.

▲ 정보보호 관리자

· 양방향 암호화 알고리즘을 사용하고 있는 랜섬웨어인지 파악한 후 감염된 랜섬웨어를 찾아내어    디버깅이나 리버스 엔지니어링을 통한 직접적인 분석을 한다.   · 감염된 랜섬웨어 내부에 암호화 또는 복호화 키가 내장되어 있는지를 파악한다.   · 공격자에게 비용을 지불 시 복원시켜 준 사례가 있는지 파악한다.