2017년 5월 17일 배포한 WannaCry 분석보고서에도 언급되었듯이, WannaCry 랜섬웨어의 경우 SMB 취약점을 이용하여 웜과 같이 다른 PC로 확산되어 추가 감염을 발생시키고 있다.

또한,Check Payment 등의 외부 서버와 통신이 필요한 경우에는 Tor 네트워크를 이용하는 특징이 있으며, 랜섬웨어 내부 리소스에서 Tor 프로그램을 생성하여 사용한다.

이에 소만사 악성코드분석센터에서는 SMB 취약점에 관하여 자세히 분석하여 보고서를 작성하게 되었다.

본 보고서에는 WannaCry 랜섬웨어에서 사용하는 SMB 취약점 공격의 동작 흐름과, 대상이 되는 PC에서 감염이 어떤 방식으로 이루어지는지 기술한다.

WannaCry 랜섬웨어의 가장 큰 특징인 SMB 원격코드 실행 취약점을 이용한 전파 기능의 전체적인 동작 흐름에 대해서 기술한다.

SMB(Server Message Block) 도스나 윈도우에서 파일이나 디렉터리 및 주변 장치들을 공유하는데사용되는 메시지 형식이다.

WannaCry 랜섬웨어는 SMB 메시지를 대상 PC에 전송하여 취약점을 공격하고, 랜섬웨어를 전파한다.

대 응

1. 시스템을 네트워크와 분리 후 방화벽 설정에서 SMB 관련 포트를 차단한다.관련 포트 : 137, 138, 139, 445
2. MS에서 제공하는 보안 업데이트를 진행한다. (MS17-010) 랜섬웨어의 전파는 SMB 취약점을 이용하는 것으로 취약점 발생의 원인