악성코드 분석 리포트
WannaCry 1차 분석보고서(개요)SMBv2 원격코드 실행 취약점을 악용하여 확산되는 워너크라이(WannaCry) 랜섬웨어가 2017년 5월 12일 전 세계에서 감염이 보고되고 있다.
해당 랜섬웨어는 워너크립터(WannaCryptor), Wcrypt 등으로도 불리고 있으며,
SMB(Server Message Block) 취약점을 이용하여 웜과 같이 다른 PC로 확산되어 추가 감염을 발생시키기 때문에 급속도로 피해가 심각해지고 있다.
이미 2017년 3월에 관련 취약점에 대한 보안 업데이트는 발표되었지만, 보안 업데이트가 적용되지 않은 시스템은 감염위험에 노출되어 있기 때문에 피해 사례가 증가하고 있다.
대 응
1. 시스템을 네트워크와 분리 후 방화벽 설정에서 SMB 관련 포트를 차단한다. 관련 포트 : 137, 138, 139, 445
2. C&C 서버 리스트의 IP를 차단하여 추가적인 악성행위를 예방한다.해당 C&C IP는 WebKeeper DB의 차단 대상 IP로 실시간 반영.
3. MS에서 제공하는 보안 업데이트를 진행한다. (MS17-010)
4. 사용중인 소프트웨어 최신 업데이트 유지한다.
5. 백신 최신 업데이트 유지한다.
6. 주요 문서는 주기적으로 백업하고 물리적으로 분리하여 관리한다.