지난 주말 ‘워너크라이 (WannaCry, Wanna Decryptor)’라고 불리는 랜섬웨어 변종이 전 세계를 발칵 뒤집어 놓았습니다. 실시간 검색어는 물론 언론까지 도배한 이 랜섬웨어는 웜(Worm)과 같은 방식으로 단시간에 세계 여러 기관을 공격해 충격을 안겼는데요. 감염된 컴퓨터에 저장된 데이터를 암호화한 뒤 비트코인 등의 형태로 몸값을 요구하며 막대한 피해를 입히고 있습니다.
‘워너크라이’ 랜섬웨어의 주목할 점은 과거의 이메일과 광고를 통해 전파되던 과거 랜섬웨어와는 다르게 예전 슬래머(Slammer)나 컨피커(Conficker) 웜과 같이 스스로 취약점을 이용해 전파하는 기능을 가졌다는 것입니다.
이러한 기능은 랜섬웨어에 의한 피해 확산 속도를 가속화하는 촉진제가 되었고, 이미
피해가 확인된 사례만 해도 스페인 통신업체인 텔레포니카(Telefonica), 영국 국립병원(NHS), 미국 운송회사 페덱스(FedEx) 등이 있습니다.
시스코의보안인텔리전스센터 탈로스(Talos)에 따르면 워터크라이 랜섬웨어는 TCP445번 포트에 대해 대량의 스캐닝을 시도하고, 기존에 알려진 윈도우 취약점(MS17-010)을 이용한 공격을 통해 계속 확산되고 있는 것으로 밝혀졌습니다. 따라서 윈도우를 사용하는 모든 기관은 최신 패치 적용과 SMB 139, 445 포트 외부 차단을 통해 공격에 대비해야 합니다.
현재 시스코에서 제공하는 보안 제품에서는 워너크라이 랜섬웨어와 관련된 도메인, C&C IP, 악성코드, 취약점을 차단하고 있습니다.
- 도메인 정보
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com - C&C IP
188[.]166[.]23[.]127:443
193[.]23[.]244[.]244:443
2[.]3[.]69[.]209:9001
146[.]0[.]32[.]144:9001
50[.]7[.]161[.]218:9001
217.79.179[.]77
128.31.0[.]39
213.61.66[.]116
212.47.232[.]237
81.30.158[.]223
79.172.193[.]32
89.45.235[.]21
38.229.72[.]16
188.138.33[.]220 - 취약점 차단 Snort 룰
SID 42329-42332, 42340, 41978
제품의 Firepower Management Center 를 통해 최신 패턴 정보 업데이트
이번 랜섬웨어를 막기 위한 가장 최고의 방법은 보안패치(MS17-010)를 적용하고, 추후 변형에 대비하여 보안 제품을 통해 감염될 수 있는 리스크를 최소화하는 것입니다.
시스코 탈로스는 워너크라이 랜섬웨어 피해를 최소화하고자 계속 조사 중에 있습니다. 세부적인 정보를 더 알고 싶으시다면 여기를 클릭해 보세요!
이번 포스팅은 시스코 탈로스 팀에서 작성한 Player 3 Has Entered the Game: Say Hello to 'WannaCry'를 바탕으로 준비되었습니다.
