보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

WannaCry Ransomware

2017.07.04

20,357


 

서비스사업본부 보안분석팀 윤승균, 김유진, 송채린

 

 

1. 개요

 

지난 5월 12일, Shadow Brokers에 의해 공개된 취약점으로 시작된 워너크라이(이하 WannaCry)가 전세계를 강타했다. WannaCry는 미국 NSA에서 SMB 취약점을 이용하여 개발한 공격 도구를 Shadow Brokers가 공개하면서 악용된 것으로, 2017년 5월 16일 기준으로 러시아와 유럽국가, 인도, 미국, 대만 등 세계 150개국 PC 30만대를 감염시킨 것으로 밝혀졌다.

 

이처럼 WannaCry가 일반 랜섬웨어에 비해 크게 이슈화된 이유는 SMB취약점에서 찾을 수 있다. WannaCry는 네트워크에 연결된 상태이면 감염될 수 있는 웜형태의 전파방식이 내재되어 있는데 SMB취약점이 존재하는 다른 PC로 네트워크를 활용하여 전파된다.

 

WannaCry 유포 초기에 영국의 보안전문가가 유포를 제어할 수 있는 ‘Kill Switch’를 발견하여 악성코드의 확산을 일부 지연시킬 수 있었으나, WannaCry2.0으로 변종이 발생함에 따라 여전히 WannaCry로 인한 위협은 지금도 지속되고 있다. 이에 따라 이번 호에서는 WannaCry에 대해서 분석해보고 대응방법에 대해서 알아보고자 한다.

 

 

 

[그림 1] WannaCry 감염 화면

 

 

1) WannaCry 피해 현황

 

 

[그림 2] WannaCry 영향 받은 국가 (출처: 카스퍼스키)

 

WannaCry 감염으로 인한 피해사례는 세계 곳곳에서 발견되었다. 대표적인 감염사례로 영국 국민보건서비스(NHS) 산하 병원 40여개소가 피해를 입어 진료에 차질을 빚었으며, 이웃나라 독일에서는 철도 시스템이 공격을 받아 일부 모니터에 랜섬웨어 감염화면이 노출되었다. 가장 큰 피해를 입었다고 알려진 러시아는 여러 공공기관이 감염되었고, 그 중 정부기관인 내무부 PC도 포함된 것으로 알려졌다. 

 

일본에서는 센다이역 JR 히가시니혼측 열차 지연 안내판 감염이나 대형 할인매장의 ‘이온 몰’ 감염 등 철도나 민간 기업까지 피해가 속출했다. 중국은 공항, 출입국관리국을 비롯하여 각종 공공기관은 물론, 학교 공용 컴퓨터와 ATM까지 감염되는 등 러시아 못지 않게 피해가 상당히 컸다.

 

국내에서도 CGV 영화관에서 일부 상영관 광고 서버가 감염되어 영화 시작 전 랜섬웨어 화면이 노출되는 등 전세계 적으로 공공, 민간, 의료 등 다양한 분야에서 피해사례들이 보고되었다.

 

 

2) 영향 받는 시스템

 

Microsoft Windows XP Embedded SP3 x86

Microsoft Windows XP Sp3 X86

Microsoft Windows XP Sp2 X64

Microsoft Windows Vista x64 Edition Service Pack 2 

Microsoft Windows Vista Service Pack 2

Microsoft Windows Server 2016 for x64-based Systems 

Microsoft Windows Server 2012 R2 

Microsoft Windows Server 2012 

Microsoft Windows Server 2008 R2 for x64-based Systems SP1

Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1

Microsoft Windows Server 2008 for x64-based Systems SP2

Microsoft Windows Server 2008 for Itanium-based Systems SP2

Microsoft Windows Server 2008 for 32-bit Systems SP2

Microsoft Windows Server 2003 x86 SP2

Microsoft Windows Server 2003 x64 SP2

Microsoft Windows RT 8.1

Microsoft Windows 8.1 for x64-based Systems 

Microsoft Windows 8.1 for 32-bit Systems 

Microsoft Windows 8 X86

Microsoft Windows 8 X64

Microsoft Windows 7 for x64-based Systems SP1

Microsoft Windows 7 for 32-bit Systems SP1

Microsoft Windows 10 Version 1607 for x64-based Systems 

Microsoft Windows 10 Version 1607 for 32-bit Systems 

Microsoft Windows 10 version 1511 for x64-based Systems 

Microsoft Windows 10 version 1511 for 32-bit Systems 

Microsoft Windows 10 for x64-based Systems 

Microsoft Windows 10 for 32-bit Systems 

 

 

2. WannaCry의 특징

 

WannaCry는 웜과 랜섬웨어 모듈로 이루어져 일명 랜섬웜(Ransomworm)이라고 불린다. 랜섬웨어 모듈은 보통의 랜섬웨어와 같이 감염된 시스템의 파일을 암호화하며 웜 모듈에 의해 구동된다. 웜 모듈은 Windows SMB 서버 원격 코드 실행 취약점(CVE-2017-0144,0145)을 이용하여 다른 시스템으로 mssecsvc.exe 파일을 전파한다.

 

 

 

[그림 3] WannaCry 동작 과정

 

 

감염된 시스템으로부터 전파된 mssecsvc.exe는 공격자가 의도한 도메인(Kill Switch)으로 접속 시도한다. 해당 도메인으로부터 응답 값을 받지 못하면 mssecsvc2.0 서비스가 실행된다. 

 

mssecsvc2.0 서비스는 공격자에게 지불할 비트코인 주소와 파일 복호화에 필요한 KEY를 전달받기 위해tor.exe 파일을 다운로드하며, 통신이 가능한 IP 주소와 활성화된 TCP 445포트를 찾는다. 이 과정이 끝나면 SMB 취약점을 이용하여 악성코드를 다른 시스템으로 전파한다.

 

또한, t.wnry에 의해 시스템에 존재하는 파일들을 각각 AES 방식으로 암호화하고 파일 암호화에 사용한 KEY를 RSA 방식으로 다시 암호화한다. 마지막으로 암호화가 끝난 원본 파일을 taskdl.exe을 이용해 삭제한다. 

 

 

1) SMB(Server Message Block) 취약점

 

SMB 프로토콜은 사용자가 원격 서버에 있는 파일이나 기타 리소스에 액세스할 수 있도록 네트워크 파일 공유 서비스를 제공하는 프로토콜로 원격 서버의 파일을 읽거나 수정할 수 있다. 

 

SMB 취약점은 대상 시스템에 조작된 패킷을 보내 임의의 코드가 실행되는 것으로 SMB 통신이 가능할때 공격자가 다수의 SMB 요청하여 대상 시스템에 메모리 충돌을 발생시킨다. 메모리 충돌로 인해 시스템이 재부팅되면 SMB 요청(공격자가 원하는 코드)과 부팅 명령어가 윈도우 커널에서 함께 실행되어 대상 시스템에 악성코드가 주입된다.

 

 

2) Kill Switch

 

Kill Switch는 대상 시스템에서 도메인(아래 참고) 접속 시도 시 해당 도메인의 존재 여부로 악성코드를 전파하거나 멈출 수 있도록 공격자가 악성코드에 추가한 기능이다. 여기서 Kill Switch로 발견된 도메인은 정상 접속이 가능해야 악성코드에 감염되지 않으므로 해당 도메인을 차단하지 않도록 주의해야 한다.

 

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

 

3) tor.exe

 

Worm module에 첨부된 tor 다운로드 경로(아래 참고)를 참조하여 tor.exe 파일을 다운로드 한다. 

 

www.dropbox.com/s/yw3rvyotvb4gcnh/t1.zip?dl=1

dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip

 

다운로드가 완료되면 TaskData 디렉터리가 생성되고, 하위 경로에 tor.exe 파일과 tor.exe 실행에 필요한 9개의 dll 파일이 같이 생성된다. tor.exe 파일은 프로세스 taskhosts.exe로 변조되어 실행되고 공격자와 피해 시스템간의 통신을 위해 tor 서버와 네트워크 접속을 시도한다. 

 

 

 

[그림 4] tor관련 생성된 파일

 

 

3. WannaCry 상세 과정

 

1) Worm module

 

 

 [그림 5] WannaCry 전파 과정

 

 

네트워크 스캔 

네트워크 스캔을 위해 WSAStartup() API를 사용하여 윈도우 소켓 설정을 초기화한다. 설정이 완료되면 두 개의 스레드를 생성하여 내부 네트워크와 외부 네트워크를 스캔한다. 

 

 

 [표 1] WSAStartup() API 구조

 

내부 네트워크의 경우, GetAdaptersInfo() API를 통해 내부 네트워크 대역에 존재 가능한 모든 IP주소를 목록화한다. 수집된 IP 목록 가운데 통신 가능한 IP와 445 포트가 활성화되어 있는지 확인한다.

 

 

[표 2] GetAdaptersInfo() API 구조

 

외부 네트워크의 경우, CryptGenRandom() API를 이용하여 IP를 무작위로 생성하여 해당 IP의 445포트 활성화 여부를 확인한다.

 

 

[표 3] CryptGenRandom() API 구조

 

 

SMB 취약점 공격 

활성화된 445 포트로 TCP 연결을 위한 3-WAY handshaking 과정을 수행한다. 

 

 

 

[그림 6] TCP 연결 과정

 

TCP 연결이 성공하면 SMB 세션을 맺기 위해 익명의 사용자 계정으로 세션 연결 시도한다.

 

 

 

[그림 7] 세션 연결 과정

 

사용자 인증에 성공하면 SMB 프로토콜을 이용하여 네트워크 기본 공유인 IPC$*에 접속 시도한다.

 

 

 

[그림 8] IPC$ 접속 시도

 

 

* Windows에 내장된 기능인 IPC$는 SMB 프로토콜을 사용하는 네트워크 기본 공유로써 파일과 프린트 자원을 공유한다.

 

연결된 IPC$ 경로로 임의의 Data 요청과 함께 공격자가 원하는 코드(DoublePulsar*)를 삽입하여 SMB 요청 메시지(Multiplex ID** : 81)를 전송한다. 코드가 실행되면 Multiplex ID값이 81인 trans2_response 패킷이 수신되고 다른 시스템으로 WannaCry 악성코드(mssecvc.exe)를 전파한다. 

 

 

 

[그림 9] Multiplex ID 81 

 

* 더블펄서(DoublePulsar)는 미국 NSA에서 개발한 것으로 대상 시스템에 악성 DLL이나 다른 악성코드를 주입하기 위한 백도어 기능이 있다. 

** Multiplex ID(MID)는 한 프로세서에서 다중 요청 시 각 요청을 구별하기 위한 식별자 ​ 

 

 

2) Ransom module

 

Worm module에 의해 mssecsvc.exe가 전파되어 mssecsvc2.0 서비스가 실행되면 본격적으로 감염 시스템에 존재하는 파일들을 암호화하기 시작한다.

 

 Tasksche.exe 변조

mssecsvc2.0 서비스는 메모리 상에 적재된 Ransomware module의 악성코드를 복사하여 감염 시스템에 존재하는 기존 C:Windowstasksche.exe 에 덮어쓴다. 따라서 기존 tasksche.exe 파일은 제 기능을 상실하고 새로운 악성코드로 변조되어 아래 3개의 경로 중 한 곳에 저장된다.  

 

C:Windowstasksche.exe

C:intel<랜덤한 디렉터리명>tasksche.exe

C:ProgramData<랜덤한 디렉터리명>tasksche.exe

 

 

Tasksche.exe 실행 

변조된 tasksche.exe가 실행되면 시스템의 레지스트리 값을 새로 생성 또는 변경하여 시스템이 재부팅되어도 악성코드가 동작 가능하도록 설정한다. 

 

 

레지스트리 경로

속성

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

WindowsCurrentVersionRun

Microsoft Update

Task Scheduler

[PATH_TO_RANSOMWARE]

[RANSOMWARE_EXECUTABLE] /r

zirjvfpqmgcm054

C:Intelzirjvfpqmgcm054

tasksche.exe

HKEY_LOCAL_MACHINESOFTWAREWannaCryptor

wd

[PATH_TO_RANSOMWARE]

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

Serviceszirjvfpqmgcm054Security

Security

[HEXADECIMAL VALUE]

HKEY_CURRENT_USERControl PanelDesktop

Wallpaper

%UserProfile%Desktop

!WannaCryptor!.bmp

 

[표 4] 변경된 레지스트리 정보

 

 

레지스트리 변경이 완료되면 악성코드 동작에 필요한 설정파일, 파일 암호화 도구, 비트코인을 지불할 주소 등이 추가적으로 생성된다. 먼저 c.wnry가 참조되어 시스템 드라이브의 숨김파일 설정, 드라이브 모든 사용 권한 설정 등 파일 암호화 하기 위한 작업들을 수행한다. 

 

 

파일명

MD5 hash

설명

c.wnry

ae08f79a0d800b82fcbe1b43cdbdbefc

WannaCry관련 설정파일

b.wnry

c17170262312f3be7027bc2ca825bf0c

WannaCry 이미지 파일

t.wnry

5dcaac857e695a65f5c3ef1441a73a8f

파일 암호화 도구

u.wnry

7bf2b57f2a205768755c07f238fb32cc

파일 복호화 도구

taskse.exe

8495400f199ac77853c53b5a3f278f3e

u.wnry를 실행하는 도구

taskdl.exe

4fef5e34143e646dbf9907c4374276f5

* .WNCRYT 파일 삭제 도구

r.wnry

3e0020fc529b1c2a061016dd2469ba96

랜섬 노트 문구

s.wnry

ad4c9de7c8c40813f200ba1c2fa33083

Tor 파일이 포함 된 Zip 파일

 

[표 5] tasksche.exe 실행 시 생성되는 파일

 

 

t.wnry 실행 

암호화 사전 작업을 마치면 t.wnry 파일을 실행하여 시스템에 존재하는 파일을 암호화하기 시작한다. 감염 시스템에 존재하는 물리적 드라이브와 이동식 저장 장치 스캔을 통해 암호화 가능한 파일들을 찾고 암호화가 끝난 파일은 .WNCRY로 확장자명을 변경하여 저장한다. 

 

 

 [표 6] 암호화되는 파일의 확장자명

 

 

파일 암호화 과정 

WannaCry의 암호화는 크게 4단계로 나뉘며 각 단계마다 서로 다른 암호화 KEY를 사용한다. 1단계에서 사용한 AES 암호화 KEY(비밀키)는 각 파일마다 고유하게 생성된다. 2단계 RSA 암호화 KEY는 00000000.pky(로컬_공개키) 파일 형태로 생성되며 3단계 RSA 암호화 KEY는 공격자가 생성하여 rw_public.bin(공격자_공개키) 파일 형태로 감염 시스템에 삽입된다. 

 

 

 

[그림 10] WannaCry 암호화 과정

 

 

[1단계]

정상파일을 암호화하기 전, get_aes_key() 함수를 이용하여 암호화에 사용할 비밀키를 생성하고 AES 방식으로 파일을 암호화한다. 파일 암호화가 끝나면 [그림 4-12]와 같이 WannaCry 시그니처, 암호화에 사용된 KEY에 대한 정보가 파일헤더에 삽입된다. 

 

 

 

[그림 11] 암호화된 파일 헤더 정보

 

 

[2단계]

파일 암호화가 끝난 후, 암호화에 사용된 비밀키는 시스템에 존재하는 로컬_공개키(00000000.pky)를 이용하여 2048bit RSA 방식으로 암호화한다. 

 

[3단계]

2단계에서 사용된 로컬_공개키(00000000.pky)와 한 쌍인 로컬_개인키(00000000.dky)는 공격자_공개키(rw_public.bin)를 이용하여 다시 한번 2048bit RSA 방식으로 암호화한다. 이 때 암호화된 로컬_개인키는 00000000.eky 파일 형태로 감염 시스템에 저장된다.  

 

[4단계]

감염 시스템의 모든 파일 암호화가 끝나면 암호화된 파일들의 전체 크기, 암호화에 사용된 키 등의 정보들이 00000000.res 파일에 따로 저장되고 암호화되기 이전의 원본 파일은 taskdl.exe에 의해 시스템에서 삭제된다.  

 

 

 

[그림 12] 암호화에 사용된 KEY

 

 

AES 암호화 방식

AES 암호화 방식은 대칭형 암호화 방식으로 암호화 및 복호화에 동일한 KEY(비밀키)를 사용한다. 비대칭형 암호화 방식에 비해 암/복호화 처리속도가 빠르고 암호문의 크기가 증가하지 않는 장점이 있지만, 암호화에 사용한 비밀키를 직접 전달하기 때문에 sniffing과 같은 공격에 매우 취약하다.

 

RSA 암호화 방식

RSA 암호화 방식은 암호화에 사용된 KEY(공개키)와 복호화 KEY(개인키)가 서로 다른 KEY로써 대칭형 암호화 방식에서 KEY가 직접 노출되는 문제를 보완한 대표적인 비대칭형 암호화 방식이다. 공개키와 개인키는 하나의 쌍으로 공개키로 암호화된 문서는 무조건 해당 공개키와 한 쌍을 이루는 개인키로만 복호화를 할 수 있다. ​

 

 

섀도 복사본(Shadow Copies) 삭제 

WannaCry는 파일 암호화가 끝나면 cmd 명령어를 통해 감염 시스템에 존재하는 섀도 복사본*을 모두 삭제하여 피해자가 시스템을 감염 이전의 상태로 복구하지 못하도록 차단한다.  

 

 

 

[그림 13] 섀도 복사본 삭제 명령어

 

 

 

[그림 14] 삭제된 섀도 복사본 확인

 

 

* 섀도 복사본(Shadow Copies)이란 Windows 내장된 기능으로, 특정한 시간의 파일, 폴더의 복사본이나 스냅샷을 말한다.

 

 

WannaCry 복호화 과정

피해자가 tor 네트워크를 통해 c.wnry에 나와있는 주소로 비트코인과 함께 암호화된 파일들의 정보가 들어있는 00000000.res 파일과 해커_공개키로 암호화된 로컬_개인키(00000000.eky) 파일을 공격자에게 전달한다. 

 

공격자는 계좌의 비트코인을 확인하고 피해자 시스템에 해당하는 복호화된 로컬_개인키(00000000.dky)를 제공하고 피해자는 복호화된 로컬_개인키(00000000.dky)를 이용하여 자신의 시스템에 암호화된 파일을 복호화한다. 

 

 

 

[그림 15] WannaCry 복호화 과정

  

 

사용한 tor 네트워크 주소


57g7spgrzlojinas.onion

76jdd2ir2embyv47.onion

cwwnhwhlz52maqm7.onion

gx7ekbenv2riucmf.onion

sqjolphimrr7jqw6.onion

Xxlvbrloxvriy2c5.onion

xxlvbrloxvriy2c5.onion

 

 

4. 대응방안

 

1) SMB 프로토콜 비활성화 및 관련 포트 차단(서비스 영향도 고려 必)

 

Windows 8.1 또는 Windows Server 2012 R2이하의 운영체제 SMB를 비활성화

 

  ① 바탕화면 또는 제어판에서 [네트워크 연결] 실행

  ② 현재 인터넷에 접속된 네트워크 장치의 [속성R] 선택

  ③ [Microsoft Networks용 클라이언트], [Microsoft 네트워크용 파일 및 프린터 공유] 항목 체크 해제

 

 

 

[그림 16] SMB 프로토콜 비활성화 항목

 

 

Windows 8.1 이상의 클라이언트 운영체제의 SMB를 비활성화(시스템 재시작 必)

 

  ① 제어판에서 [프로그램 및 기능] 실행

  ② [Windows 기능 켜기/끄기] 선택

  ③ [SMB1.0/CIFS 파일 공유 지원] 항목 체크 해제

 

Windows Server 2012 R2 이상의 서버 운영체제의 SMB를 비활성화(시스템 재시작 必)

 

  ① 서버 관리자에서 [프로그램 및 기능] 실행

  ② [관리] 선택

  ③ [SMB1.0/CIFS 파일 공유 지원] 항목 체크 해제

 

네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트(TCP 139, TCP 445) 차단

     - 차단 방법 참고 : KISA 공식 블로그 (http://blog.naver.com/kisa118/221005486597)

 

 

2) Snort 탐지 설정 

 

 

번호

설정 내용

1

▶ ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response

alert smb $HOME_NET any -> any any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"; flow:from_server,establishedfast_patternflowbits:isset,ETPRO.ETERNALBLUEclasstype:trojan-activity

2

▶ ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)

alert smb any any -> $HOME_NET any (msg:”ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)”; flow:to_server,establishedfast_patternflowbits:set,ETPRO.ETERNALBLUEflowbits:noalertclasstype:trojan-activity

 

[표 7] Snort 탐지 설정 내용

 

 

3) Yara Rule 탐지 설정 

  

번호

설정 내용

1

▶ wannacry_1 : ransom

rule wannacry_1 : ransom {

meta:

author = “Joshua Cannell

description = “WannaCry Ransomware strings”

weight = 100

date = “2017-05-12”

 

Strings:

$s1 = “Ooops, your files have been encrypted!” wide ascii nocase

$s2 = “Wanna Decryptor” wide ascii nocase

$s3 = “.wcry” wide ascii nocase

$s4 = “WANNACRY” wide ascii nocase

$s5 = “WANACRY!” wide ascii nocase

$s7 = “icacls . /grant Everyone:F /T /C /Q” wide ascii nocase

 

Condition:

any of them

}

 

[표 8] Yara Rule 탐지 설정 내용_1

 

 

번호

설정 내용

1

▶ wannacry_1 : ransom

rule wannacry_1 : ransom {

meta:

author = “Joshua Cannell

description = “WannaCry Ransomware strings”

weight = 100

date = “2017-05-12”

 

Strings:

$s1 = “Ooops, your files have been encrypted!” wide ascii nocase

$s2 = “Wanna Decryptor” wide ascii nocase

$s3 = “.wcry” wide ascii nocase

$s4 = “WANNACRY” wide ascii nocase

$s5 = “WANACRY!” wide ascii nocase

$s7 = “icacls . /grant Everyone:F /T /C /Q” wide ascii nocase

 

Condition:

any of them

}

 

[표 9] Yara Rule 탐지 설정 내용_2

 

 

4) Windows 최신 업데이트

 

MS 업데이트 카탈로그 사이트를 통해 버전 업그레이드 및 최신 보안패치 적용

     (http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)

 

 

영향 받는 운영체제 버전

보안 업데이트명

Microsoft Windows Vista Service Pack 2

3177186

Microsoft Windows Vista x64 Edition Service Pack 2

3177186

Microsoft Windows Server 2008 for 32-bit Systems SP2

3177186

Microsoft Windows Server 2008 for x64-based Systems SP2

3177186

Microsoft Windows Server 2008 for Itanium-based Systems SP2

3177186

Microsoft Windows 7 for 32-bit Systems SP1

3212646(월별롤업)

Microsoft Windows 7 for x64-based Systems SP1

3212646(월별롤업)

Microsoft Windows Server 2008 R2 for x64-based Systems SP1

3212646(월별롤업)

Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1

3212646(월별롤업)

Microsoft Windows 8.1 for 32-bit Systems

3205401(월별롤업)

Microsoft Windows 8.1 for x64-based Systems

3205401(월별롤업)

Microsoft Windows Server 2012

3205409(월별롤업)

Microsoft Windows Server 2012 R2

3205401(월별롤업)

Microsoft Windows RT 8.1

3205401(월별롤업)

Microsoft Windows 10 for 32-bit Systems

3210720

Microsoft Windows 10 for x64-based Systems

3210720

Microsoft Windows 10 version 1511 for 32-bit Systems

3210721

Microsoft Windows 10 version 1511 for x64-based Systems

3210721

Microsoft Windows 10 Version 1607 for 32-bit Systems

3213986

Microsoft Windows 10 Version 1607 for x64-based Systems

3213986

Microsoft Windows Server 2016 for x64-based Systems

3213986

 

[표 10] 운영체제 별 보안 업데이트 정보

 

 

5. Question and Answer 

 

1) 이번 WannaCry의 주 타깃 운영체제는 정말 Windows XP였을까?

 

Windows XP를 주로 사용하고 있다고 알려진 영국의 NHS(National Health Service)가 WannaCry에 감염되면서 이번 WannaCry의 주 타겟 운영체제가 Windows XP라고 예측했으나, 연구결과 Windows XP보다는 Windows 7이 더 많이 감염된 것으로 드러났다.

 

또한, 실제 NHS에서는 전체 5%의 PC만이 Windows XP를 사용하고 있었으며 대다수의 PC는 Windows 7으로 업그레이드 한 상태였던 것으로 밝혀졌다. 

 

 

[그림 17] OS별 감염 통계 (출처 : 카스퍼스키)

 

 

2) 다른 국가와 달리 우리나라는 왜 WannaCry 감염 피해가 적었을까?

 

국내에서는 지난 2004년 5월 PC나 서버에 로그인한 유저의 인증을 담당하는 프로그램인 LSASS 취약점을 이용한 악성코드인 Sasser 웜 바이러스가 유행했었다. 이 웜은 랜덤하게 선택된 IP 주소의 TCP 445포트로 접속을 시도하고 전파된다. 

 

당시, 보안 조치로 Sasser 웜 바이러스에서 사용하는 포트 TCP/445, TCP/5554, TCP/9996 등에 대한 모니터링을 강화했다. 따라서 TCP 445포트로 전파되는 WannaCry 감염 피해가 적었을 것이다. 

 

 

3) 기존 WannaCry와 변종 WannaCry2.0의 차이점은 무엇인가?


최초 유포된 WannaCry(1세대)가 영국 연구원에 의해 Kill Switch가 발견됨으로써 전파가 지연되자 같은 공격자에 의해 Kill Switch 도메인 주소를 변경(2세대)하여 유포되었다. 또다른 공격자에 의해 변형된 Wanna-Cry2.0(3세대)은 기존 1-2 세대와는 달리 Kill Switch 도메인만 등록하면 전파가 차단되는 기능을 제거하여 전세계에 다시 유포됐다. 

 

 

 

[그림 18] WannaCry 변천 과정

 

 

4) 왜 RSA 방식이 아닌 AES 방식으로 파일을 암호화 하였는가?

 

AES 암호화 방식은 RSA 암호화 방식에 비해 암/복호화 처리 속도가 빠르고 암호문의 크기가 증가하지 않아 암호화 전후 용량의 변화가 미비하여 디스크 용량부족으로 인한 암호화가 불가한 상황을 초래하지 않는다. 따라서 RSA 암호화 방식보다는 AES 암호화 방식으로 파일 암호화하는 것이 더욱 효율적이기 때문이다.

 

 

6. 참고자료

 

[1] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

[2] https://www.symantec.com/security_response/print_writeup.jsp?docid=2017-051310-3522-99

[3] https://www.trustwave.com/Resources/SpiderLabs-Blog/WannaCry--We-Want-to-Cry/

[4] http://blog.acalvio.com/wannacry-ransomware-analysis-lateral-movement-propagation

[5] http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html

[6] https://www.fireeye.com/blog/threat-research/2017/05/wannacry-malware-profile.html

[7] http://www.dailysecu.com/?mod=news&act=articleView&idxno=20708

[8] https://securelist.com/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/