[ 워너크립터(랜섬웨어) 예방방법 ]

1. PC를 켜기 전 네트워크를 단절시킨 후 파일 공유 기능 해제

2. 반드시 윈도우 최신 보안 업데이트 하기
지엘네트웍스 제공 ( 다운로드 )
마이크로소프트 제공 ( 다운로드 )

“업데이트를 적용할 수 없습니다” 메시지는

1) 필요한 사전 업데이트가 없거나,

2) 이미 설치된 업데이트이거나, 또는

3) 업데이트에 필요한 서비스가 시작되지 않은 경우 발생될 수 있습니다.

 [ 파일공유 기능 해제 방법 ]

▲윈도 시작 메뉴에서 [제어판]→[시스템 및 보안]을 선택한다. / 미래창조과학부 제공

▲[윈도 방화벽]→[고급 설정]을 선택한다. / 미래창조과학부 제공

▲[인바운드 규칙]→[새 규칙]→[포트]를 선댁하고 [다음]을 클릭한다. / 미래창조과학부 제공

▲[특정 로컬 포트]에 [137-139, 445]를 입력한 후 [다음]을 클릭한다. / 미래창조과학부 제공

▲[연결 차단]을 선택하고 [다음]을 클릭한다. / 미래창조과학부 제공

▲[도메인], [개인], [공용] 세 가지 항목에 체크된 것을 확인하고 [다음]을 클릭한다. / 미래창조과학부 제공

▲[이름]을 입력한 후 [마침]을 클릭한다. / 미래창조과학부 제공

[보안 공지]

SMB의 취약점을 악용한 WannaCry 랜섬웨어의 확산에 따라 피해 예방을 위한 사용자의 적극적인 대처 당부

□ 주요 특징
o WannaCry 랜섬웨어는 윈도우가 설치된 PC 및 서버를 대상으로 감염시키는 네트워크 웜(자가 전파 악성코드) 형태이며,

윈도우 SMB 취약점을 이용
o PC 또는 서버가 감염된 경우 네트워크를 통해 접근 가능한 임의의 IP를 스캔하여 랜섬웨어 악성코드를 확산시키는 특징을

보이므로 감염과 동시에 공격에 악용됨

□ 예방 방법
① PC를 켜기 전 네트워크를 단절시킨 후 파일 공유 기능 해제
※ 파일 공유 기능 해제 방법은 KrCERT 보안 공지문[1] 참고
② 네트워크 연결 후 백신의 최신 업데이트를 적용 및 악성코드 감염 여부 검사
③ 윈도우 PC(XP, 7,8, 10 등) 또는 서버(2003, 2008 등)에 대한 최신 보안 업데이트[2] 수행
※ 특히 인터넷에 오픈된 윈도우 PC 또는 서버의 경우 우선적인 최신 패치 적용 권고

□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703
[2] http://krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25704

[ SMB 서버에서 SMB 프로토콜을 활성화 또는 비활성화 하는 방법]

1. Windows 8 및 Windows Server 2012
* 주의: Windows 8 및 Windows Server 2012에서 SMBv2를 비활성화 하면 SMBv3 또한 함께 활성화 또는 비활성화 됩니다. 이 두 프로토콜은 동일한 스택을 공유하므로 문제가 발생할 수 있습니다.

사용자는 Set-SMBServerConfiguration cmdlet를 실행한 후 컴퓨터를 다시 시작할 필요가 없습니다.

• SMB 서버 프로토콜 구성의 현재 상태를 확인하려면 다음 cmdlet을 실행합니다.:
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

• SMB 서버에서 SMBv1을 비활성화 하려면 다음 cmdlet을 실행합니다.:
Set-SmbServerConfiguration -EnableSMB1Protocol $false

• SMB 서버에서 SMBv2 및 SMBv3를 비활성화 하려면 다음 cmdlet을 실행합니다.:
Set-SmbServerConfiguration -EnableSMB2Protocol $false

• SMB 서버에서 SMBv1을 활성화 하려면 다음 cmdlet을 실행합니다.:
Set-SmbServerConfiguration -EnableSMB1Protocol $true

• SMB 서버에서 SMBv2 및 SMBv3를 활성화 하려면 다음 cmdlet을 실행합니다.:
Set-SmbServerConfiguration -EnableSMB2Protocol $true
2. Windows 7, Windows Server 2008 R2, Windows Vista, Windows Server 2008
Windows 7, Windows Server 2008 R2, Windows Vista, Windows Server 2008에서 실행되는 SMB 서버에서 SMB 프로토콜을 활성화 또는 비활성화 하고자 하는 경우 Windows PowerShell 또는 레지스트리 편집기를 사용합니다.

(1) Windows PowerShell 2.0 또는 최신 버전의 PowerShell
• SMB 서버에서 SMBv1을 사용하지 않으려면 다음 cmdlet을 실행합니다.:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

• SMB 서버에서 MBv2 및 SMBv3를 비활성화 하려면 다음 cmdlet을 실행합니다.:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 0 -Force

• SMB 서버에서 SMBv1을 활성화 하려면 다음 cmdlet을 실행합니다.:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 1 -Force

• SMB 서버에서 SMBv2 및 SMBv3를 활성화 하려면 다음 cmdlet을 실행합니다.:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 1 -Force

[참고] 위와 같은 변경 사항을 적용한 경우 컴퓨터를 다시 시작해야 합니다.
(2) 레지스트리 편집기
* 중요: 레지스트리를 수정할 경우 문제가 발생할 수 있으므로 아래 과정을 진행하기 전에 여기를 클릭하여 레지스트리 백업, 복원 및 수정 방법에 대한 내용을 확인해주시기 바랍니다.

• SMB 서버에서 SMBv1을 활성화 또는 비활성화 하려면 다음 레지스트리 키를 구성합니다.:
Registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters Registry entry: SMB1
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled

• SMB 서버에서 SMBv2를 활성화 또는 비활성화 하려면 다음 레지스트리 키를 구성합니다.:
Registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters Registry entry: SMB2
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled

– SMB 클라이언트에서 SMB 프로토콜을 활성화 또는 비활성화 하는 방법
Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012
* 주의: Windows 8 및 Windows Server 2012에서 SMBv2를 비활성화 하면 SMBv3 또한 함께 활성화 또는 비활성화 됩니다. 이 두 프로토콜은 동일한 스택을 공유하므로 문제가 발생할 수 있습니다.

• SMB 클라이언트에서 SMBv1을 비활성화 하려면 다음 명령을 실행합니다.
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

• SMB 클라이언트에서 SMBv1을 활성화 하려면 다음 명령을 실행합니다.
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto

• SMB 클라이언트에서 SMBv2 및 SMBv3을 비활성화 하려면 다음 명령을 실행합니다.
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled

• SMB 클라이언트에서 SMBv2 및 SMBv3을 활성화 하려면 다음 명령을 실행합니다.
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto

[참고]
– 위 과정은 관리자 권한이 있는 명령 프롬프트에서 실행해야 합니다.
– 변경 사항을 적용한 후 컴퓨터를 다시 시작해야 합니다.

위협 달력

수집 대상 : 지엘 고객사 보안장비

수집 로그 : 차세대 방화벽 위협로그

수집 단위 :  최근 7일간

분석 내용 : 탐지 및 차단된 위협요소

시 각 화   :  달력

업데이트 : 매시간 30분 업데이트

목   적      : 위협 현황을 시각화하여 위협 예방 및 차단을 즉각 조치

 

랜섬웨어 달력

상세 분석  ( 인증필요 )

수집 대상 : 지엘 고객사 보안장비

수집 로그 : 차세대 방화벽 위협로그

수집 단위 :  최근 3개월

분석 내용 : 랜섬웨어 발생시킬수 있는 위협요소

시 각 화   :  달력

업데이트 : 매시간 15분 업데이트

목   적      : 랜섬웨어에 주로 이용되는 위협(익스플로잇) 탐지 현황을 시각화하여 고객사 랜섬웨어 피해를 최소화하기 위함

랜섬웨어 주요 감염 경로 :

★New★

워너크립터 ( WanaCryptor ransomware ) = Microsoft Windows SMB Remote Code Execution Vulnerability 파일공유 취약점 

Angler Exploit Kit

RIG Exploit Kit

Neutrino Exploit Kit