고대 노르드의 전설에 따르면 요르문간드라는 이름의 거대한 뱀이 너무 커서 세상을 에워싸고 이빨 안에 자신의 꼬리를 집어넣었다고 합니다.
이와 같은 환상적인 전설은 종종 신화에서만 언급되지만 지난 금요일 우리는 실제 디지털 "세계 뱀"의 탄생을 목격했습니다. Health Service 및 스페인의 Telefónica와 같은 다른 지역의 대기업
전문가들은 여전히 이 웜이 어떻게 계속 확산되고 위협에 대처할 수 있는지 알아내려고 노력하고 있지만, 우리는 무슨 일이 일어났는지, 그리고 시스템 손상을 방지하기 위해 어떻게 조치를 취할 수 있는지 잘 알고 있습니다.
무슨 일이 일어났나요?
2017년 5월 12일, 알 수 없는 랜섬웨어에 의한 대규모 사이버 공격이 발생했습니다(랜섬웨어에 대한 자세한 내용은 여기 참조). 결국 WannaCry라는 이름이 붙은 이 공격은 피싱과 로컬 서버 메시지 블록(SMB)을 통한 패치되지 않은 시스템의 악용을 결합하여 150개국에 퍼져 있는 전례 없는 230,000개의 시스템을 감염시키는 데 성공했습니다.
랜섬웨어는 파일을 잠그고 3일 이내에 비트코인으로 $300를 요구하는 화면(아래 참조)을 표시하여 파일에 다시 액세스할 수 있습니다. 그렇지 않으면 가격이 두 배가 됩니다.
이것이 랜섬웨어가 일반적으로 작동하는 방식이지만 더 빠르게 확산되는 약간의 장애가 있었습니다. WannaCry는 파일 및 프린터 공유를 담당하는 SMB의 결함을 이용하여 동일한 서브넷 내의 다른 컴퓨터로 확산될 수 있었습니다. 전체 네트워크를 약탈하는 데는 단 한 대의 컴퓨터만 감염되었습니다. 이것은 기본적으로 NHS 및 기타 대규모 기관에서 감염을 악몽으로 만든 것입니다.
여기서 언급해야 할 또 하나의 주목할만한 사실은 SMB 익스플로잇이 한 달 전에 NSA 해킹 툴킷 유출에서 가져왔다는 사실입니다. 우리는 CIA의 Vault 7 파일의 유사한 유출에 대해 보고했습니다. 여기에는 해커가 유사한 맬웨어를 작성하기 위해 주어진 순간에 사용할 수 있는 다양한 악용 기능도 포함되어 있습니다.
킬 스위치
"MalwareTech"라는 별명을 가진 익명의 보안 연구원이 WannaCry의 코드에서 발견된 도메인을 등록하여 소프트웨어의 확산을 막았습니다. 멀웨어가 컴퓨터에서 실행될 때마다 도메인이 존재하는지 확인합니다(iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com). , 그런데). 등록되면 맬웨어가 연결될 수 있으며 그렇게 하면 즉시 확산이 중지됩니다. 그것을 작성한 해커는 물을 테스트하고 일이 완전히 엉망이 될 경우에 대비한 비상 계획을 갖고 싶어했던 것 같습니다. 이 우연한 순간은 랜섬웨어가 더 큰 피해를 입히는 것을 막았습니다. 적어도 지금은 그렇습니다.
여기에 암울한 진실이 있습니다. 여기에는 해피엔딩이 없습니다. 코드를 디컴파일하면 애플리케이션이 WinAPI 함수 'InternetOpenURLA()' 또는 'InternetOpenA()'를 호출하는 부분을 쉽게 찾을 수 있습니다. 결국에는 킬 스위치 도메인에 연결을 시도하는 스니펫을 편집할 수 있습니다. 이를 위해 비정상적으로 숙련된 프로그래머가 필요하지 않으며, 일부 해커가 모든 사람이 시스템을 패치하기 전에 킬 스위치를 편집한 새 버전의 WannaCry를 만드는 기발한 아이디어를 얻는다면 확산은 계속될 것입니다. 더 진취적인 해커는 지불해야 하는 비트코인 계정을 편집하여 막대한 수익을 올릴 것입니다.
킬 스위치 도메인이 다른 WannaCry 버전은 이미 야생에서 발견되었으며 킬 스위치가 없는 버전이 등장했는지 아직 확인하지 못했습니다.
무엇을 할 수 있나요?
이러한 상황에 비추어 Microsoft는 Windows XP와 같이 지원되지 않는 운영 체제 버전까지 포함하여 패치로 신속하게 대응했습니다. 시스템을 최신 상태로 유지하는 한 SMB 수준의 감염을 경험해서는 안 됩니다. 그러나 피싱 이메일을 열면 여전히 감염될 수 있습니다. 이메일 첨부 파일로 전송된 실행 파일을 열지 마십시오. 조금만 주의를 기울이면 맹공격에서 살아남을 수 있습니다.
해킹을 당한 정부 기관의 경우 미션 크리티컬 시스템에 에어갭만 있다면 이런 일은 일어나지 않을 것입니다.
해커가 최근 미국 보안 유출에서 발견된 익스플로잇을 구현한 후 더 대담한 공격을 기대해야 합니까? 의견을 댓글로 알려주세요!