1

T 1688-5863 / 010-8678-1397

네트워크
SMB 취약점을 이용한 랜섬웨어 공격 주의 권고 - 137(UDP), 138(UDP), 139(TCP), 445(TCP)

 SMB 취약점을 이용한 랜섬웨어 공격 주의 권고 - 137(UDP), 138(UDP), 139(TCP), 445(TCP)

 

□ 개요
 o SMB 원격코드실행 취약점 악용한 랜섬웨어 악성코드 공격이 전세계적으로 보고되고 있어 주의 필요
 o 악용된 취약점은 Windows 최신 버전에서는 발생하지 않으므로 운영체제에 대한 최신 보안 업데이트 및 버전 업그레이드

    권고
 
□ 주요 내용
 o Microsoft Windows의 SMB 원격코드실행 취약점('17.3.14 패치발표, MS17-010) 악용하여 랜섬웨어 악성코드

    유포
   - 패치 미적용 시스템에 대해 취약점을 공격하여 랜섬웨어 악성코드(WannaCry) 감염시킴
 o 랜섬웨어 악성코드(WannaCry) 특징
   - 다양한 문서파일(doc, ppt, hwp 등), 압축파일, DB 파일, 가상머신 파일 등을 암호화
   - 비트코인으로 금전 요구, Tor 네트워크 사용, 다국어(한글 포함) 랜섬노트 지원
 
□ 영향을 받는 시스템
 o Windows 10
 o Windows 8.1
 o Windows RT 8.1
 o Windows 7
 o Windows Server 2016
 o Windows Server 2012 R2
 o Windows server 2008 R2 SP1 SP2
 
□ 해결 방안
 o MS에서 보안 업데이트 지원을 중단한 Windows Vista 이하 버전을 이용하는 사용자는 Windows 7 이상의 운영체제로

    버전 업그레이드 및 최신 보안패치 적용
 o Windows 최신 보안 패치가 불가능한 사용자는 서비스 영향도를 검토하여 아래와 같은 방법으로 조치 권고
   ① 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단
        ※ SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)
   ② 운영체제 내 설정을 이용하여 모든 버전의 SMB 프로토콜 비활성화
     - (Windows Vista 또는 Windows Server 2008 이상)
         모든 운영 체제 : 시작 -> Windows Powershell -> 우클릭 -> 관리자 권한으로 실행 -> ① set-ItemProperty –Path

                                “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB1 –

                                 Type DWORD –Value 0 –Force ② set-ItemProperty –Path

                                 “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB2 –

                                  Type DWORD –Value 0 –Force 
     - (Windows 8.1 또는 Windows Server 2012 R2 이상)
         클라이언트 운영 체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제 -> SMB1.0/CIFS 파일 공유 지원 체크해제
                                          -> 시스템 재시작 
         서버 운영 체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제 -> 확인 -> 시스템

                                재시작
   ③ (Windows XP 또는 Windows Server 2003 사용자) RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할 수 있도록 설정

        및 기본 포트번호(3389/TCP) 변경
   ④ (Windows Server 2003 이하 사용자) 서버 내 WebDAV 서비스 비활성화
 
□ 용어 정리
 o SMB(Server Message Block) : Microsoft Windows OS에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식
 
□ 기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
 
[참고사이트]
[1] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
[2] https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
[3] https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware

 
 
목록

이 게시물을

공유하기

번호
분류
제목
조회 수
11
네트워크
갑자기 인터넷이 안되거나 불안정 할 때 해볼 수 있는 방법
조회 수: 923
10
네트워크
[인터넷] 크롬 확장 프로그램 간단하게 켜고 끄는 방법 - 컴퓨터수리
조회 수: 506
9
네트워크
윈도우 네트워크의 다른 컴퓨터가 안보일때 햐결 방법
조회 수: 1913
8
네트워크
네트워크 최적화 netsh interface tcp set global autotuninglevel=highlyrestricted
조회 수: 961
7
네트워크
[인터넷] 내가 사용중인 인터넷 서비스 속도 체크 해보자!!
조회 수: 446
6
네트워크
[인터넷] 오페라 브라우저의 VPN기능을 사용해 보세요
조회 수: 355
5
네트워크
[윈도우] 웹브라우저 캐시 삭제 단축키
조회 수: 802
4
네트워크
가입없고 프로그램 설치 없이 하는 인터넷 속도 측정사이트
조회 수: 343
3
네트워크
네트워크 환경 변경 방법 : 개인 네트워크 <-> 공용 네트워크 <-> 식별되지 않는 네트워크
조회 수: 813
2
네트워크
윈도우10 0x80070035 네트워크 파일공유 에러 및 네트워크 목록 표시 안될때 - Windows 10 ver 1903
조회 수: 12014
네트워크
SMB 취약점을 이용한 랜섬웨어 공격 주의 권고 - 137(UDP), 138(UDP), 139(TCP), 445(TCP)
조회 수: 1457
네트워크
갑자기 인터넷이 안되거나 불안정 할 때 해볼 수 있는 방법
조회 수: 923
네트워크
[인터넷] 크롬 확장 프로그램 간단하게 켜고 끄는 방법 - 컴퓨터수리
조회 수: 506
네트워크
윈도우 네트워크의 다른 컴퓨터가 안보일때 햐결 방법
조회 수: 1913
네트워크
네트워크 최적화 netsh interface tcp set global autotuninglevel=highlyrestricted
조회 수: 961
네트워크
[인터넷] 내가 사용중인 인터넷 서비스 속도 체크 해보자!!
조회 수: 446
네트워크
[인터넷] 오페라 브라우저의 VPN기능을 사용해 보세요
조회 수: 355
네트워크
[윈도우] 웹브라우저 캐시 삭제 단축키
조회 수: 802
네트워크
가입없고 프로그램 설치 없이 하는 인터넷 속도 측정사이트
조회 수: 343
네트워크
네트워크 환경 변경 방법 : 개인 네트워크 <-> 공용 네트워크 <-> 식별되지 않는 네트워크
조회 수: 813
네트워크
윈도우10 0x80070035 네트워크 파일공유 에러 및 네트워크 목록 표시 안될때 - Windows 10 ver 1903
조회 수: 12014
네트워크
SMB 취약점을 이용한 랜섬웨어 공격 주의 권고 - 137(UDP), 138(UDP), 139(TCP), 445(TCP)
조회 수: 1457

LOGIN

로그인

회원가입

SEARCH

MENU NAVIGATION