WannaCry SMB 취약점을 악용한 랜섬웨어 예방 방법(포트차단) – How to block SMB ports

14.05.2017
윈도우 SMB의 취약점을 악용한 WannaCry 랜섬웨어의 확산에 의한 피해가 우려되고 있습니다.

해외에는 이미 공공기관의 피해가 확인되었으며, 치료보다는 예방만이 현재 유일한 방법입니다.
국내에도 주말이 지나 피해가 확산되리라 예상됨에따라, 많은 개인과 기업들이 다음방법을 적용해서 피해를 방지하였으면 합니다.

간단히, WannaCry는 컴퓨터를 벽돌로 만들어 파일과 데이터베이스에 접근이 불가능하게 만든뒤 복구하려면 비트코인으로 돈을 요구하는 랜섬웨어입니다.

특징

1. 윈도우가 설치된 PC 및 서버를 대상으로 감염시키는 네트워크 악성코드 형태

2. 윈도우 SMB 취약점을 이용
- PC 또는 서버가 감염된 경우 네트워크를 통해 접근 가능한 
임의의 IP를 스캔하여 랜섬웨어 악성코드를 확산.

다음은 한국인터넷진흥원 인터넷침해대응센터에서 소개하는 예방방법입니다.


1. PC를 켜기 전 네트워크를 단절시킨 후 파일 공유 기능 해제
2. 네트워크 연결 후 백신의 최신 업데이트를 적용 및 악성코드 감염 여부 검사

o (자동 설치) Windows 자동 업데이트를 통한 업데이트 실시
- [제어판] - [자동 업데이트] 실행 후 “자동”으로 설정
o (수동 설치) Windows Update 카탈로그에서 사용 중인 운영체제 버전에 
맞는 업데이트 파일 수동 설치

3. 윈도우 PC(XP, 7,8, 10 등) 또는 서버(2003, 2008 등)에 대한 최신 
보안 업데이트 수행

여기서는

윈도우즈 10에서 랜섬웨어가 SMB의 취약점을 이용하는 만큼 1번 파일공유기능 해제를 위해서는 윈도우즈 방화벽을 이용해 SMB포트를 차단하는 방법을 알려드리고자 합니다.

* SMB 포트를 차단하면, 관련된 프로그램, 서버(파일,인쇄공유), 분산파일시스템, 브라우저,팩스서비스, 성능로그 및 경고, 등의 기능이 제대로 작동하지 않을 수 있습니다. 하지만, 랜섬웨어의 피해가 의심되시면 일단 차단하여 피해를 예방한후, 다음 작업은 해제가 가능하므로, 향후 보안업체의 동향을 살피는것이 좋아보입니다.

0. 컴퓨터를 키기전 인터넷 연결을 모두 차단합니다. (LAN/WIFI)

첫번째방법: 간단히 SMB 파일 공유 끄기

랜섬보안1.PNG

랜섬웨어보안2.PNG

랜섬웨어보안3.PNG

SMB 1.0/CIFS 파일공유 지원 체크를 해제해 줍니다.

랜섬웨어보안4.PNG

이후 적용하면 재시작을 할지 물어보고, 윈도우즈 업데이트 등이 이루어지고 재부팅됩니다(어느정도 시간이 걸리는군요.)

두번째 방법: 윈도우즈 방화벽을 이용해 인바운드/아웃바운드 SMB 포트 막기

1. 방화벽.PNG

  1. Windows Key + R (실행) 후 firewall.cpl 로 방화벽을 실행시킵니다

2. 방화벽.PNG

2. 고급설정 클릭

3.바운드.PNG

3. 왼쪽에 인바운드 규칙과 아웃바운드 규칙을 만들어야 합니다.

4.인바운드.PNG

4. 인바운드따로 아웃바운드 따로 작업합니다. “새규칙”을 클릭

규칙종류.PNG

5. 포트를 막고 싶기 때문에 “포트”를 선택합니다.

5. 포트설정.PNG

6. TCP 를 선택하고 SMB 관련 포트 (MS문서 참조)

137 이름 서비스 거부
138 데이터그램 서비스 거부
139 세션 서비스 거부
445 세션 서비스 거부

4가지 포트를 지정합니다.

6. 차단.PNG

7. 연결차단선택

7. 설정.PNG

8. 감염경로가 불확실함으로 모든항목에 적용합니다.

8. 설명.PNG

9. 이 규칙을 정의할 이름을 정합니다. (알아볼 수 있게 아무것이나 정해도 됩니다만 이후 해제해야하기때문에 구별할수있게 합니다)

9. 아웃바운드.PNG

10. 아웃바운드도 1~8의 방법으로 적용합니다.

11. 사용함 켜기2.PNG

11. 규칙을 만든후 오른쪽을 보시면 사용안함이니 클릭하여 “사용함”으로 활성화 시켜 줍니다.

10. 사용함 키기.PNG

12. 아웃바운드도 활성화 시켜줍니다.

12. 차단확인.PNG

13. 인바운드/아웃바운드 규칙중에 새로 만든 부분이 잘 적용되었는지 확인합니다.

13. GUI 확인.PNG

14. 프로그램확인.PNG

13. 해당항목을 클릭하면 자세한 부분을 변경/확인 할 수 있습니다.

추가적으로 아래링크를 통해 MS의 보안업데이트해주시길 권해드립니다.
링크로 이동해 해당 언어를 선택해 주세요.

https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx#%ED%95%9C%EA%B5%AD(%ED%95%9C%EA%B5%AD%EC%96%B4)

Windows Server 2003 SP2 x64 (64Bit)

Windows Server 2003 SP2 x86 (32Bit)

Windows XP SP2 x64

Windows XP SP3 x86

Windows XP Embedded SP3 x86

Windows 8 x86

Windows 8 x64

피해를 예방하는데 조금이나마 도움이 되었기를 바랍니다.

Microsoft, ‘특정 방화벽 포트를 차단하여 SMB 트래픽이 회사 환경을 빠져나가지 못하도록 하기 위한 지침’,

https://support.microsoft.com/ko-kr/help/3185535/guidelines-for-blocking-spec

ific-firewall-ports-to-prevent-smb-traffic-from-leaving-the-corporate-environment

KISA, ‘SMB 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법’, https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25705

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s