[주의] 국내에 확산되고 있는 SMB취약점(MS17-010) 공격시도

2017년 5월 12일 스페인, 영국, 러시아 등을 시작으로 전 세계를 ‘랜섬웨어 공포’로 몰아넣었던 ‘워너크립터’(일명 워너크라이) 사태가 발생한지 대략 2년이라는 시간이 지났다. 당시 전 세계 150여개국에서 최소 30만대 이상의 컴퓨터 시스템을 감염한 것으로 알려졌으며, 국내에서는 21곳의 기관 및 기업이 피해를 입은 것으로 보고되었다. 피해 시스템들은 모두 SMB(포트번호: 445) 서비스를 사용하고 있었으며, 2017년 3월에 발표된 SMB 취약점(MS17-010) 보안 업데이트를 적용하지 않았다. 2년이라는 시간이 흐르는 동안 ‘워너크립터’라는 랜섬웨어는 사람들의 머릿속에서 잊혀지고 있지만, 당시 사용된 SMB 취약점을 통한 공격은 ‘코인마이너’라는 암호화폐 채굴형 악성코드에서 활발하게 사용되고 있어 국내 사용자들의 주의가 요구된다.

안랩에서는 해당 MS17-010 취약점 대응으로 "lsass.exe" 시스템 프로세스에 의한 악성파일 다운로드 시도를 행위기반으로 탐지하고 있으며, 아래의 [그림-1]은 2019년 1월에 행위탐지 리포트 수를 나타낸다.

[그림-1] MS17-010 취약점 행위탐지 리포트 (2019년 1월)

평상시와 달리 1월 10일자에 리포트 수가 6,044건으로 급증한 것을 알 수 있으며, 실제로 해당 기간에 국내 POS 장비업체에 피해가 발생였고 취약점 패치가 적용되지 않은 시스템으로 확인되었다.

아래의 [그림-2]는 2019년 2월에 행위탐지 리포트 수를 나타낸다. 1월에 비해서는 줄어든 추세이나 꾸준하게 공격이 지속되는 것을 알 수 있으며, 2월 21일자에 312건이 가장 높은 리포트 수를 보여준다. 해당 기간에도 국내 POS장비 업체에 대한 공격시도가 확인되었다.

[그림-2] MS17-010 취약점 행위탐지 리포트 (2019년 2월)

아래의 [그림-3]은 2019년 3월에 행위탐지 리포트 수를 나타낸다. 올 해 들어 가장 많은 감염자가 확인되었으며, 3월 12일자에 12,667건의 탐지 수를 나타낸다. 해당 기간에는 POS장비업체가 아닌 국내 다수의 기업을 대상으로 공격이 이루어진 것이 확인되었고, MS17-010 취약점에 대한 보안 업데이트가 적용되지 않은 시스템이 여전히 많은 것을 알 수 있다.

[그림-3] MS17-010 취약점 행위탐지 리포트 (2019년 3월)

안랩에서는 2019년 국내에서 발견되고 있는 SMB취약점(MS17-010) 공격에 사용된 기법이 2017년 워너크라이 랜섬웨어에서 사용된 이터널블루(Eternalblue)가 아닌 이터널시너지(EternalSynergy)라는 또 다른 NSA (U.S. National Security Agency) 익스플로잇 공격기법이 사용된 것으로 확인되었다. 

V3 기업용 제품에서는 변형된 SMB 취약점 공격에 대해 아래와 같이 IPS 탐지룰을 배포하였으며, 공격자와 피해자 모두에서 취약점 공격패킷이 사전에 차단됨을 알 수 있다. 차단화면 왼쪽이 공격자 시스템에서의 차단화면이며, 오른쪽은 피해자 시스템에서의 차단을 나타낸다.

2008년에도 SMB취약점(MS08-067)을 통해 전파기능을 갖는 컨피커(Conficker) 이름의 웜(Worm)이 국내에 많은 피해를 입히고 수 년 동안 끊임없이 공격이 지속된 점을 기억해야 한다. 그만큼 국내에는 SMB 서비스를 이용하는 시스템이 많고 보안 업데이트에 취약한 시스템을 운영하는 곳이 많은 상황이다. 피해를 예방하기 위해서는 마이크로소프트(Microsoft) Windows 운영체제의 EternalBlue SMB(Sever Message Block, MS17-010 취약점)과 관련된 아래의 취약점 패치를 적용하는 작업이 필요하다.

[SMB 취약점 패치]

- https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010

V3 제품에서는 관련된 파일들을 아래와 같이 진단하고 있다.

- Win-Trojan/Trickster.Exp (V3: 2019.03.20.06)