업데이트 : 2017 년 10 월 10 일
2017 년 5 월 13 일경 랜섬웨어 토토사이트 블랙티비 (토토사이트 블랙티비pt, Wanacrypt0r, Wcrypt, Wcry)로 인해 감염 활동이 전 세계적으로 발생하고 있습니다. 토토사이트 블랙티비는 Windows SMBV1의 취약성을 악용하는 네트워크 웜 유형의 랜섬웨어로 원격 코드 실행 (MS17-010, CVE-2017-0145)이 다른 취약한 Windows 시스템을 감염시킬 수 있습니다.
Ransomware 토토사이트 블랙티비는 네트워크 웜 유형 기능 (그림 1)을 갖춘 랜섬웨어이며 (그림 1), 암호 해독과 대가로 돈을 암호화하고 돈을 요청하지만 5 월 16 일 현재 정보 누출을 일으키는 조치는보고되지 않았습니다.
(1) 작동 점검 활동
토토사이트 블랙티비는 작동 확인 사이트 www [.] iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com 등에 액세스가 성공하면 활동이 중지됩니다. 이 URL 액세스는 작동을 멈추기 때문에 킬 스위치라고도합니다. 5 월 15 일 초 부터이 킬 스위치를 비활성화 한 변형에 대한보고가있었습니다.
(2) 생성 활동
스프레드 및 몸값 활동을 수행하는 데 필요한 공격 자원으로 새로운 exes 및 기타 리소스를 만듭니다.
(3) 확산 활동
SMB1 취약성 공격을 통해 자체 정리를 시도합니다. 자가 증식 프로세스는 감염 될 시스템과의 SMB1 연결을 설정하는 것을 포함합니다. 그런 다음 MS17-010 취약점의 존재를 확인하고 공격 페이로드를 준비하고 백도어 더블 펄서가 있는지 확인하고 공격 페이로드를 실행하여 완료됩니다.
그림 1 : 감염 활동 개요
(4) 몸값 활동
Ransom Activity는 파일을 암호화하고 파일 확장을 wncry로 변경합니다. 또한 그림 2에 표시된 위협적인 편지 대화가 표시됩니다.
그림 2 : 위협 문자 대화
2017 년 5 월 13 일
그림 3 : Wcrypt 트래커 (오프라인 + 시간당 온라인 IP 주소 수) (출처 : malwaretech.com)
2017 년 5 월 17 일
다음 경고는 다양한 장소에서 제공됩니다.
정기적 인 백업을 가져 와서 오프라인으로 저장하여 암호화 된 경우 파일 복구를 준비하십시오.
Microsoft는 토토사이트 블랙티비가 Windows 7, Windows Server 2008 및 이전 취약한 OS를 목표로하고 있다고보고합니다.
Windows Vista, Windows Server 2008, Windows Server 2008 R2, Wind
3 월 마이크 소프트웨어에서 출시 된 보안 업데이트 MS17-010 적용.
Windows Server 2003, Windows XP, Windows XP Embedded, Windows 8
마이크 소프트웨어에서 비상 릴리스 보안 업데이트를 적용하십시오.
보안 소프트웨어를 설치하고 정의 파일을 최신 상태로 유지하십시오.
Symantec의 엔드 포인트 보호가 취약성 (SMB1)에 대한 공격을 감지하면 그림 3과 같이 경보가 표시됩니다.
그림 4 : Symantec의 공격 감지 경보
토토사이트 블랙티비는 인터넷에서 IPv4 주소를 무작위로 검색하고 감염시 시도합니다. 네트워크 공격을 방지하는 다음 해결 방법 (MS17-010, CVE-2017-0145 착취)은 다음과 같습니다.
SMB1 비활성화 (서버 메시지 블록 v1)
SMB 보트 번호 블록 (445)
토토사이트 블랙티비
SHA256 : 24D004A104D4D54034DBCFFC2A4B19A11F39008A575AA614EA04703480B1022C
MD5 : DB349B97C37D22F5EA1D1841E3C89EB4
Ransomware Wannacry는 감염된 PC에 구성된 DNS 서버를 문의하여 사이트의 IP 주소가 작동을 확인할 것입니다. 그 후, 운영 확인 사이트에 대한 HTTP 액세스가 성공하면 활동 (활동, 랜섬 활동 등)이 중지됩니다. 우리는 랜섬웨어 Wannacry의 작동을 다시 테스트하고 HTTP 응답이 "HTTP/1.1 200 OK"또는 "HTTP/1.1 403 금지"임을 즉시 중지 할 것임을 확인했습니다 (그림 5). 또한, 재 입원에서, 점검 작업 (192.168.20.80)을위한 웹 사이트가 그림 6에 표시된 네트워크에 구축되었습니다.
그림 5 : 작동 확인 사이트에 대한 HTTP 액세스
Ransomware 토토사이트 블랙티비는 동일한 네트워크 내에서 검색을 시작하고 병렬로 IP 주소 공간을 무작위로 검색합니다. 우리는 그림 6과 같이 네트워크 구성이있는 감염된 PC에서 랜섬웨어 토토사이트 블랙티비의 설문 조사 결과와 네트워크 웜의 특징 인 감염 목적지를 검색하는 방법을 소개합니다.
그림 6 : 확산 활동을 조사하는 데 사용되는 네트워크 구조
설문 조사 환경에 사용 된 네트워크의 경우 두 개의 작동 PC (192.168.20.161, 192.168.20.162)가 있으므로 ARP 패킷을 사용한 검색으로 동일한 네트워크 내 검색이 관찰됩니다. 감염된 PC (192.168.20.161) ARP 패킷 ((3) (a))을 사용하여 동일한 네트워크에서 PC를 실행하기 시작합니다. 다음으로 ARP 응답 (192.168.20.162)이있는 실행중인 PC에 대해 TCP 연결이 설정되고 SMB1 취약성 공격 ((3) (b))를 시작합니다. 동시에 IP 주소 공간을 무작위로 검색하기 시작합니다. 랜섬웨어 토토사이트 블랙티비는 인트라넷 방식으로 작동하고 있으며, 그림 7과 같이 약 1 분만에 ARP 응답으로 작동 PC (192.168.20.162)를 감염시키기 시작했습니다.
그림 7 : 토토사이트 블랙티비 확산 활동으로 인한 검색 IP 주소 분포
그림 8은 2000 년 상반기에 유사한 네트워크 구성으로 순환 된 Codered3 (2002) 및 Slammer (2002)의 네트워크 검색 플롯을 보여줍니다. Codered3은 감염된 장치의 근접 IP 주소를 검색하는 반면 Slammer는 전체 영역을 무작위로 검색합니다.
그림 8 : Codered3 (왼쪽), Slammer (오른쪽) 스프레드 활동과 관련된 검색 IP 주소의 배포
다음, 그림 9는 토토사이트 블랙티비, Codered3 및 Slammer의 새로운 IP 주소에 대한 검색 속도를 보여줍니다. 토토사이트 블랙티비의 탐험은 어떤 수단도 빠르지 않으며 인트라넷 활동을위한 작업을 운영함으로써 확산 활동의 속도를 높이려고한다고 말할 수 있습니다.
그림 9 : IP 주소 검색 속도
동일한 네트워크에서 실행되는 PC를 검색 할 때 서브넷 마스크가 /24 인 경우 X.X.X.1, X.X.X.2 ~ X.X.254 및 /16으로 검색되며 X.X.0.1, X.1.1.1.X.255.1, X.0.255.1, X.X.0.25. X.x.1.2 ~ x.x.255.2이므로 넓은 서브넷 마스크는 확산 활동 효율을 줄일 수 있지만 많은 방송 패킷이 지속될 가능성이 높지만 정상적인 커뮤니케이션이 방해받을 가능성이 높습니다.
3 SMB 연결은 Ransomware 토토사이트 블랙티비의 SMB1 취약성 공격에 사용됩니다. 하나는 감염된 PC의 IP 주소 (192.168.20.161) (그림 10)를 포함하고 있으며, 다음 두 개의 IP 주소 (192.168.56.20, 172.16.99.5) (그림 11, 그림 12)가 포함되어 있습니다 (그림 11, 그림 12).
대상이 이중 펄서에 감염되지 않은 경우, 그림 11과 같이, 두 번째 SMB 연결에서 Trans2 Session_Setup에 대한 응답 패킷에 저장된 멀티 플렉스 ID는 65 (0x41)이며, 감염된 경우 81 (0x51). 또한 그림 12의 오른쪽에 Metasploit (MS17_010_ETERNALBLUE.RB)에서 전송 된 패킷이 비교를 위해 표시됩니다.
그림 10 : 감염된 PC의 IP 주소를 포함하는 SMB 연결 (192.168.20.161)
그림 11 : IP 주소를 포함하는 SMB 연결 (192.168.56.20) 맬웨어 본문에서 하드 코딩
그림 12 : IP 주소를 포함하는 SMB 연결 (172.16.99.5) 맬웨어 본문에서 하드 코딩
토토사이트 블랙티비 (*1), Metasploit (*2) 및 감염보고 상태 (*3)를 사용한 네트워크 감염 결과는 표 1 (2017 년 5 월 23 일 현재)에 나와 있습니다.
표 1 : 영향이 관찰되는지 여부의 결과
| OS | 토토사이트 블랙티비에 의한 네트워크 감염의 검증 결과 (*1) | metasploit (*2)로 결과 찾기 | 감염 보고서 상태 (*3) |
| Windows XP 32bit | 블루 스크린 | ー | |
| Windows XP SP2 32bit | 블루 스크린 | ー | |
| Windows XP SP3 32bit | 블루 스크린 | ー | |
| Windows Vista SP2 32bit | 블루 스크린 | ー | |
| Windows 2003 SP2 32bit | 블루 스크린 | ー | |
| Windows 7 SP0 32bit | 감염 | ー | Windows 7 x64 : 60.35% Windows 7 31.72% Windows 7 Home X64 : 3.67% Windows 7 홈 : 2.61% |
| Windows 7 SP1 32bit | 감염 | 실패 | |
| Windows 7 SP1 64 비트 | 감염 | 성공 | |
| Windows 2008 R2 64bit | 감염 | 성공 | 2008 R2 Starard X64 : 0.71% 2008 R2 Enterprise X64 : 0.56% 2008 R2 위 이상 : 0.13% |
| Windows 8.1 64bit | 감염하지 마십시오 | 실패 (*4) | |
| Windows 2012 R2 64 비트 | 감염되지 않음 | 실패 (*5) | |
| Windows 10 Pro (VER1607) 64 비트 | 감염되지 않음 | 실패 (*4) | Windows 10 x64 : 0.03% |
*0)-: 끊임없는
*1) MD5 : DB349B97C37D22F5EA1D1841E3C89EB4
*2) 모듈 이름 : MS17_010_ETERNALBLUE.RB
*3) 카스퍼 스키 : 모든 토토사이트 블랙티비 희생자의 98% 이상이 Windows 7을 사용하고있었습니다
https : //www.bleepingcomputer.com/news/security/over-98-percent-토토사이트 블랙티비-victims-were-using-windows-7/
*4) SMB_MS17_010.RB 취약점이 있는지 결정합니다
*5) 익명 로그인 오류
책임 : Terada, Onishi
글로벌 사인 :
중요한 전자 문서의 디지털 서명. 홍보에도 유용합니다
