- 가상 경험 데모 (4) -
업데이트 : 2018 년 4 월 9 일
5 월 중순에 확산 된 랜섬웨어 Wannacry는 Windows SMBV1의 취약성을 악용하여 원격 코드 실행 (MS17-010, CVE-2017-0145)에서 취약성을 이용하여 다른 취약한 Windows 시스템을 토토사이트 forever시키는 네트워크 웜 유형의 랜섬웨어입니다. HIRT-PUB17009는 다른 취약한 Windows 시스템이 네트워크에 어떻게 토토사이트 forever되는지 소개합니다.
랜섬웨어 Wannacry는 다른 취약한 Windows 시스템을 토토사이트 forever forever시켜 자체적으로 자체적으로 시도합니다. 이를 위해 (1) 동일한 네트워크 내에서 검색하고 (2) IP 주소 공간을 무작위로 병렬로 검색합니다. 가상 경험 데모에서는 MP4 파일 영화에서 동일한 네트워크 내에서 탐색하여 네트워크가 어떻게 토토사이트 forever forever되는지 보여줍니다. 네트워크 토토사이트 forever forever을 위해 준비된 PC는 1 개의 토토사이트 forever forever된 PC와 취약성으로 해결되지 않은 6 개의 PC입니다 (MS17-010, CVE-2017-0145) (그림 1).
그림 1 : 네트워크 토토사이트 forever을 위해 준비된 네트워크 구성
hirt-pub17009의 가상 경험 데모는 4x 속도 mp4 파일 영화입니다. 6 개의 PC가 토토사이트 forever 되려면 약 1 분 10 초가 걸리므로 실시간으로 약 5 분이 걸립니다.
그림 2 : 가상 경험 데모 WANNACRY ~ 네트워크 토토사이트 forever (4 배 속도) ~
토토사이트 forever된 PCS는 동일한 네트워크에서 PC를 검색하면서 IP 주소의 끝을 하나씩 증가시킵니다 (그림 1, 192.168.20.1, 192.168.20.2, ..., 192.168.20.254)에 표시된 네트워크 구성의 경우 1 개) (그림 3). 또한 토토사이트 forever된 PC와 같은 방식으로 토토사이트 forever된 PC (1) 동일한 네트워크 내에서 검색하고 (2) IP 주소 공간을 무작위로 검색하여 토토사이트 forever원이 급격히 증가하고 토토사이트 forever을 퍼뜨립니다 (그림 4).
그림 3 : 같은 네트워크 내에서 검색의 도식 다이어그램
그림 4 : 자체 확대의 개략도
仮想体験デモの中で、6台のPCが感染するまでの流れを図 5に示します。感染元を見ると、3つのグループ{感染PC=>PC#3(120)}、{PC#3(120)=>PC#1(30)、PC#2(90)、PC#5(190)}、{PC#2(90)=>PC#4 (162) 및 PC#6 (230)
그러나 토토사이트 forever된 PC는 IP 주소의 끝을 하나씩 증가시켜 동일한 네트워크에서 PC를 검색하지만 실제 토토사이트 forever 순서는 PC#3 (120), PC#2 (90), PC#1 (30), PC#6 (230), PC#4 (162) 및 PC#5 (190)이며 토토사이트 forever이 반드시 검색 순서에서 발생하지 않습니다. 브래킷은 IP 주소의 네 번째 옥셋입니다.
그림 5 : 가상 경험의 네트워크 토토사이트 forever 흐름 데모
Wannacry
SHA256 : 24D004A104D4D54034DBCFFC2A4B19A11F39008A575AA614EA04703480B1022C
MD5 : DB349B97C37D22F5EA1D1841E3C89EB4
책임 : Terada, Onishi, Shigemoto Michihiro (연구 및 개발 그룹, 보안 연구 부서)
Kito Tetsuro (연구 및 개발 그룹, 보안 연구 부서)
글로벌 사인 :
중요한 전자 문서의 디지털 서명. 홍보에도 유용합니다
