등록일 : 2017-05-13
업데이트: 2017년 5월 12일, 제품/버전: Deep Discovery Analyzer 전 버전. 전 제품, 플랫폼: Windows 10
요약
트렌드마이크로는 전 세계 여러 조직들을 감염시킨 최신 랜섬웨어들을 파악하여 면밀히 감시하고 있으며 최근 발견된 랜섬웨어들은 주로 WCRY 또는 WannaCry(워너크라이)로 불리고 있습니다.
이번 랜섬웨어에 대한 초기 분석 자료에 따르면 이들은 최근 Shadow Brokers 도구들이 대거 공개되면서 발견된 마이크로소프트 취약점(MS17-010 – “Eternalblue”)을 악용하는 것으로 밝혀졌습니다.
다음은 이번 랜섬웨어 공격의 변종들과 구성요소에 대한 몇 가지 세부적인 기술 정보입니다.
세부 정보
트렌드마이크로 제품 및 보안기능
이번 공격이 마이크로소프트 취약점을 악용하는 것으로 밝혀진 이후 고객들은 마이크로소프트가 제공한 지침을 따르거나 GPO를 이용하고 가급적이면 그들의 환경에서 더 이상 SMB을 사용하지 않을 것입니다. 그리고 고객들은 사용 중인 운영 체제 특히 MS17-010과 관련된 운영 체제에 모든 최신 패치들을 반드시 적용시켜야 합니다.
이러한 랜섬웨어를 방어하기 위해 트렌드마이크로는 모든 잠재적 감염 경로와 지점을 보호하고 새로운 위협에 대한 다양한 수준의 보안을 제공하는 솔루션이 포함된 엔드포인트, 이메일, 서버, 게이트웨이 및 네트워크 보안을 위한 다계층 보안 방식을 권장하고 있습니다:
- 업데이트된 구성 및 차세대 기술 – 최신 버전의 오피스스캔과 Worry-Free 비즈니스 시큐리티를 사용 중인 트렌드마이크로 고객들은 Predictive Machine Learning(OfficeScan XG, Worry-Free Services)과 모든 랜섬웨어 보안 기능들을 활성화시켜야 합니다. 아래의 본문은 랜섬웨어를 방어하는데 도움이 되는 올바른 제품 구성에 대해 소개하고 있습니다: https://success.trendmicro.com/solution/1112223
- 스마트스캔 에이전트 패턴(Smart Scan Agent Pattern) 및 공식 패턴(Official Pattern) 발표: 트렌드마이크로는 아래의 패턴들을 이용하는 모든 제품들을 위해 알려진 변종과 탐지된 구성 요소를 해당 패턴에 추가하였습니다:
- Smart Scan Agent Pattern – 13.399.00
- Official Pattern Release (conventional) - 13.401.00
- 트렌드마이크로 웹 평판 서비스(WRS)에 탐지된 C&C 서버에 대한 사항이 추가되었습니다.
- 최신 규칙이 적용된 Deep Security 및 취약점 보안 (기존의 OfficeScan을 위한 IDF 플러그 인) 고객들은 지원이 만료된 일부 버전들(XP, 2000, 2003)을 포함한 다양한 Windows 운영 체제를 위한 업데이트된 보안 계층을 이용하고 있으며 트렌드마이크로는 예방적 보안을 위해 다음과 같은 규칙을 발표하였습니다:
- IPS Rules 1008224, 1008228, 1008225, 1008227 – 여기에는 MS17-010에 대한 내용을 비롯하여 Windows SMB 원격 코드 실행 취약점에 대한 몇 가지 보안 사항이 포함되어 있습니다.
- 최신 규칙이 적용된 Deep Discovery Inspector 고객들 역시 익스플로잇과 관련된 취약점들에 대한 부가적인 보안 계층을 이용하고 있습니다. 트렌드마이크로는 예방적 보안을 위해 다음과 같은 공식 규칙을 발표하였습니다:
- DDI Rule 2383: CVE-2017-0144 – 원격 코드 실행 – SMB (필수)
- 아래의 필터들을 사용하는 TippingPoint 고객들은 업데이트된 보호 기능을 이용하고 있습니다:
- Filters 5614, 27433, 27711, 27935, 27928 – 여기에는 MS17-010에 대한 내용을 비롯하여 Windows SMB 원격 코드 실행 취약점 및 공격에 대한 몇 가지 보안 사항이 포함되어 있습니다.
- ThreatDV Filter 30623 – 아웃바운드 C2 통신을 차단하는데 유용합니다.
- Policy Filter 11403 – 의심스러운 SMB 단편화(fragmentation)에 대한 부가적인 보안을 제공합니다.
트렌드마이크로는 업체들이 중요한 패치를 발표하는 즉시 이를 적용시킬 것을 강력히 권고하고 있습니다. 자세한 정보를 원하시거나 궁금한 점이 있는 고객 및 파트너들은 공인 트렌드마이크로 기술 지원 담당자에게 연락하시어 도움을 받으시길 바랍니다.
원문: Updates on the latest WCRY (WannaCry) Ransomware Attack and Trend Micro Protection