QnA 형식으로알아보는 WannaCry 랜섬웨어 대응가이드 2017. 05 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다.
- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨어감염위험이있나요? 8 Q7. 무선인터넷을이용중인데와이파이연결을하면안되나요? 8 Q8. 회사네트워크의경우, 어떻게보안설정을하면되나요? 8 [ 붙임 ] Windows 버전별 SMB 상세차단방법 9 1. Windows XP, Windows Server 2003 9 SMB 기능해제방법 9 방화벽포트설정방법 10 기존안내한 NetBIOS over TCP/IP 사용안함으로설정시인터넷이되지않는경우 10 2. Windows 7 11 방화벽포트설정방법 11 레지스트리등록방법 14 3. Windows 8.1 14 SMB 기능해제방법 14 방화벽포트설정방법 15 레지스트리등록방법 18 4. Windows 10 18 SMB 기능해제방법 18 방화벽포트설정방법 20 레지스트리등록방법 23 5. Windows Server 2008 R2 24 방화벽포트설정방법 24 레지스트리등록방법 26 6. Windows Server 2012 R2 27 SMB 기능해제방법 27 방화벽포트설정방법 28 레지스트리등록방법 31
Microsoft SMB 취약점을이용한랜섬웨어관련 FAQ Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 공개된공격도구별영향받는소프트웨어는아래와같습니다. - Windows 모든운영체제 * 최신보안패치를적용하여사용하고있으시다면해당취약점의영향을받지않습니다. ** WannaCry 변종이존재할가능성이있어지속적인주의필요 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? WannaCry 랜섬웨어는패치가되지않은파일공유기능 (SMB가사용하는 TCP 445포트 ) 을이용하여감염되므로해당서비스를차단해야합니다. 1 내PC가감염될우려가있으니, 컴퓨터부팅전인터넷차단 ( 랜선연결제거 ) 2 SMB 포트를차단 ( 프로토콜비활성화 ) 3 이후, 인터넷에연결하여윈도우보안패치및백신업데이트등의순서로진행 * SMB 포트를차단할경우파일공유기능을사용할수없으므로패치가완료되면, SMB 서비스필요시 2 차단내용해제 Q3. SMB 포트는어떻게차단하나요?( 운영체제버전별상세설명은붙임참고 ) SMB 관련취약점조치방안 * 해당취약점을해결하기위해서아래 3가지방법중한가지만수행하면됩니다. 1 네트워크방화벽또는운영체제방화벽으로 SMB에사용되는포트차단 o [ 제어판 ] -> [ 시스템및보안 ] -> [Windows 방화벽 ] -> [ 고급설정 ] -> [ 인바운드규칙 ] -> [ 새규칙 ] -> 포트 -> TCP, 특정원격포트 선택 -> 139, 445 입력 ( UDP / 137, 138 입력 ) -> 연결차단 선택 -> 도메인, 개인, 공용 선택 -> 이름입력 * WannaCry 랜섬웨어의경우 TCP 445번포트만해당되나, WannaCry 변종이존재할가능성이있어 SMB 프로토콜관련포트인 UDP 137, 138, TCP 139까지전부적용하는것을권고 ( 상세내용은붙임참고 ) ** 해당서비스를다시사용해야하는경우등록된규칙삭제 [Windows 방화벽에포트차단적용화면 ] - 1 -
2 SMB 기능해제 (Windows 8.1 또는 Windows Server 2012 R2 이상인경우에만해당 ) [ 클라이언트운영체제의경우 ] o [ 제어판 ] -> [ 프로그램 ] -> [Windows 기능설정또는해제 ] -> SMB1.0/CIFS 파일공유지원 체크해제 -> 시스템재시작 * 해당서비스를다시사용해야하는경우 [ 제어판 ] -> [ 프로그램 ] -> [Windows 기능설정또는해제 ] -> SMB1.0/CIFS 파일공유지원 체크 -> 시스템재시작 [Windows 10 기능켜기 / 끄기화면 ] [ 서버운영체제의경우 ] o [ 서버관리자 ] -> [ 관리 ] -> [ 역할및기능 ] -> SMB1.0/CIFS 파일공유지원 체크해제 -> 시스템재시작 * 해당서비스를다시사용해야하는경우 [ 서버관리자 ] -> [ 관리 ] -> [ 역할및기능 ] -> SMB1.0/CIFS 파일공유지원 체크 -> 시스템재시작 3 레지스트리등록방법 o [ 시작 ] -> powershell 입력 -> 마우스 우클릭 -> 관리자권한으로실행 [Windows 7] o set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB1 Type DWORD Value 0 Force 입력 -> Enter 키 o set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB2 Type DWORD Value 0 Force 입력 -> Enter 키 [ 레지스트리등록 ] * 해당서비스를다시사용해야하는경우 1 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB1 Type DWORD Value 1 Force 입력 -> Enter 키 2 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB2 Type DWORD Value 1 Force 입력 -> Enter 키 - 2 -
Q4. 보안패치는어떻게하나요? 이번취약점에대해서는 Microsoft에서지원하지않는운영체제에서도긴급보안업데이트를배포하였으며, 아래와같이업데이트권고드립니다. o 자동업데이트가해제되어있거나, XP 등서비스지원이종료된운영체제의경우아래표에서해당버전에맞는파일다운로드하여수동설치 - 버전별보안패치파일다운로드링크 운영체제 Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows Server 8 Windows Server Embedded Windows 7 Windows Server 2008 R2 Windows Windows 8.1 Windows Server 2012 R2 Windows Server 2012 보안업데이트파일링크 http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86 -custom-kor_b2a6516e2fd541c75ebb4bcaeb15e91846ac90c5.exe http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb401 2598-x86-custom-kor_347eb4f084fee8e54323c57d5571303b0ed6c2c4.exe http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/wind ows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/wind ows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/wind ows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/wind ows8-rt-kb4012214-x86_5e7e78f67d65838d198aa881a87a31345952d78e.msu http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/wind ows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/wind ows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/wind ows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/wind ows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/wind ows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu Windows 10 32bit 64bit http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/wind ows10.0-kb4019474-x64_4ed033d1c2af2daea1298d10da1fad15a482f726.msu http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/wind ows10.0-kb4019474-x86_259adeed4a4037f749afab211ff1bc6a771ff7f6.msu Windows Server 2016 http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/wind ows10.0-kb4019472-x64_dda304140351259fcf15ca7b1f5b51cb60445a0a.msu - 3 -
- 보안업데이트 수동설치 o Microsoft 보안업데이트홈페이지에서운영체제에맞는보안업데이트파일다운로드 1 설치파일다운로드및실행 [ 다운로드및실행 Windows XP] 2 설치완료후재부팅 [ 업데이트설치완료 ] - 보안업데이트 자동설치설정 ( 설정이후자동으로업데이트됨 ) 1 [ 제어판 ] -> [Windows Update] -> [ 설정변경 ] -> 중요업데이트에서업데이트자동설치 ( 권장 ) 선택 -> [ 업데이트확인 ] -> 자동업데이트수행 [ 제어판 Windows Update] [ 자동업데이트확인및설치 ] - 4 -
Q5. 보안패치가됐는지어떻게확인하나요? Windows 10 사용자 o 최신버전사용유무확인방법 - [Windows 설정 ] -> [ 업데이트및복구 ] -> [Windows 업데이트 ] -> 업데이트확인 o SMB 취약점패치여부확인방법 - [Windows 설정 ] -> [ 업데이트및복구 ] -> [ 업데이트기록 ] -> 설치된업데이트목록에서 KB4012606, KB4013429, KB4013198 중에하나라도있으면패치적용상태 - 5 -
Windows 7 사용자 o 최신버전사용유무확인방법 - [ 시작 ] - [ 제어판 ] -> [Windows Update] ( 안보이는경우, 보기기준을작은아이콘으로변경 ) -> 업데이트상태확인 o SMB 취약점패치여부확인방법 - [ 시작 ] - [ 제어판 ] -> [Windows Update] ( 안보이는경우, 보기기준을작은아이콘으로변경 ) -> [ 업데이트 기록보기 ] -> KB4012212 또는 KB4012215 가존재하는지확인 - 6 -
Windows XP 사용자 o SMB 취약점패치여부확인방법 - [Windows 키 + r] 후, cmd 입력 - cmd 창에서 wmic qfe list 입력후엔터 - KB4012598 존재여부확인 - 7 -
Q6. 스마트폰도랜섬웨어감염위험이있나요? WannaCry 랜섬웨어의경우윈도우운영체제의취약점을악용한공격이기때문에안드로이드, 아이폰과같은 스마트폰기종은공격대상에서제외됩니다. * 단, 변종출현이가능 Q7. 무선인터넷을이용중인데와이파이연결을하면안되나요? 네트워크연결의경우, 랜섬웨어에감염됐을때의가능성을대비하여피해확산을방지하기위해네트워크를 차단하라고권고드리는것입니다. 예방방법대로방화벽포트설정및윈도우업데이트버전이최신인경우 평소대로 PC 사용하셔도됩니다. Q8. 회사네트워크의경우, 어떻게보안설정을하면되나요? 회사의방화벽인바운드정책에 UDP 137번, 138번과 TCP 139번, 445번을차단하셔야합니다. - WannaCry 랜섬웨어의경우 TCP 445번포트만해당되나, WannaCry 변종이존재할가능성이있어 SMB 프로토콜관련포트인 UDP 137, 138, TCP 139까지전부적용하는것을권고 방화벽이내부망내에존재하지않는경우, 개별직원 PC에서직접방화벽설정을추가하도록해야합니다. - 8 -
[ 붙임 ] Windows 버전별 SMB 상세차단방법 1. Windows XP, Windows Server 2003 * 해당취약점을해결하기위해서아래 2 가지방법중한가지만수행하면됩니다. 윈도우 XP 사용자는아래방화벽설정, SMB 차단, NetBIOS 차단방법을확인하여적용 SMB 기능해제방법 - [ 시작 ] -> [ 설정 ] -> [ 네트워크연결 ] -> 로컬영역연결 우클릭 -> [ 속성 ] -> Microsoft 네트워크용파 일및프린터공유 체크해제 -> 확인 - 9 -
방화벽포트설정방법 - [ 시작 ] -> [ 설정 ] -> [ 제어판 ] -> [Windows 방화벽 ] -> 사용 ( 권장 ) 체크 -> [ 예외 ] 탭 -> 파일및프린 터공유 체크박스해제 -> 확인 기존안내한 NetBIOS over TCP/IP 사용안함으로설정시인터넷이되지않는경우 NetBIOS over TCP/IP 사용안함설정시 DHCP 주소를받아오지못하는문제점이있어사용함으로변경 - [ 내컴퓨터 ] 우클릭 -> 속성 -> 하드웨어탭 -> 장치관리자 -> 보기탭 -> 숨김장치표시 -> 비플러그앤플레이 -> 사용 -> PC 다시시작 - 10 -
2. Windows 7 * 해당취약점을해결하기위해서아래 2 가지방법중한가지만수행하면됩니다. 방화벽포트설정방법 1 바탕화면에있는윈도우로고 ( 시작버튼 ) 클릭하여 방화벽 검색후해당프로그램실행 2 방화벽내에 인바운드규칙 오른쪽버튼으로클릭후 새규칙 클릭 - 11 -
4 새인바운드규칙마법사에서 포트 체크후 다음 클릭 5 TCP, 특정포털포트 체크후 139, 445 입력후 다음 클릭 6 연결차단 선택 - 12 -
7 도메인, 개인, 공용 체크후 다음 클릭 8 이름을 SMB 차단 으로입력후 확인 클릭 이름의경우사용자임의로입력가능 9 이와같은방법으로동일하게 UDP, 특정로컬포트 내 137, 138 포트차단 (5 번화면을아래의화면으로대신하여설정하면됨 ) - 13 -
레지스트리등록방법 1 [ 시작 ] -> powershell 검색 -> 관리자권한으로실행 2 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB1 Type DWORD Value 0 Force 입력 -> Enter 키 3 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB2 Type DWORD Value 0 Force 입력 -> Enter 키 * 해당서비스를다시사용해야하는경우 1 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB1 Type DWORD Value 1 Force 입력 -> Enter 키 2 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB2 Type DWORD Value 1 Force 입력 -> Enter 키 3. Windows 8.1 * 해당취약점을해결하기위해서아래 3 가지방법중한가지만수행하면됩니다. SMB 기능해제방법 1 제어판 -> 프로그램 -> Windows 기능설정또는해제 -> SMB1.0/CIFS 파일공유지원체크해제 -> 시스템재시작 * 해당서비스를다시사용해야하는경우제어판 -> 프로그램 -> Windows 기능설정또는해제 -> SMB1.0/CIFS 파일공유지원체크 -> 시스템재시작 - 14 -
방화벽포트설정방법 1 바탕화면에있는윈도우로고 ( 시작버튼 ) 클릭하여 제어판 검색후해당프로그램실행 2 [ 제어판 ] -> [ 시스템및보안 ] -> [Windows 방화벽 ] 선택 3 [Windows 방화벽 ] -> [ 고급설정 ] 선택 4 방화벽내에 인바운드규칙 오른쪽버튼으로클릭후 새규칙 클릭 - 15 -
5 새인바운드규칙마법사에서 포트 체크후 다음 클릭 6 TCP, 특정포털포트 체크후 139, 445 입력후 다음 클릭 - 16 -
7 연결차단 선택 8 도메인, 개인, 공용 체크후 다음 클릭 9 이름을 SMB 차단 으로입력후 확인 클릭 이름의경우사용자임의로입력가능 10 이와같은방법으로동일하게 UDP, 특정로컬포트 내 137, 138 포트차단 (6 번화면을아래의화면으로대신하여설정하면됨 ) - 17 -
레지스트리등록방법 1 [ 시작 ] -> powershell 검색 -> 관리자권한으로실행 2 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB1 Type DWORD Value 0 Force 입력 -> Enter 키 3 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB2 Type DWORD Value 0 Force 입력 -> Enter 키 * 해당서비스를다시사용해야하는경우 1 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB1 Type DWORD Value 1 Force 입력 -> Enter 키 2 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB2 Type DWORD Value 1 Force 입력 -> Enter 키 4. Windows 10 * 해당취약점을해결하기위해서아래 3가지방법중한가지만수행하면됩니다. SMB 기능해제방법 1 바탕화면에있는윈도우로고 ( 시작버튼 ) 클릭하여 제어판 검색후해당프로그램실행 - 18 -
2 제어판내 프로그램 선택 3 프로그램에서프로그램및기능의 Windows 기능켜기 / 끄기 선택 4 SMB 기능에서 SMB 1.0/CIFS 파일공유지원 기능해제 ( 체크표시클릭으로해제 ) 후확인 - 19 -
방화벽포트설정방법 1 바탕화면에있는윈도우로고 ( 시작버튼 ) 클릭하여 방화벽 검색후해당프로그램실행 2 방화벽내에 인바운드규칙 오른쪽버튼으로클릭후 새규칙 클릭 - 20 -
3 새인바운드규칙마법사에서 포트 체크후 다음 클릭 4 TCP, 특정포털포트 체크후 139, 445 입력후 다음 클릭 - 21 -
5 연결차단 선택 6 도메인, 개인, 공용 체크후 다음 클릭 7 이름을 SMB 차단 으로입력후 확인 클릭 이름의경우사용자임의로입력가능 8 이와같은방법으로동일하게 UDP, 특정로컬포트 내 137, 138 포트차단 (4 번화면을아래의화면으로대신하여설정하면됨 ) - 22 -
레지스트리등록방법 1 [ 시작 ] -> powershell 검색 -> 관리자권한으로실행 2 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB1 Type DWORD Value 0 Force 입력 -> Enter 키 3 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB2 Type DWORD Value 0 Force 입력 -> Enter 키 * 해당서비스를다시사용해야하는경우 1 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB1 Type DWORD Value 1 Force 입력 -> Enter 키 2 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB2 Type DWORD Value 1 Force 입력 -> Enter 키 - 23 -
5. Windows Server 2008 R2 * 해당취약점을해결하기위해서아래 2가지방법중한가지만수행하면됩니다. 방화벽포트설정방법 1 바탕화면에있는 시작 클릭하여 고급보안 검색후해당프로그램실행 2 방화벽내에 인바운드규칙 오른쪽버튼으로클릭후 새규칙 클릭 3 새인바운드규칙마법사에서 포트 체크후 다음 클릭 - 24 -
4 TCP, 특정포털포트 체크후 139, 445 입력후 다음 클릭 5 연결차단 선택 6 도메인, 개인, 공용 체크후 다음 클릭 - 25 -
7 이름을 SMB 차단 으로입력후 확인 클릭 이름의경우사용자임의로입력가능 8 이와같은방법으로동일하게 UDP, 특정로컬포트 내 137, 138 포트차단 (4 번화면을아래의화면으로대신하여설정하면됨 ) 레지스트리등록방법 1 [ 시작 ] -> powershell 입력 -> 마우스 우클릭 -> 관리자권한으로실행 - 26 -
2 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB1 Type DWORD Value 0 Force 입력 -> Enter 키 3 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB2 Type DWORD Value 0 Force 입력 -> Enter 키 * 해당서비스를다시사용해야하는경우 1 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB1 Type DWORD Value 1 Force 입력 -> Enter 키 2 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB2 Type DWORD Value 1 Force 입력 -> Enter 키 6. Windows Server 2012 r2 * 해당취약점을해결하기위해서아래 3가지방법중한가지만수행하면됩니다. SMB 기능해제방법 1 바탕화면에있는윈도우로고 ( 시작버튼 ) 클릭하여 서버관리자 실행 2 서버관리자내 [ 관리 ] -> [ 역할및기능제거 ] 선택 3 역할및기능제거마법사실행후 [ 다음 ] -> [ 기능 ] -> SMB 1.0/CIFS 파일공유지원 체크해제 - 27 -
4 SMB 1.0/CIFS 파일공유지원 기능해제된사항확인후 제거 클릭후재부팅 방화벽포트설정방법 1 [ 시작 ] -> [ 제어판 ] -> 시스템및보안클릭 - 28 -
2 [Windows 방화벽 ] 클릭 3 [ 고급설정 ] 클릭 4 방화벽내에 인바운드규칙 오른쪽버튼으로클릭후 새규칙 클릭 - 29 -
5 새인바운드규칙마법사에서 포트 체크후 다음 클릭 6 TCP, 특정포털포트 체크후 139, 445 입력후 다음 클릭 7 연결차단 선택 8 도메인, 개인, 공용 체크후 다음 클릭 - 30 -
9 이름을 SMB 차단 으로입력후 확인 클릭 이름의경우사용자임의로입력가능 10 이와같은방법으로동일하게 UDP, 특정로컬포트 내 137, 138 포트차단 (6 번화면을아래의화면으로대신하여설정하면됨 ) 레지스트리등록방법 1 바탕화면에있는윈도우로고 ( 시작버튼 ) 클릭하여 Windows PowerShell 마우스우클릭후관리자 권한으로실행 2 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB1 Type DWORD Value 0 Force 입력 -> Enter 키 3 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB2 Type DWORD Value 0 Force 입력 -> Enter 키 * 해당서비스를다시사용해야하는경우 1 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB1 Type DWORD Value 1 Force 입력 -> Enter 키 2 set-itemproperty Path HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Paramerters SMB2 Type DWORD Value 1 Force 입력 -> Enter 키 - 31 -