WannaCry 랜섬웨어 분석 #2 SMB 취약점 분석
Contents
No.10 | 2017년 06월
MALWARE ANALYSIS REPORT
No.10 | 2017 년 06 월
WannaCry 랜섬웨어 분석
#2 SMB 취약점 분석
MALWARE ANALYSIS REPORT
No.10 | 2017년 06월
목 차
1. 개 요 ........................................................................................................................................................................................... 3
1.1 배 경 .................................................................................................................................................................................... 3
1.2 파일 정보 ........................................................................................................................................................................... 3
2. 상세 분석 .................................................................................................................................................................................. 4
2.1 SMB 취약점 공격 흐름................................................................................................................................................ 4
2.2 특징적인 행위................................................................................................................................................................11
3. 대 응 .........................................................................................................................................................................................12
-2-
MALWARE ANALYSIS REPORT
No.10 | 2017년 06월
1. 개 요
1.1 배 경
2017년 5월 17일 배포한 WannaCry 분석보고서에도 언급되었듯이, WannaCry 랜섬웨어의 경우
SMB 취약점을 이용하여 웜과 같이 다른 PC로 확산되어 추가 감염을 발생시키고 있다. 또한,
Check Payment 등의 외부 서버와 통신이 필요한 경우에는 Tor 네트워크를 이용하는 특징이 있으
며, 랜섬웨어 내부 리소스에서 Tor 프로그램을 생성하여 사용한다.
이에 소만사 악성코드분석센터에서는 SMB 취약점에 관하여 자세히 분석하여 보고서를 작성하게
되었다. 본 보고서에는 WannaCry 랜섬웨어에서 사용하는 SMB 취약점 공격의 동작 흐름과, 대상
이 되는 PC에서 감염이 어떤 방식으로 이루어지는지 기술한다.
[참고] 2017년 5월 17일 배포한 월간 악성코드 리포트
1.2 파일 정보
Name
mssecsvc.exe
Type
Windows 실행 파일
Size
3,723,264 바이트
Sha256
Behavior
Description
24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
WannaCry Ransomware
SMB 취약점 공격 및 tasksche.exe 생성
Name
tasksche.exe
Type
Windows 실행 파일
Size
3,514,368 바이트
Sha256
Behavior
Description
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
WannaCry Ransomware
파일 암호화
-3-
MALWARE …
MALWARE ANALYSIS REPORT
No.10 | 2017 년 06 월
WannaCry 랜섬웨어 분석
#2 SMB 취약점 분석
MALWARE ANALYSIS REPORT
No.10 | 2017년 06월
목 차
1. 개 요 ........................................................................................................................................................................................... 3
1.1 배 경 .................................................................................................................................................................................... 3
1.2 파일 정보 ........................................................................................................................................................................... 3
2. 상세 분석 .................................................................................................................................................................................. 4
2.1 SMB 취약점 공격 흐름................................................................................................................................................ 4
2.2 특징적인 행위................................................................................................................................................................11
3. 대 응 .........................................................................................................................................................................................12
-2-
MALWARE ANALYSIS REPORT
No.10 | 2017년 06월
1. 개 요
1.1 배 경
2017년 5월 17일 배포한 WannaCry 분석보고서에도 언급되었듯이, WannaCry 랜섬웨어의 경우
SMB 취약점을 이용하여 웜과 같이 다른 PC로 확산되어 추가 감염을 발생시키고 있다. 또한,
Check Payment 등의 외부 서버와 통신이 필요한 경우에는 Tor 네트워크를 이용하는 특징이 있으
며, 랜섬웨어 내부 리소스에서 Tor 프로그램을 생성하여 사용한다.
이에 소만사 악성코드분석센터에서는 SMB 취약점에 관하여 자세히 분석하여 보고서를 작성하게
되었다. 본 보고서에는 WannaCry 랜섬웨어에서 사용하는 SMB 취약점 공격의 동작 흐름과, 대상
이 되는 PC에서 감염이 어떤 방식으로 이루어지는지 기술한다.
[참고] 2017년 5월 17일 배포한 월간 악성코드 리포트
1.2 파일 정보
Name
mssecsvc.exe
Type
Windows 실행 파일
Size
3,723,264 바이트
Sha256
Behavior
Description
24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
WannaCry Ransomware
SMB 취약점 공격 및 tasksche.exe 생성
Name
tasksche.exe
Type
Windows 실행 파일
Size
3,514,368 바이트
Sha256
Behavior
Description
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
WannaCry Ransomware
파일 암호화
-3-
MALWARE …
IoC
24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa