WannaCry 랜섬웨어 이슈 분석
Contents
No.09 | 2017년 05월
MALWARE ANALYSIS REPORT
No.9 | 2017 년 05 월
WannaCry 랜섬웨어 이슈 분석
(주) 소만사 악성코드 분석 센터
월간 Security Report
No.09 | 2017년 05월
목 차
1. 개 요 ........................................................................................................................................................................................... 3
1.1 배 경 .................................................................................................................................................................................... 3
2. 분 석 ........................................................................................................................................................................................... 3
2.1 감염 경로 ........................................................................................................................................................................... 3
2.2 WannaCry 랜섬웨어 분석........................................................................................................................................... 4
3. 대 응 ........................................................................................................................................................................................... 8
-2-
월간 Security Report
No.09 | 2017년 05월
1. 개 요
1.1 배 경
SMBv2 원격코드 실행 취약점을 악용하여 확산되는 워너크라이(WannaCry) 랜섬웨어가 2017년 5
월 12일 전 세계에서 감염이 보고되고 있다. 해당 랜섬웨어는 워너크립터(WannaCryptor), Wcrypt
등으로도 불리고 있으며, SMB(Server Message Block) 취약점을 이용하여 웜과 같이 다른 PC로 확
산되어 추가 감염을 발생시키기 때문에 급속도로 피해가 심각해지고 있다. 이미 2017년 3월에 관
련 취약점에 대한 보안 업데이트는 발표되었지만, 보안 업데이트가 적용되지 않은 시스템은 감염
위험에 노출되어 있기 때문에 피해 사례가 증가하고 있다.
2. 분 석
2.1 감염 경로
[그림 1] WannaCry 랜섬웨어 감염 경로
공격자가 악성 메일 및 악성 웹사이트를 이용하여 악성코드를 감염시키고 감염된 WannaCry 악
성코드에서 SMB 프로토콜 취약점을 이용하여 동일 IP 대역 및 랜덤으로 생성된 …
MALWARE ANALYSIS REPORT
No.9 | 2017 년 05 월
WannaCry 랜섬웨어 이슈 분석
(주) 소만사 악성코드 분석 센터
월간 Security Report
No.09 | 2017년 05월
목 차
1. 개 요 ........................................................................................................................................................................................... 3
1.1 배 경 .................................................................................................................................................................................... 3
2. 분 석 ........................................................................................................................................................................................... 3
2.1 감염 경로 ........................................................................................................................................................................... 3
2.2 WannaCry 랜섬웨어 분석........................................................................................................................................... 4
3. 대 응 ........................................................................................................................................................................................... 8
-2-
월간 Security Report
No.09 | 2017년 05월
1. 개 요
1.1 배 경
SMBv2 원격코드 실행 취약점을 악용하여 확산되는 워너크라이(WannaCry) 랜섬웨어가 2017년 5
월 12일 전 세계에서 감염이 보고되고 있다. 해당 랜섬웨어는 워너크립터(WannaCryptor), Wcrypt
등으로도 불리고 있으며, SMB(Server Message Block) 취약점을 이용하여 웜과 같이 다른 PC로 확
산되어 추가 감염을 발생시키기 때문에 급속도로 피해가 심각해지고 있다. 이미 2017년 3월에 관
련 취약점에 대한 보안 업데이트는 발표되었지만, 보안 업데이트가 적용되지 않은 시스템은 감염
위험에 노출되어 있기 때문에 피해 사례가 증가하고 있다.
2. 분 석
2.1 감염 경로
[그림 1] WannaCry 랜섬웨어 감염 경로
공격자가 악성 메일 및 악성 웹사이트를 이용하여 악성코드를 감염시키고 감염된 WannaCry 악
성코드에서 SMB 프로토콜 취약점을 이용하여 동일 IP 대역 및 랜덤으로 생성된 …
IoC
24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com