랜섬웨어는 가장 파괴적인 사이버 보안 위협 중 하나로 계속해서 진화하고 있으며, 공격자들은 취약점을 악용하는 새로운 수법을 찾고 있습니다. 이러한 방법 중 하나는 공개적으로 공유되는 SMB2(Server Message Block version 2) 연결을 노리는 것입니다. 파일 및 프린터 공유에 널리 사용되는 SMB는 인터넷에 노출되거나 잘못 구성될 경우 공격자에게 수익성이 높은 공격 대상이 될 수 있습니다. 이 블로그에서는 공격자가 공개적으로 공유되는 SMB2 연결을 악용하여 랜섬웨어를 유포하고, 데이터를 암호화하고, 네트워크를 침해하는 방법을 살펴보겠습니다. 또한 Seqrite/Quick Heal Antivirus가 이러한 공격으로부터 시스템을 보호하는 방법도 설명합니다.
랜섬웨어는 SMB2 연결을 어떻게 악용하는가?
SMB2는 네트워크 내 효율적인 파일 공유를 위해 설계된 프로토콜입니다. 하지만 잘못 설정되거나 취약하게 방치될 경우 보안 위험이 될 수 있습니다. 공격자가 SMBXNUMX를 악용하는 방식은 다음과 같습니다.
- 노출된 주식 스캐닝: 사이버 범죄자들은 Shodan과 같은 도구를 사용하여 공개적으로 접근 가능한 SMB 공유를 찾습니다. 인터넷에 노출된 취약하거나 잘못 구성된 SMB2 연결을 찾습니다.
- 취약점 악용: 공격자는 EternalBlue(CVE-2017-0144)와 같은 취약점을 이용하여 SMB2를 실행하는 패치되지 않은 시스템을 공격합니다. 이러한 취약점은 무단 접근 및 권한 상승을 허용합니다.
- 랜섬웨어 전달: 접근 권한이 부여되면 공격자는 업로드합니다. 랜섬 SMB 공유에 연결하거나 직접 실행하세요. 이를 통해 랜섬웨어가 공유 파일을 암호화하고 연결된 기기로 확산될 수 있습니다.
- 측면 이동: 랜섬웨어는 SMB2 프로토콜을 사용하여 네트워크 전반에서 이동하면서 다른 시스템과 공유 영역을 감염시킵니다.
- 데이터 암호화 및 몸값 요구: 랜섬웨어는 파일을 암호화한 후 암호 해독 키에 대한 암호화폐 지불을 요구하는 몸값 문서를 남깁니다.
SMB 기반 랜섬웨어 공격의 실제 사례
울고 싶어: 네트워크에서 파일 및 리소스를 공유하는 데 널리 사용되는 SMB 프로토콜은 자격 증명이 약하고 소프트웨어가 오래되었으며 보안 구성이 취약하여 노출되는 경우가 많습니다.
WannaCry: EternalBlue를 악용하여 SMB를 통해 확산되어 산업 전반에 걸쳐 광범위한 혼란을 야기했습니다.
낫페티아: SMB 공격을 이용해 랜섬웨어를 퍼뜨리고 전 세계적으로 시스템을 암호화했습니다.
Ryuk: 높은 가치의 조직을 타겟으로 하여 측면 이동을 위한 SMB 연결을 활용했습니다.
Seqrite가 SMB2 악용 및 랜섬웨어로부터 보호하는 방법
Seqrite 엔드포인트 보호 랜섬웨어 및 SMB 연결 관련 취약점으로부터 강력한 보호 기능을 제공합니다. 다음과 같은 효과가 있습니다.
- 랜섬웨어 보호: Seqrite Endpoint Protection은 무단 파일 암호화를 실시간으로 모니터링하고 차단합니다. 랜섬웨어가 SMB 공유 폴더의 파일을 암호화하지 못하도록 차단합니다.
- 행동 감지: 와 행동 감지 기술Seqrite는 SMB2를 통한 무단 파일 수정이나 측면 이동 시도와 같은 의심스러운 활동을 식별하고 차단합니다.
- 네트워크 공격 방지: Seqrite는 EternalBlue 및 관련 공격을 포함하여 SMB 취약점을 악용하려는 시도를 차단합니다. 공격자가 네트워크에 침투하는 것을 방지합니다.
- 데이터 백업 및 복원: 데이터 백업 및 복원 기능을 사용하면 랜섬웨어 공격이 발생할 경우 데이터를 복구하여 가동 중지 시간과 손실을 최소화할 수 있습니다.
- 취약점 스캐너: Seqrite Endpoint Protection은 패치되지 않은 시스템, 안전하지 않은 SMB 공유, 그리고 기타 잘못된 구성을 식별합니다. 이러한 선제적 접근 방식은 공격 표면을 줄이는 데 도움이 됩니다.
- 방화벽 및 침입 탐지: Seqrite의 방화벽 보호 기능은 들어오고 나가는 트래픽을 모니터링하여 SMB 연결에 대한 무단 액세스를 방지합니다.
- 이메일 보호: 많은 랜섬웨어 공격은 피싱 이메일로 시작됩니다. Seqrite는 이메일 첨부 파일과 URL을 검사하여 랜섬웨어 페이로드가 시스템에 다운로드되지 않도록 합니다.
SMB2 보안을 위한 모범 사례
Seqrite는 강력한 방어 계층을 제공하지만, 조직에서는 SMB2 연결의 보안을 강화하기 위해 다음과 같은 모범 사례를 채택해야 합니다.
- 공개 접근 제한: 인터넷에서 SMB 포트(예: 포트 445)에 대한 액세스를 차단합니다.
- 강력한 인증 사용: SMB 접속에 대해 강력한 비밀번호와 다중 인증 요소(MFA)를 시행합니다.
- 정기적으로 시스템 업데이트: 알려진 악용으로부터 보호받으려면 SMB 취약점을 패치하세요.
- SMB1 비활성화: 암호화 및 서명이 활성화된 SMB2 또는 SMB3를 사용하세요.
- 네트워크 활동 모니터링: 비정상적인 네트워크 동작을 모니터링하고 감지합니다.
맺음말
공개적으로 공유되는 SMB2 연결을 악용하는 랜섬웨어 공격은 기업과 개인 모두에게 심각한 위협이 됩니다. 공격 벡터를 이해하고 다음과 같은 강력한 보안 조치를 구현함으로써 시크라이트 귀하의 시스템과 데이터를 보호할 수 있습니다.
작성자
우마르 칸 A
니라즈 라자루스 마카사레
딕시트 아쇼크바이 판찰
수밋 파틸
마틴 타드비
