노출된 SMB: 'WantToCry' 랜섬웨어 공격 뒤에 숨겨진 위험
개요
오늘날의 디지털 환경에서 랜섬웨어 공격은 놀라운 속도로 진화하고 있으며, 간과된 취약점을 악용하여 시스템에 침투하고 있습니다. 이러한 취약점 중 하나는 잘못 구성된 SMB(서버 메시지 블록) 서비스공격자가 민감한 데이터에 무단으로 액세스할 수 있도록 하는 취약점입니다.
네트워크 간 파일 및 리소스 공유에 널리 사용되는 프로토콜인 SMB는 종종 다음과 같은 이유로 노출됩니다. 취약한 자격 증명, 오래된 소프트웨어 및 취약한 보안 구성. 이러한 잘못된 구성은 사이버 범죄자에게 다음과 같은 진입점을 제공합니다.
- 무단 접근을 얻으세요 시스템에.
- 옆으로 이동 네트워크 내에서.
- 악성 페이로드 배포 중요한 파일을 암호화합니다.
최근 활동 WantToCry 랜섬웨어 그룹 공격자가 SMB 취약점을 악용하여 랜섬웨어 공격을 얼마나 쉽게 수행할 수 있는지 강조합니다. 사이버 위협 더욱 정교해졌습니다. SMB 구성 보안은 더 이상 선택 사항이 아니라 필수입니다. 중요한 데이터와 인프라를 보호합니다.
WantToCry의 초기 발자취
출현 및 공격 벡터:
The WantToCry 랜섬웨어 그룹, 활성 이후 2023년 12월, 운영을 강화했습니다. 2024다음을 포함한 여러 네트워크 서비스를 타겟으로 함:
- SMB (서버 메시지 블록)
- SSH(보안 셸)
- FTP (파일 전송 프로토콜)
- RPC(원격 프로시저 호출)
- VNC(가상 네트워크 컴퓨팅)
사용 무차별 대입 공격, 맬웨어는 다음 데이터베이스를 활용합니다. 백만 개의 비밀번호 취약하거나 기본 자격 증명을 사용하여 시스템을 손상시킵니다.
접근 권한이 부여되면 랜섬웨어는 원격으로 암호화합니다. 공개적으로 노출된 네트워크 드라이브 및 NAS(Network-Attached Storage) 장치공격자는 몸값 지불에 대한 세부 정보가 담긴 몸값 요구 메모를 남깁니다.
위협 행위자 커뮤니케이션 채널
WantToCry 공격자는 암호화된 메시지 플랫폼을 사용하여 피해자와 소통합니다. 랜섬웨어 메시지에는 일반적으로 다음 내용이 포함됩니다.
- 텔레그램 ID: https://t.me/want_to_cry_team
- 독소 ID: 963E6F7F58A67DEACBC2845469850B9A00E20E4000CE71B35DE789ABD0BE2F70D4147D5C0C91
WantToCry의 특징
WantToCry는 다음을 따릅니다. 클래식 랜섬웨어 패턴파일 확장자를 수정하고 몸값 지불을 요구하는 메시지를 남깁니다.
- 파일 암호화: 랜섬웨어는 파일을 암호화하고 확장자를 추가합니다. “울고 싶어” 영향을 받은 각 파일에 대해.
- 랜섬노트: 이름이 지정된 텍스트 파일 “!울고 싶어.txt” 영향을 받은 디렉토리에 몸값 지불 지침과 연락처 정보가 담긴 파일이 생성됩니다.
실행 흐름:
- 정찰:
공격자는 노출된 SMB 포트(일반적으로 TCP 포트 445)가 있는 시스템을 식별하기 위해 네트워크 정찰 단계를 수행합니다. 이 단계에는 접근 가능한 SMB 서비스를 검색하고 시스템 응답을 분석하여 보안 구성이 취약하거나 패치되지 않은 취약점을 가진 잠재적인 공격 대상을 파악하는 작업이 포함됩니다.
- 무차별 대입 공격을 통한 착취:
공격자는 열려 있는 SMB 서비스를 식별한 후, 일반적으로 사용되는 비밀번호 사전을 활용하여 SMB 서비스에 대한 무차별 대입 공격을 시작합니다. 이 공격의 목적은 유효한 자격 증명을 획득하고 피해자 시스템에 무단으로 접근하는 것입니다.
- 공유 드라이브 액세스 및 구성:
인증이 완료되면 공격자는 네트워크 공유 목록을 작성하여 민감하거나 중요한 공유 드라이브를 식별합니다. 이러한 드라이브는 인터넷을 통한 원격 접근을 위해 매핑 및 구성되며, 이를 통해 공격자는 지속적인 거점을 확보하고 페이로드 실행을 준비할 수 있습니다.
- 페이로드 실행(로컬 풋프린트 없이 암호화):
이 랜섬웨어는 외부 소스에서 외부 공유 드라이브로 전송된 암호화 활동 전체를 로컬 시스템에 남기지 않고 드러냅니다. 암호화 과정은 공유 드라이브에 저장된 파일에서 직접 수행되므로 피해자의 컴퓨터에서 데이터를 다운로드하거나 처리할 필요가 없습니다. 이를 통해 랜섬웨어의 영향이 공유 드라이브를 통해 접근 가능한 모든 파일과 디렉터리로 확장되는 동시에 로컬 시스템에서 탐지 또는 포렌식 분석될 가능성을 최소화합니다.
문제 개요
SMB는 Windows 네트워크에서 파일 및 프린터 공유에 널리 사용되는 프로토콜입니다. 협업에는 필수적이지만, 적절한 인증 없이 SMB를 노출시키면 공격자에게 게이트웨이가 될 수 있습니다.
이러한 경우 영향을 받는 시스템과 연결된 공용 IP가 있습니다. SMB 지원 및 인증 없이 인터넷을 통해 접근 가능이로 인해 권한이 없는 사용자가 공유 드라이브에 원격으로 접근할 수 있었습니다. 이러한 취약점이 악용될 경우, 시스템 방어 체계를 우회하여 파일 암호화 및 잠재적인 데이터 손실로 이어질 수 있습니다.
Detection System
- 침해 지표(IOC)
- 194 [.] 36 [.] 179 [.] 18
- 194 [.] 36 [.] 178 [.] 133
- 우리는 이미 감지 기능을 가지고 있습니다 (HEUR:Trojan.Win32.EncrSD)에서 공유 드라이브 암호화 활동을 위한 장소입니다.
잘못된 구성의 결과
인증 없이 SMB를 공개적으로 접근 가능하게 두면 다음을 포함하여 심각한 결과가 발생할 수 있습니다.
- 데이터 침해: 민감한 파일에 대한 무단 접근.
- 랜섬웨어 공격: 중요한 파일을 암호화하여 비용을 지불하지 않고는 접근할 수 없도록 합니다.
- 운영 중단 시간: 회복 시간이 길어져 재정적, 평판적 손실이 발생합니다.
- 공격 표면 증가: 간단한 구성 오류로 인해 기회주의적 공격자가 발생할 수 있습니다.
위험 완화를 위한 모범 사례
유사한 공격의 희생자가 되지 않으려면 조직에서는 다음과 같은 보안 조치를 구현해야 합니다.
- 안티 바이러스 : 확인 시크라이트 / 퀵힐 최신 정의로 정기적으로 업데이트됩니다.
- 불필요한 경우 SMB 공유 비활성화: SMB를 적극적으로 사용하지 않는 경우, 잠재적인 노출을 줄이기 위해 비활성화하세요.
- SMB 액세스에 대한 인증 필요: 적절한 자격 증명 없이 SMB 공유를 공개적으로 접근 가능하게 두지 마십시오.
- 공개 접근 제한: 방화벽을 사용하여 SMB 포트(일반적으로 445 및 139)에 대한 외부 액세스를 차단합니다.
- 정기적으로 감사 구성: 네트워크 및 파일 공유 구성을 지속적으로 모니터링하고 검토하여 보안 모범 사례에 부합하는지 확인합니다.
- 고급 감지 시스템 활성화: 행동 기반 모니터링과 같은 도구를 사용하여 의심스러운 활동과 이상을 감지합니다.
저자: 우마르 칸 A
공저자: Niraj Lazarus Makasare, Dixit Ashokbhai Panchal, Sumit Patil, Matin Tadvi
