Boris's Lab

WannaCrypt 랜섬웨어는 SMB 취약점을 이용하여 유포 중입니다. 기존 랜섬웨어는 주로 Drive-By-Download 공격이나 토렌트/이메일 첨부파일 형태로 배포되었으나 Windows의 취약점을 이용하여 유포하는 사례는 이번이 처음입니다. 취약한 PC라면 랜선을 접촉하는 것만으로도 감염 위험성이 있어서 지금처럼 대량의 피해가 발생하고 있습니다. 

다행히 예방법이 인터넷에 빠르게 공개되어 많은 이용자들께서 시행하고 있습니다. 다만, PC 사용에 미숙하신 분들은 내용이 다소 어렵게 느껴질 수 있습니다. 

이런 분들에게 도움을 드리고자 실행만으로 예방조치가 자동적으로 이루어지는 파일을 제작하였습니다. 

귀찮아서 안하시던 분들, 잘 모르겠다 하시는 분들에게 도움이 되었으면 좋겠습니다. 

자주묻는 질문

1. 월요일만 조심하면 된다?

한국의 업무가 시작되는 날. 즉, PC가 가동되기 시작하는 월요일에 감염이 이루어지기 때문에 월요일을 조심하라는 것입니다. 

감염 시도는 요일을 가리지 않고 계속 이루어지고 있습니다.

2. 랜선만 제거하면 된다?

랜선을 제거한 상태라면 랜섬웨어의 감염시도는 방어할 수 있으나, 근본적인 해결책은 되지 못합니다. 

영원히 랜선을 뺀 상태로 컴퓨터를 사용하는 것이 아니라면 반드시 예방 절차를 시행해주셔야 합니다. 

3. PC를 꺼두면 된다?

PC를 꺼둔 상태에서는 랜섬웨어 감염 시도가 이루어지지 않습니다만, 역시 근본적인 해결책은 되지 못합니다. 

PC의 전원이 들어오고, Windows 가 부팅되는 순간부터, 인터넷이 연결되어 있다면 감염위험성이 있습니다. 

4. Windows 10은 감염 대상이 아니다?

이번 취약점은 Windows XP 부터 Windows 10에 이르기까지 여러 운영체제가 영향을 받습니다.

따라서 Windows 10 이라고 하더라도 예방 조치를 이행해주셔야 합니다. 

5. 중요한 파일이 없으면 그냥 써도 된다?

랜섬웨어에 의해 파일들이 변조될 경우 정상적인 프로그램 구동이 불가능할 수 있으며, 

SMB 취약점을 통해서 이번 랜섬웨어 외에도 다양한 악성코드가 침투할 수 있습니다. 

따라서 중요한 파일이 없다고 하더라도 반드시 조치해주셔야 합니다. 

6. 예방 조치만 하면 된다?

침투 경로가 SMB 취약점으로 한정되어 있어서 예방 조치 후에는 PC를 정상적으로 사용하셔도 됩니다. 

7. 이미 감염이 되었는데, 이렇게 하면 치료 되나?

제시된 방법은 SMB 취약점을 통해 들어오는 악성코드를 사전에 차단하기 위한 방법으로서 치료효과가 있는 것은 아닙니다.

8. 스마트폰도 해킹되는 것 아닌가?

WannaCrypt 는 PC를 대상으로 유포되고 있습니다. 스마트폰은 사용하시더라도 안전합니다. 

다만, 추후에 변종이 나타날 수도 있으니 반드시 PC에 예방 조치를 해주시기 바랍니다. 

9. 예방 조치를 하니 파일 공유가 불가능하다. 해결책은?

방화벽 규칙을 추가하여 특정 포트를 막거나, SMB 기능을 꺼두는 방식은 네트워크 PC간 파일 공유가 더이상 불가능 한 단점이 있습니다.

가정집 PC의 경우라면 문제 없지만, 여러 PC를 공유하는 기업에서는 큰 문제가 일 수 밖에 없습니다. 

이 경우, 보안 패치 방식을 통해서 해결하시기 바랍니다. 

원클릭 패치 파일(One-Click Patch File)

※ 다운로드 받은 파일은 반드시 "관리자 권한으로 실행" 하셔야 합니다.

※ WIndows 7, Windows 8.1, Windows 10 환경에서 테스트 완료하였습니다.

※ 모든 패치를 다 하실 필요는 없습니다. 하나만 하시면 됩니다.

※ Windows Smart Screen 메세지 발생시 '추가정보' 클릭 -> '실행' 클릭 해주시면 됩니다.

보안 패치

   Windows XP SP3 (한글판)

windowsxp-kb4012598-x86-custom-kor_b2a6516e2fd541c75ebb4bcaeb15e91846ac90c5.exe

   Windows XP SP3 (영문판)

windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe

  Windows 2003(32비트)

WindowsServer2003-KB4012598-x86-custom-KOR.exe

  Windows 2003(64비트)

WindowsServer2003-KB4012598-x64-custom-KOR.exe

  Windows Vista(32비트)

windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

  Windows Vista(64비트)

windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

  Windows 7(32비트)

windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

  Windows 7(64비트)

windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

  Windows 8(32비트)

Windows8-RT-KB4012598-x86-custom.msu

  Windows 8(64비트) 

Windows8-RT-KB4012598-x64-custom.msu

  Windows 8.1(32비트)

windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu

  Windows 8.1(64비트)

windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

  Windows 10(32비트)

windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu

  Windows 10(64비트), WIndows Server 2016(64비트)

windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu

방화벽을 통한 포트 차단

   Windows 7

방화벽 차단_Win7.bat

   Windows 2012, Windows 8.1, Windows 10

방화벽 차단_Win10.bat

SMB 기능 끄기

   Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012

SMB 기능 OFF_Win7.bat

   Windows 2012, Windows 8.1, Windows 10, Windows Server 2016

SMB 기능 OFF_Win10.bat

알약 워너크라이(WannaCry) 예방 조치툴

WannaCryChecker.exe 다운로드

참고 : 

https://support.microsoft.com/en-us/help/2696547

https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

최근 보안업체 Cybellum에서  DoubleAgent 공격에 관한 보고서가 나와 논란입니다. MS사에서 제작한 "Application Verifier" 유틸리티를 악용할 경우 사실상 거의 모든 프로세서를 후킹할 수 있으며, 임의 코드를 실행할 수 있다는 것입니다. 특히나, 시중에 나온 백신들도 이 공격에 취약하기 때문에 심각하다는 의견입니다. 

Application Verifier는 프로그램의 동작을 감시하여 메모리 누수나 잘못된 포인터 지정 등 런타임 결함을 찾아내는 프로그램으로서 기능 특성상 프로세서에 DLL 인젝션(DLL Injection)을 수행합니다. 여기에 백신 프로그램도 예외가 없는 것이죠. 

만약 악의적인 DLL을 인젝션한다면 임의 코드를 통해 백신이 말웨어와 같이 행동하게 할 수도 있습니다. 

다만, 애초에 Application Verifier 를 실행하기 위해 최고 관리자 권한이 필요하기 때문에 이번 취약점은 우려할 수준은 아니라고 합니다. 

왜냐하면 최고 관리자 권한을 획득했다면 사실상 시스템을 장악한 것인데, 많은 부분에서 이미 권한이 있는 상황에서는 위 방법처럼 어렵게 수행하지 않고도 악성행위가 가능하니 큰 의미를 둘 필요는 없다는 것이 백신업체들의 주장입니다. 

즉, 이번 취약점이 윈도우의 관리자 권한까지 탈취할 수 있었다면 충분히 위협이 될 수 있겠지만, 권한 탈취와 별개이기 때문에 파급력은 적다는 것입니다.

저도 위험성을 과장한 경향이 있다고 생각합니다. 사실 권한 탈취가 어려운 것이지. 이미 탈취 한 이후에는 쉽게 조작이 가능합니다. 

어쨌든 백신 업체에서는 이미 패치가 진행중이며, 일부 소수 업체들만 아직 Fix 를 개발 중이라고 합니다. 

기술 참고문서 : http://blog.alyac.co.kr/1030

[보안뉴스] 백신 제품을 멀웨어로 둔갑시키는 더블에이전트 공격 - http://mcaf.ee/uciqn3

출처 : https://twitter.com/mofa_kr/status/611760365030932480

단수 여권 신청 후 다시 해외 나갈 일이 있어서 새 여권을 발급받으려는데, 준비물을 제대로 숙지 못한 탓에 여러번 왔다갔다 했었습니다. 

이번 일로 새롭게 배우는 것도 많았고, 소소한 팁도 생겼습니다.

팁

1. 10년 내 2번 이상 해외 나갈일 있으시면 무조껀 10년 복수 여권 추천드립니다. 

1-1. 사진을 다시 찍어야 합니다. 

  사진 유효기간은 6개월이기 때문에 단수 받으시고, 다음 새로 신청할 때 6개월이 지났으면 다시 찍어야 합니다. 

  여권사진이 보통 8천원~2만원 정도 됩니다.

1-2. 신청 -> 발급 -> 수령 절차를 또 해야 합니다.

  발급처가 가까이 있으시면 상관이 없겠지만, 신청하러 가서 몇일 기다렸다가 또 수령하러 가는 시간과 비용도 무시 못합니다.

  특히 여권이 급히 필요한 일이 있다면 기다리는 시간도 촉박할 수 있습니다. 

1-3. 10년 내 3번 이상 간다면 발급비용 상 복수가 유리합니다. 

  단수는 2만원이고, 복수 10년은 5만원 입니다. 단순히 발급 비용만 따져볼 때 당연히 단수 3번 받는것 보다는 복수 10년이 유리합니다.

1-4. 유효기간이 남은 단수 여권은 재 발급시 꼭 지참해야 합니다.

  단수라고 그냥 버리시면 안되고, 유효기간이 남은 상태에서는 여권을 만들 때 꼭 지참하셔야 합니다. 

  여권을 가지고 있지 않은 상황이라면 새로 발급이 불가하니, 난감할 수 있습니다. (분실시 제외)

2. 경기도청 민원실은 24시 입니다. 

2-1. 새벽에도 운영하는 24시간 입니다.

  시간여력이 안되시는 분들이나, 급하신 분들은 이용하시면 좋습니다. 

2-2. 발급이 늦을 수 있습니다.

  24시간 운영하다보니 신청건수가 많습니다. 

  다른 기관에 비해 발급소요기간이 길수 있으니 주변 타 기관과 고려하시어 이용하시기 바랍니다. 

3. 발급이 가장 빠른 기관을 알아두시면 좋습니다.

3-1. 타 지역에서도 여권 발급이 가능합니다. 

  출장이나 여행 등으로 다른 지역에 있을 때에도 지역내 발급처를 통해 발급이 가능합니다. 

3-2. 발급처마다 특징을 기억해두었다 이용하시면 됩니다. 

  24시간 발급이 되는 곳, 발급이 빠른 곳, 가까운 곳, 접근성이 좋은 곳 등

  자신에 맞는 기관을 선택하실 수 있습니다. 

4. 수령을 위한 재 방문이 어려우면 등기 서비스를 이용하시면 됩니다. 

4-1. 착불 등기 수수료만 지불하시면 됩니다. 

  착불로 배달되며, 편하게 집이나 회사에서 여권을 수령하실 수 있습니다.

4-2. 수령시 반드시 신분증이 필요합니다. 

  등기다보니 수령인 증명이 필요합니다. 따라서 수령받으실 때 신분증을 요구할 수 있으며,

  대리수령일 시 대리수령인의 신분증 및 최초수령인과의 관계를 물어볼 수 있습니다.

4-3. 기간이 오래 걸리니, 급한 경우에는 피해주세요.

  발급 기간 및 배송 기간까지 합하면 1주 이상의 기간이 필요할 수도 있습니다.

  급히 발급해야할 여권이라면 등기서비스는 이용하지 않는 것이 좋습니다.

준비물

 - 발급 비용(현금 또는 카드)

 - 신분증(주민등록증, 운전면허증)

 - 여권용 사진 1매(6개월 이내 촬영본, 사진 부착형은 2매)

 - 유효기간이 남은 여권 (유효기간이 만료되었거나, 최초발급일 경우 제외)

 - 병적증명서 or 주민등록초본 (병적기록 전산상 확인이 불가능할 경우)

 - 법정대리인 동의서 (미성년자, 별도 서식 있음, 발급처내 비치 중, 첨부파일)

 - 법정대리인 신분증 (미성년자)

 - 가족관계증명서 (미성년자, 가족여부 전산상 확인이 불가능할 경우)

참고 : http://www.passport.go.kr/issue/general.php (외교부 여권발급-일반여권)

여권 발급 받는 방법

1. 여권 발급 접수처 확인

  아래 외교부 웹사이트에서 자신의 지역 내 접수처가 어디에 위치하였는지 확인하시기 바랍니다.

  - http://www.passport.go.kr/issue/agency.php(외교부 접수처)

참고 : http://www.passport.go.kr/issue/commission.php (외교부 수수료)

2. 사전에 발급비용이 얼마인지 / 발급조건에 해당 되는지 꼭 확인하시기 바랍니다. 

  - 나이가 18세 미만일 경우 5년으로 제한되어있고, 미필일 경우 발급 년수가 제한될 수 있습니다. 

  - 전자여권으로만 만든다고 보시면 됩니다. 사진부착식 여권은 특수한 경우에만 가능합니다. 

  - 삼성페이 안되는 곳도 있으니, 꼭! 실물 카드 준비하세요

3. 발급처의 여권 관리 부스 근처에 위와 같이 생긴 간이서식이 있습니다. 칸 하나에 글자 하나씩 기재해주세요.

  사진은 따로 붙이지 않고, 접수처에서 사진과 함께 건네면 붙여주시니 풀이 없다고 걱정하실 필요 없습니다. 

  - 기존에 여권 발급 받으신 경우 : 영문 이름과 성은 꼭! 이전과 같은 것으로 기재

  - 처음으로 여권 발급 받으시는 경우 : 되도록 로마자 표기법에 맞게 신중하게 기재 (로마자 표기법 규칙 발급처 내 비치)

  ※ 한글이름 로마자 자동변환 : http://name.krdic.naver.com/translation/?where=name

미성년자의 경우 "법정대리인 동의서"를 추가로 작성해야 합니다.

4. 이제 번호표를 뽑으시고, 순서를 기다리신 뒤, 

차례가 되면 사진, 신분증, 작성한 서류, 유효기간이 남은 여권(해당자만)을 제출하시면 됩니다. 

5. 창구에서 발급 수수료를 결제합니다. 

  - 접수처에 따라 결제만을 별도로 하는 전용 창구가 있을 수 있습니다.

  - 같은 창구에서 결제할 수도 있습니다. 

6. 접수 확인증을 수령합니다. 

  - 접수증 내에는 수령일과 발급번호, 유의사항 등이 담겨있으며 보통 뒷면에는 대리인 수령시 기재사항이 있습니다.

  - 수령일에 방문시 꼭 지참하셔야 합니다. 

7. 접수증을 지참하시고, 수령일에 방문하시어 여권을 수령하시면 됩니다. 

별첨

법정대리인 동의서.pdf

여권발급신청 간이서식.pdf

출처 : http://www.passport.go.kr/issue/document.php (외교부 민원서식)