Wannacry

inlinetoc

윈도우의 SMB(Server Message Block)/CIFS(Common Internet File System)의 취약점을 이용해 네트워크로 침투하여 주요 파일들을 암호화한 후 돈을 요구한다.

윈도우 XP는 SMB(Server Message Block)/CIFS(Common Internet File System) 가 기본으로 설치 되지 않는다. 따라서 상관없다.

SMB 취약점 영향을 받는 시스템은 다음과 같다.

  • Windows 10 (취약점을 갖고 있으나, WannaCryptor의 공격대상은 아님)
  • Windows 8.1
  • Windows RT 8.1
  • Windows 7
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows server 2008 R2 SP1 SP2

동작

자신의 로컬 IP대역의 D클래스 대역을 (xxx.xxx.xxx.1~255) 을 스캔하여 SMB 프로토콜 패킷을 반복하여 전송한다.

이후 수신되는 데이터를 검증하여 취약점이 발생하는 SMB 패킷 헤더에 실행코드를 추가한 데이터를 추가 전송한다. 타겟 시스템의 운영체제가 취약점 패치되지 않은 환경일 경우 악의적인 쉘코드가 동작한다.

출처: http://asec.ahnlab.com/1067 [ASEC Threat Research & Response blog]

출처: http://asec.ahnlab.com/1067 [ASEC Threat Research & Response blog]