2017.05.15

포티넷, 워너크라이 랜섬웨어에 대한 대비책 제시

편집부 | ITWorld
포티넷코리아(www.fortinet.com/kr)는 국내에서도 대규모 피해가 우려되고 있는 워너크라이(WCry) 랜섬웨어에 대한 대비책을 제시했다.

포티넷의 연구 기관인 포티가드 랩에서는 5월 12일부터 급속히 번지고 있는 새로운 변종 랜섬웨어를 추적하기 시작했다. 이는 러시아 내무부, 중국 대학, 헝가리 및 스페인 통신업체들, 영국 국립 보건 서비스가 운영하는 병원 등 원거리에 있는 기관들에 영향을 미치는 전염성이 매우 강하고 치명적인 자기복제 랜섬웨어로 알려져 있다. 특히, 24개 이상의 언어로 금전을 요구하는 점이 특징이다.

지난 4월에 포티넷이 발표한 ‘글로벌 보안 위협 전망 보고서’에 의하면, 글로벌 보안위협은 지역별 그룹에 따라 약간의 차이는 있으나, 전반적인 패턴이나 흐름은 거의 비슷하다는 사실을 밝혀냈다. 한 지역에서 유달리 출현율이 높은 봇넷은 다른 지역에서도 비슷한 수준으로 분포돼 있다.

포티넷은 포티넷 제품을 사용 중인 고객의 시스템 보호를 위하여 즉시 AV와 IPS 시그니처를 업데이트 및 배포해 이를 차단했고, 1차 감염된 시스템의 2차 확대 감염을 차단하기 위해서 포티넷 웹 필터링(Fortinet Web filtering) 서비스에서 해당 랜섬웨어에 대한 명령 및 제어 서버(command-and-control servers)와의 통신을 차단했다.

이 랜섬웨어는 WCry, WannaCry, WanaCrypt0r, WannaCrypt 또는 Wana Decrypt0r을 비롯한 여러 가지 이름으로 불려진다. 지난 달, 셰도우 브로커(The Shadow Brokers)로 알려진 해커 그룹이 온라인으로 유출된 NSA 해킹툴을 이용한 ETERNALBLUE 취약점을 공격하여 확산되기 시작했다. ETERNALBLUE는 마이크로소프트(Microsoft) SMBv1(Server Message Block 1.0) 프로토콜의 취약점을 악용한다.

포티넷은 우선 사용 중인 모든 윈도우 시스템에 마이크로소프트 최신 패치를 적용해야 하며, 멀웨어가 다운되지 못하도록 포티게이트(FortiGate)의 웹 필터링(Web filtering) 및 AV 검사 엔진(AV inspection engine)을 활성화시켜 웹 필터링(web filtering)에서 C&C서버와의 통신을 차단해야 한다고 밝혔다. 또한 그룹 정책을 이용해 WNCRY 확장자의 실행을 차단해야 하고, UDP 137/138, TCP 139/445 통신을 격리시켜야 한다고 덧붙였다.

예방 조치로 사용 중인 모든 기기들의 운영체제, 소프트웨어 펌웨드를 주기적으로 업데이트할 수 있도록 설정하고, 다양한 기기를 운영 중인 대규모 조직의 경우, 중앙에서 패치를 관리할 수 있는 시스템을 마련해야 한다고 업체 측은 권고했다.

방화벽에서 IPS, 안티바이러스, 웹 필터를 활성화시키고 최신 버전으로 유지해야 하고, 주기적으로 백업을 수행해야 하고, 백업된 정보들은 무결성을 검증, 암호화하여 관리하고 이 모든 절차들이 정상 작동하는지 지속적으로 확인해야 한다고 덧붙였다.

포티넷코리아의 조현제 대표는 “포티넷은 악성 행동에 대응하기 위해 상황을 적극적으로 모니터링하고 있으며, 새로운 사항이 발견되는 즉시 업데이트해 피해를 최소화하고 적절한 예방 조치가 이뤄질 수 있도록 최선을 다하겠다”고 말했다. editor@itworld.co.kr


2017.05.15

포티넷, 워너크라이 랜섬웨어에 대한 대비책 제시

편집부 | ITWorld
포티넷코리아(www.fortinet.com/kr)는 국내에서도 대규모 피해가 우려되고 있는 워너크라이(WCry) 랜섬웨어에 대한 대비책을 제시했다.

포티넷의 연구 기관인 포티가드 랩에서는 5월 12일부터 급속히 번지고 있는 새로운 변종 랜섬웨어를 추적하기 시작했다. 이는 러시아 내무부, 중국 대학, 헝가리 및 스페인 통신업체들, 영국 국립 보건 서비스가 운영하는 병원 등 원거리에 있는 기관들에 영향을 미치는 전염성이 매우 강하고 치명적인 자기복제 랜섬웨어로 알려져 있다. 특히, 24개 이상의 언어로 금전을 요구하는 점이 특징이다.

지난 4월에 포티넷이 발표한 ‘글로벌 보안 위협 전망 보고서’에 의하면, 글로벌 보안위협은 지역별 그룹에 따라 약간의 차이는 있으나, 전반적인 패턴이나 흐름은 거의 비슷하다는 사실을 밝혀냈다. 한 지역에서 유달리 출현율이 높은 봇넷은 다른 지역에서도 비슷한 수준으로 분포돼 있다.

포티넷은 포티넷 제품을 사용 중인 고객의 시스템 보호를 위하여 즉시 AV와 IPS 시그니처를 업데이트 및 배포해 이를 차단했고, 1차 감염된 시스템의 2차 확대 감염을 차단하기 위해서 포티넷 웹 필터링(Fortinet Web filtering) 서비스에서 해당 랜섬웨어에 대한 명령 및 제어 서버(command-and-control servers)와의 통신을 차단했다.

이 랜섬웨어는 WCry, WannaCry, WanaCrypt0r, WannaCrypt 또는 Wana Decrypt0r을 비롯한 여러 가지 이름으로 불려진다. 지난 달, 셰도우 브로커(The Shadow Brokers)로 알려진 해커 그룹이 온라인으로 유출된 NSA 해킹툴을 이용한 ETERNALBLUE 취약점을 공격하여 확산되기 시작했다. ETERNALBLUE는 마이크로소프트(Microsoft) SMBv1(Server Message Block 1.0) 프로토콜의 취약점을 악용한다.

포티넷은 우선 사용 중인 모든 윈도우 시스템에 마이크로소프트 최신 패치를 적용해야 하며, 멀웨어가 다운되지 못하도록 포티게이트(FortiGate)의 웹 필터링(Web filtering) 및 AV 검사 엔진(AV inspection engine)을 활성화시켜 웹 필터링(web filtering)에서 C&C서버와의 통신을 차단해야 한다고 밝혔다. 또한 그룹 정책을 이용해 WNCRY 확장자의 실행을 차단해야 하고, UDP 137/138, TCP 139/445 통신을 격리시켜야 한다고 덧붙였다.

예방 조치로 사용 중인 모든 기기들의 운영체제, 소프트웨어 펌웨드를 주기적으로 업데이트할 수 있도록 설정하고, 다양한 기기를 운영 중인 대규모 조직의 경우, 중앙에서 패치를 관리할 수 있는 시스템을 마련해야 한다고 업체 측은 권고했다.

방화벽에서 IPS, 안티바이러스, 웹 필터를 활성화시키고 최신 버전으로 유지해야 하고, 주기적으로 백업을 수행해야 하고, 백업된 정보들은 무결성을 검증, 암호화하여 관리하고 이 모든 절차들이 정상 작동하는지 지속적으로 확인해야 한다고 덧붙였다.

포티넷코리아의 조현제 대표는 “포티넷은 악성 행동에 대응하기 위해 상황을 적극적으로 모니터링하고 있으며, 새로운 사항이 발견되는 즉시 업데이트해 피해를 최소화하고 적절한 예방 조치가 이뤄질 수 있도록 최선을 다하겠다”고 말했다. editor@itworld.co.kr


X