WannaCry 랜섬웨어에 대하여

2017. 05. 15, 16:00 

현재까지 wannacry 랜섬웨어에 대한 불안감으로 인해 많은 기업들이 혼란을 겪고 있다.

보호나라(https://www.krcert.or.kr)등 구글링 조금만 해보면 대응책을 알 수 있지만, WannaCry 랜섬웨어 대응 방법에 대한 설명은 나와있지 않아 작성코자 한다.

Q1. 현재 나온 랜섬웨어 예방방법

-       [ 인바운드규칙 -> 137-139,445 포트차단 ]

 

Q2. 저게 도대체 무엇인데 차단하는가?

-       137-139번 : NetBios 포트

è  각각 개별 컴터끼리 근거리 통신망내에서 서로 통신 할 수 있게 해주는 기능

-       445번 : Smb(Server Message Block) 포트

è  파일공유&프린터 공유를 할 수 있게 도와주는 기능

 

Q3. 쉽게 설명하자면

-       NetBios이란 컴퓨터이름이라고 볼 수 있음
시작>내컴퓨터>속성>보안탭 을 눌러보면 전체 컴퓨터 이름 및 컴퓨터 이름 조회

-       간단하게 이것을 NetBios네임으로 봐도 무방
원래 네트워크는 ip, mac등으로 통신을 하는데 윈도우는 이 컴퓨터 이름가지고도 통신 함

-       이것이 가능하게 하는 이유는 netbios 프로토콜 때문임

동작원리는 간단하게 컴퓨터이름을 ip로 바꿔서 통신하는 것

 

-       다음으로 smb는 파일이나 프린터 자원을 공유할 수 있도록 해주는 프로그램

쉽게 설명해서 네트워크 프린터를 사용해 어느 pc에서든 프린터ip를 등록해주면 프린트를 쓸 수 있게 해주는 기능

 

Q4. 차단하는 이유

-       SMB 포트의 경우 요즘 유행하는 랜섬웨어가 기존 랜섬웨어와 다르게 Windows의 SMB 취약점을 이용한 랜섬웨어기 때문에 네트워크에만 연결되있다면 감염

-       Netbios가 열려있는 컴터는 해커들이 주로 써먹는 단골호구라 해킹 당하기 쉽기 때문에 같이 막아주는 것