최근 랜섬웨어(Ransomware)를 통한 공격이 늘어나고 있습니다. 이에 대비하여 AWS 클라우드를 사용하는 고객의 대응 방안에 대해 알려드리는 보안 특집 세미나입니다. 본 세션에서는 다원화되고 있는 랜섬웨어 공격 패턴과 WannaCry 같은 잘 알려진 공격 및 이에 대한 AWS 공식적인 보안 공지 및 대응 매뉴얼을 소개합니다. 또한, AWS 고객들이 랜섬웨어 공격에 미리 대비하기 위해 OS 패치 및 보안 관리를 위한 EC2 System Manager, VPC 보안 그룹 및 Flow Logs 활용 방법, AWS Inspector 를 통한 취약점 관리 등에 대해 상세히 설명합니다.

1. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
신용녀 솔루션아키텍트
2017.7.27
랜섬웨어와 클라우드 보안

2. 강연 중 질문하는 법
자신이 질문한 내역이 표시되며, 전체 공개로 답변된 내용은 검은색,
질문자 본인에게만 공개로 답변된 내용은 붉은 색으로 돌아옵니다.

3. 본 세션의 주요 주제
•
•
•
•

5. 2011년 1년 동안 발견된
악성코드
2017년 1분기 발견된
악성코드
전체 악성코드는 8억 +
2017년 하루에 발견되는
신/변종 악성코드
<출처:Ahnlab>
21만
2000만
8억 +

6. 구분
2015년 2016년
1분기 2분기 3분기 4분기 합계 1분기 2분기 3분기 4분기 합계
랜섬웨어
민원접수
0 127 58 585 770 176 353 197 712 1438
15-­16년 랜섬웨어 피해 민원접수 현황
<출처:한국인터넷 진흥원>
Ransom(몸값) + Ware(제품)의 합성어
사용자의 컴퓨터 화면을 잠그거나
문서등을 암호화 후 사용자에게
해독용 프로그램을 전송해 준다며
금전을 요구
이메일, SNS, 웹하드, 웹사이트
방문등으로 감염

7. <출처:한국인터넷 진흥원>

8. 랜섬웨어가 기존의 악성코드와 가장 큰 차이점은 수많은 변종이 지속적으로 개발
모든 랜섬웨어에 대한 샘플을 수집하기 어려울 정도로 변종이 발생하고 있기에 대응이 어려움
세계적으로 유포가 발생한 랜섬웨어의 진화 과정을 나타냄
<출처:Ahnlab>

9. <출처:한국인터넷 진흥원>

10. <출처:한국인터넷 진흥원>

11. <출처:한국인터넷 진흥원>

12. <출처:한국인터넷 진흥원>

13. • Wanna Cry의 경우 원본 파일 외에 별도로 암호화 파일을 생성한 후 삭제하였기
때문에 데이터 복구 소프트웨어로도 복원이 가능한 경우도 존재
• 디스크에 여유공간이 충분해야 하며, C:Users 하위 폴더는 권한 문제로 데이터
복구 소프트웨어로 복원 불가

14. 탐색기 확장자 숨김 설정
Code Injection
Process Hollowing
Sleeping
빠른 확산
암호화
자동실행
복원 지점 삭제
Cryptoransomware
변종증가
업그레이드
해커/공급자/지불대행

15. 우리가 다 아는 이야기….
<출처:한국인터넷 진흥원>

16. Wanna Cry
• Malware / Ransomware
• 176개 파일 타입을 암호화
• 27개 언어
• $300 Ransom
• 7일 Timer
• Affects Microsoft Windows

17. SMB 취약점 공식 패치
쉐도우브로커, NSA의 이터널블루(EternalBlue) 익스플로잇 공개
해당 취약점 악용해 유포된 국내외 “워너크라이(워너크립트, 워너디크립
트, 워너크립토라고도 불림)”라는 랜섬웨어 감염 사례 보고
kill switch 동작
3.14
4.14
5.12
5.13
Wanna Cry 진행

18. Official Security Bulletin
• AWS is aware of the WannaCry ransomware (also known as WCry,
WanaCrypt0r 2.0 and Wanna Decryptor) that leverages issues in
multiple versions of Microsoft Windows SMB Server. By default, this
software operates on UDP ports 137 & 138, and TCP ports 139 & 445.
It provides remote systems with file and print sharing services. On
March 14, 2017, Microsoft released a critical security update for
Microsoft Windows SMB Server, which mitigates this issue.
• https://aws.amazon.com/security/security-bulletins/AWS-2017-006/
• Subscribe to the RSS feed!

19. Official Security Bulletin
• AWS customers using the AWS-provided Windows AMIs from the
2017.04.12 release, or that have enabled automatic updates are not
affected. We encourage customers using an older AMI or who do not
have automatic updates enabled to install the security update.
• https://aws.amazon.com/security/security-bulletins/AWS-2017-006/

20. Official Security Bulletin

21. 책임 공유 모델
AWS 기본 서비스
컴퓨팅 스토리지 데이터베이스 네트워킹
AWS 글로벌
인프라 리전
가용 영역
엣지 로케이션
클라이언트 측 데이터 암호화
및 데이터 무결성 인증
서버 측 암호화
(파일 시스템 or 데이터)
네트워크 트래픽 보호
(암호화/무결성/자격 증명)
플랫폼, 어플리케이션, 신원 및 접근 제어(IAM)
운영체제, 네트워크, 방화벽 설정
고객 어플리케이션 및 컨텐츠
Customers
AWS
서비스
파트너
솔루션
AWS와 고객이 보안을 함께 완성할 책임이 있습니다.

22. Abuse report
https://aws.amazon.com/ko/premiumsupport/knowledge-­center/report-­aws-­abuse/

23. EternalBlue
해커집단 쉐도우브로커는 NSA가 이용했던 여러 공격 툴을 공개
• EternalBlue는 인증없이 Window 7 및 Window Server 2008을 공격하는데 사용할 수 있는 유일한 프로그램
• 대상 컴퓨터에 악성 DLL을 원격으로 주입하기 위한 플로그인 DoublePulsar를 사용
• EternalBlue로 공격 후 Empire로 악성 DLL을 만들어 DoublePulsar로 DLL인젝션을 하여 세션을 획득

24. 감염 경로
많은 랜섬웨어가 메일 첨부 파일이나 홈페이지 방문 할 때 감염되는데 반해
WannaCryptor 랜섬웨어는 MS17-010 (Microsoft Windows SMBv2 원격코드실행
취약점)을 통해 감염 되며 윈도우 2017년 3월 보안 업데이트가 적용되지 않은
시스템에서은 별도의 동작 없이도 감염
자신의 로컬 IP대역의 D클래스 대역을 (xxx.xxx.xxx.1~255) 을 스캔하여 SMB 프로토콜
패킷을 반복하여 전송

25. 공격 대상?
취약점 종류
Windows SMB 원격 코드 실행 취약성(CVE-2017-0143)
Windows SMB 원격 코드 실행 취약성(CVE-2017-0144)
Windows SMB 원격 코드 실행 취약성(CVE-2017-0145)
Windows SMB 원격 코드 실행 취약성(CVE-2017-0146)
Windows SMB 정보 유출 취약성 (CVE-2017-0147)
Windows SMB 원격 코드 실행 취약성(CVE-2017-0148)
영향 받는 버전
Windows 10 (취약점을 갖고 있으나, WannaCryptor의 공격대상은 아님) Windows 8.1
Windows RT 8.1 Windows 7
Windows Server 2016 Windows Server 2012 R2 Windows server 2008 R2 SP1 SP2
윈도우 2017년 3월 보안 업데이트가 적용되지 않은 시스템은 대부분
해당

26. 상세 분석
인터넷이 안되는 등의 이유로 해당 사이트 접속이 안되면 악성코드와 관련된
파일을 생성하고 파일 암호가 진행
<출처:Ahnlab>
• 악성코드가 실행되면 특정URL에 접속을 시도해 성공하면 악성코드는 종료
• 악성코드 발견 당시 해당 도메인은 존재하지 않아 한 분석가가 도메인을 구매해
랜섬웨어의 전파를 차단(Kill Switch)

27. 암호화 방식
<출처:Ahnlab>
Taskche.exe파일을 이용해 암호화 모듈인 t.wnry파일을 복호화하고 이를
자신의 메모리에 로드하여 암호화를 진행

28. First…if there is a security incident..
• If you have an urgent security concern please cut a SEV-2 ticket
to:
• "AWS / IT Security / Security Issue" and / or email Page AWS IT
Security Primary Team
• Our security team would prefer to have a ticket cut than you
think it is not important to them.

29. How could customers have
been prepared?

30. Prevent – Patching with EC2 Systems Manager
Patch Manager is an automated tool that helps you simplify your operating system
patching process, including selecting the patches you want to deploy, the timing for
patch roll-­outs, controlling instance reboots, and many other tasks.

31. Patch Manager
• Express custom patch policies as patch baselines
e.g., apply critical patches on day 1 but wait 7 days for non-­critical patches
• Perform patching during scheduled maintenance windows
• Eliminates manual intervention and reduces time-­to-­deploy for critical
updates and zero-­day vulnerabilities
• Built-­in patch compliance reporting
Roll out Windows OS patches using custom-­defined rules
and pre-­scheduled maintenance windows

32. Patch Management for Windows

33. Patch Baselines – Approval Rules

34. Patch Group 수정

35. ex ) Patch Management for Windows
In each instances
In a patch baseline

36. ex ) Patch Management for Windows

37. ex ) Patch Management for Windows
In a maintenance window

38. ex ) Patch Management for Windows
Search Window instances need to be updated

39. Prevent – Security Group Inbound

40. Prevent – Security Group Outbound

41. Prevent – Security Group (CIS Benchmark)
4.4 Ensure the default security group of every VPC restricts all traffic
For each default security group, perform the following:
1. Select the default security group
2. Click the Inbound Rules tab
3. Ensure no rule exist
4. Click the Outbound Rules tab
5. Ensure no rules exist
https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmar
k.pdf
https://github.com/awslabs/aws-­security-­benchmark/tree/master/
aws_cis_foundation_framework

42. Prevent – Security Group (CIS Benchmark)

43. Source IP
Destination IP
Source port
Destination port
Protocol Packets
Bytes Start/end time
Accept
or reject
Detect with VPC Flow Logs

44. Detect with VPC Flow Logs
Easy to setup, will identify compromised hosts in your environment:
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-­
logs.html#flow-­logs-­cw-­alarm-­example
[version, account, eni, source, destination, srcport, destport=”445",
protocol="6", packets, bytes, windowstart, windowend,
action="REJECT", flowlogstatus]

45. AWS Inspector
• Agent 기반 - 어플리케이션 보안 수준 진단
• 보안 진단 결과 – 가이드 제공
• API를 통한 자동화
• Rule Package
• CVE (common vulnerabilities and exposures) – 수천개 항목
• Network security best practices
• Authentication best practices
• Operating system security best practices
• Application security best practices

49. Detect (& Prevent) with Third Parties
• Host Intrusion Detection
Preventions (HIDS)
• Agent-based solution scales
as instances scale
• Agent can be monitoring
and controlled centrally
• Access to unencrypted data
and process and user context
Host-based Security Host-based Security
Central Monitoring
and Control

50. •
• 630247214269 eni-0123456a 10.0.1.221
10.76.2.101 27039 445 6 5 268
1466491141 1466491200 REJECT OK
?
Web
Instance
Web
Instance
443 IN | 3128 OUT 443 IN | 3128 OUT

51. Respond with Automation
SnapshotWeb
Instance
Instance
Anomaly
Detected
Amazon EBS
Amazon EBS
Mem
Dump
Web
Instance
Forensics
Application VPC Cleanroom VPC
Share Snapshot
Create New Volume
443 IN | 3128 OUT n/a IN | n/a OUT

52. 질문에 대한 답변 드립니다.
발표자료/녹화영상 제공합니다.
http://bit.ly/awskr-webinar
더 나은 세미나를 위해
여러분의 의견을 남겨 주세요!