워너크라이 랜섬웨어 방지 대책 - SMB 사용설정 및 방화벽 설정

워너크라이 랜섬웨어에 감염되는 사태가 전세계적으로 일어나고 있다. 일단 확산을 멈추기는 했지만, 변종이 나올 수도 있고 하니 SMB 약점을 이용한 감염경로를 차단해두자.

 

감염경로 차단 순서는 이렇다.

 

1. 인터넷 차단하고 PC 부팅

2. SMB사용 안함 설정 & SMB 포트 차단

3. 인터넷 연결 후 최신 보안 업데이트

 

여기서는 윈도우7 중심으로 설정해본다.

 

SMB 사용안함

 

Windows Vista, Windows Server 2008, Windows 7 사용시

 

 

시작버튼

-> 프로그램 및 파일검색 창에 'Windows Powershell' 입력

-> 'Windows PowerShell' 항목에서 마우스 오른쪽 클릭

-> 관리자 권한으로 실행

 

 

파워쉘 화면이 뜨면 아래 텍스트를 복사해서 파워쉘에 붙여넣으면 됨.

 

set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters" SMB1 -Type DWORD -Value 0 -Force

set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters" SMB2  -Type DWORD -Value 0 -Force

각각 하나씩 입력해야 함. 제대로 실행되면 별다른 메시지 없이 다시 프롬프트가 나옴. 아래가 제대로 실행된 화면.

 

 

일단 여기까지하면 SMB 사용안함 설정은 끝.

 

Windows 8.1, Windows Server 2012 R2 이상은 아래와 같이 하면 된다 함.

* 클라이언트 운영체제: 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제 -> SMB1.0/CIFS 파일 공유 지원 체크해제 -> 시스템 재시작

* 서버 운영체제: 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제 -> 확인 -> 시스템 재시작

 

방화벽 설정 - SMB 포트 차단

 

말 그대로 방화벽을 이용한 포트 차단. 그림보고 따라하면 됨.

 

 

제어판 -> (시스템 및 보안) -> Windows 방화벽 -> 고급설정

 

 

 

인바운드 규칙 -> 새규칙 -> 포트 -> '다음' 버튼 클릭

 

 

TCP -> 특정 로컬 포트 -> "137-139, 445" 입력 -> 다음 버튼 클릭

 

 

연결차단 -> 다음

 

 

모두 다 체크돼 있는지 확인 -> 다음

-> '이름'만 아무거나 입력 -> 마침 버튼. (나중에 이 이름을 찾아서 수정해줄 수 있음)

 

여기까지만 하면 오프라인에서 설정해주는 건 끝. 인터넷에 연결하고 업데이트 함.

 

보안 업데이트

 

보안 업데이트는 그냥 'Windows 자ㅣ동 업데이트'를 이용하면 됨. 너무 오래 걸릴 것 같으면, 항목에서 '보안 업데이트'만 체크해서 업데이트 해 줌.

 

아래 마이크로소프트사 공식 블로그에 가면 해당 윈도우 버전마다 수동 업데이트 링크가 걸려 있긴 함.

 

> Customer Guidance for WannaCrypt attacks

 

 

참고자료

* SMB 취약점 관련 Windows XP, Server 2003 등 긴급 보안 업데이트 권고 (KISA)

* SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령 (KISA)