공유폴더 비번 탈취하는 SMB 웜 도구 주의!

기업 시스템 관리자, SMB 웜 도구 스노트 룰 적용 필요

[보안뉴스 김지언] 최근 미국 영화사 해킹 사고에서 SMB 웜 도구를 이용해 공유 폴더, 시스템 아이디, 시스템 패스워드 등이 유출되는 사건이 발생해 국내에서도 대비가 필요하다.

이에 Microsoft Windows 운영체제를 사용하는 경우 백신을 설치하고 항상 최신 업데이트 상태를 유지해야 한다. 또 취약점을 통해 악성코드가 전파되는 것을 방지하기 위해 운영체제와 응용 프로그램을 최신 업데이트 상태로 유지해야 하며, 공유 폴더 사용을 자제하고 취약한 패스워드보다는 영문, 숫자, 특수문자를 조합한 8자리 이상의 비밀번호를 설정해야 한다.

기업 시스템 관리자의 경우, 444번과 445번 포트의 모니터링이 필요하며 다음과 같은 스노트 룰을 적용해야 한다. 또한, SMB 웜 도구를 이용해 전파되는 하드디스크 파괴형 악성코드에 의한 시스템 파괴를 대비하기 위해 정보자산 접근통제, 모니터링, 복구 등 침해사고 예방과 대응방안 마련이 필요하다.

[SMB 웜 도구 스노트 룰 적용]

alert tcp any any -> any any (msg:"Wiper 2"; sid:42000002; rev:1; flow:established; content:"|c9 06 d9 96 fc 37 23 5a fe f9 40 ba 4c 94 14 98|"; depth:16; classtype:bad-unknown;)

alert tcp any any -> any any (msg:"Wiper 3"; sid:42000003; rev:1; flow:established; content:"|aa 64 ba f2 56|"; depth:50; classtype:bad-unknown;)

alert ip any any -> any any (msg:"Wiper 4"; sid:42000004; rev:1; content:"|aa 74 ba f2 b9 75|"; depth:74; classtype:bad-unknown;)

alert tcp any any -> any [8000,8080] (msg:"Wiper 5"; sid:42000005; rev:1; flow:established,to_server; dsize:42; byte_test:2,=,40,0,little; content:"|04 00 00 00|"; depth:4; offset:38; classtype:bad-unknown;)

[용어 정리]

SMB(Server Message Block) : 마이크로소프트 사의 윈도우즈 및 도스 운영체제에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식

[김지언 기자(boan4@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)