전 세계가 랜섬웨어 WannaCry로 인해 피해로 몸살을 앓고 있고
국내 또한 사이버 안전센터 및 한국인터넷진흥원에서는
사이버 위기 경보 단계를 '관심'에서 '주의'로 상향 조정하였습니다.
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703
그외 IBM에서도 인터넷 위협 수준을
AlertCon 3으로 매우 위험한 상태라고 경고하고 있습니다.
이에 초보자분들을 위해 다음의 배치스크립트 코드를 작성하여 공유하고자 합니다.
스크립트 내용은 별거는 아니지만, wannacry를 예방할 수 있도록 다음과 같은 것들을 수행합니다.
1. 스마트카드 서비스 해제
2. MS보호서비스 가동 및 자동실행 설정
3. smb1 protocol 해제
4. smb1, smb2 서비스 관련 레지스터리 해제 (1 -> 0)
5. SMB 관련 방화벽 차단
(이중 5번을 적용하면 3번과 4번은 굳이 적용 안하셔도 됩니다.)
스크립트 적용방법은 일단 최신 OS업데이트를 받으시고..
아래 스크립트를 복사하여 메모장에 작성하신후 wanna_secure.bat 으로 저장해주세요.
그리고 작성된 wanna_secure.bat 파일을 관리자 권한으로 실행시켜 주시면 됩니다.
참고로 해당 스크립트는 윈도우7에서만 테스트 하였습니다. (XP에서는 몇몇 명령어가 작동하지 않겠지만.. 적어도 SMB와 방화벽은 가동될것입니다.)
출처는 http://stackoverflow.com/questions/43952057/how-to-protect-from-wcrypt-wanna-cry외 다수 웹사이트 입니다.
rem disable smartcard service
net stop SCardSvr
net stop SCPolicySvc
sc config SCardSvr start=disabled
sc config SCPolicySvc start=disabled
rem MS security service start
net start MpsSvc
sc config MpsSvc start=auto
rem disable SMB1 Protocol
rem Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
dism /online /norestart /disable-feature /featurename:SMB1Protocol
powershell -Command "& {set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters" SMB1 -Type DWORD -Value 0 -Force}"
powershell -Command "& {set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters" SMB2 -Type DWORD -Value 0 -Force}"
rem Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
rem disable SMB port
rem http://stackoverflow.com/questions/43952057/how-to-protect-from-wcrypt-wanna-cry
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="RansomWannaCry_Block_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=UDP localport=137 name="RansomWannaCry_Block_UDP-137"
netsh advfirewall firewall add rule dir=in action=block protocol=UDP localport=138 name="RansomWannaCry_Block_UDP-138"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=139 name="RansomWannaCry_Block_TCP-139"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="RansomWannaCry_Block_TCP-445"
만약 SMB서버를 불가피하게 운영하실 경우,
공유기 또는 기타 네트워크 장비에서 다음의 [아이피주소:포트] 를 아웃바운드 정책으로 차단해주세요.
- 197.231.221.221:9001
- 128.31.0.39:9191
- 149.202.160.69:9001
- 46.101.166.19:9090
- 91.121.65.179:9001
- 2.3.69.209:9001
- 146.0.32.144:9001
- 50.7.161.218:9001
- 217.79.179.177:9001
- 213.61.66.116:9003
- 212.47.232.237:9001
- 81.30.158.223:9001
- 79.172.193.32:443
- 38.229.72.16:443
이보다 가장 중요한것은 다음의 관련 보안 패치입니다.
** 비스타 버전 이상
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
** XP 버전
jsb000.tistory.com/636
더불어 프로그램 추가 및 기능 에서 SMB 서비스를 추가해주셔야 합니다.
공유폴더클라이언트에서 실행했을때도 네트워크 드라이브 접속이 끊어지게되나요?
네트워크드라이브 끊기면 업무도 못하는데 실행해도 될지 고민되네요
일단 다음 링크의 보안패치를 받아서 실행하시고.
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
조금 불안하시다면 그림처럼 방화벽 설정에서 특정 아이피만 허용할 수 있도록 방화벽을 추가해주시면 될꺼 같습니다.
추가된 아이피 주소에 대해
공유기에서 차단해주세요.(아웃바운드 정책)
그리고 5번과정으로 차단된 포트 한번에 원상태로 돌리는 스크립트는 없나요?
그리고 135포트는 NetBIOS 관련 포트로 알고 있어서 추가해주었습니다. (138하고 445포트만 막아도 되긴 합니다.)
SMB복구 관련 올려놨습니다.
SMB복구 관련 올려놨습니다.
아이피만 모두 차단하셔도 됩니다.
네트워크 드라이브 (SMB)끄는거라서요
SMB복구 관련 올려놨습니다.
실례안된다면 이거 웃대같은 다른사이트에 퍼가도 될까요???
가능하다면, 출처만 알려주시면 감사하겟습니다.
방화벽 -> 고급설정 -> 인바운드 규칙보면
RansomWannaCry_Block_TCP- 포트번호
이렇게 되어 있는데, 135,137,138,139,445 가 있는데
이걸 몽땅 사용안함으로 해주면 포트는 풀리는게 맞나요?ㅎ
이것 이외에 원상복구해야할 설정들이 있는지요!?
SMB복구 관련 올려놨습니다.
https://drive.google.com/file/d/0B-EC1ycA3nhKeW81bUw0Nll4VGs/view?usp=sharing
말씀해주신것 고대로 타차져첫 배치파일 만들어봤습니다.
모바일로 다운받아서 usb 메모리에 복사해서 인터넷 차단하고 설치했네요. (OTG 되는 폰에서 다운 받으셔야...ㅎ)