[EternalBlue] Windows SMBv1 Vulnerability

이터널 블루란?

EternalBlue는 일련의 Microsoft 소프트웨어 취약점과 NSA가 사이버 공격 도구로 만든 익스플로잇의 이름이다. Microsoft에서 공식적으로 MS17-010으로 명명한 EternalBlue 익스플로잇은 Windows 운영 체제에만 영향을 미치지만 SMBv1(Server Message Block 버전 1) 파일 공유 프로토콜을 사용하는 모든 것은 기술적으로 랜섬웨어 및 기타 사이버 공격의 대상이 될 위험이 있다.

 

EternalBlue는 어떻게 개발되었나?

Microsoft 의 비난 성명서 에 따르면 EternalBlue는 미국 국가안보국(National Security Agency )에서 사이버 보안 취약점을 해당 공급업체에 신고하지 않고 무기화하여 논란의 여지가 있는 프로그램의 일부로 개발했다.

 

유출되기 전에 EternalBlue는 NSA의 사이버 무기고에서 가장 유용한 익스플로잇 중 하나였습니다. 이는 수많은 정보 수집 및 대테러 임무에 사용되었습니다.
— 뉴욕 타임즈

 

어떻게 유출되었나?

NSA가 해킹 을 당하고 자신도 모르는 사이에 EternalBlue의 위협을 전 세계에 퍼뜨린다. NSA가 어떻게 해킹되었는지에 대해서는 공식적으로 알려진 바가 거의 없지만 EternalBlue가 어떻게 유출되었는지는 다음과 같다.

 

악명 높은 해킹 그룹 인 Shadow Brokers는 EternalBlue에 대한 액세스 권한을 얻었고 2017년 4월 14일 Twitter 계정의 링크를 통해 NSA 해킹 도구를 유출했다. Shadow Brokers 해커가 공격한 것은 처음이 아니다. 온라인에서 민감한 익스플로잇과 취약점을 유출한 것이 다섯 번째였다. "Lost in Translation"이라는 제목의 이 특정 릴리스에는 Windows 운영 체제를 대상으로 하는 EternalBlue 익스플로잇이 포함되어 있었다.

 

EternalBlue는 어떻게 작동하나?

EternalBlue 익스플로잇은 이전 버전의 Microsoft 운영 체제에 있는 SMBv1 취약점을 이용하여 작동한다. SMBv1은 1983년 초에 파일, 프린터 및 포트에 대한 공유 액세스를 가능하게 하는 네트워크 통신 프로토콜로 처음 개발되었다. 본질적으로는 Windows 시스템이 원격 서비스를 위해 서로 통신하고 다른 장치와 통신하는 방법이었다.

 

이 익스플로잇은 Microsoft Windows가 악의적인 공격자로부터 특수하게 조작된 패킷을 처리하거나 잘못 처리하는 방식을 사용한다. 공격자가 해야 할 일은 악의적으로 제작된 패킷을 대상 서버 에 보내는 것 뿐이며, 한때 붐이 일면서 악성코드가 전파되고 사이버 공격이 이어졌다.

 

EternalBlue의 공통 취약성 및 노출 번호는 국가 취약성 데이터베이스에 CVE-2017-0144 로 기록 되었다.

 

Microsoft의 패치는 보안 취약점을 완전히 차단 하여 EternalBlue 익스플로잇을 사용하여 랜섬 웨어, 맬웨어, 크립토재킹 또는 기타 웜과 유사한 디지털 침투 시도를 배포하려는 시도를 방지한다. 그러나 중요한 문제는 여전히 남아 있다. 많은 Windows 버전에서 보호 기능을 제공하려면 소프트웨어 업데이트를 설치해야 한다. 하지만 많은 사람들 심지어 기업도 소프트웨어를 정기적으로 업데이트하지 않는다.

 

현재까지도 패치되지 않은 취약한 Windows 시스템의 수는 수백만 개가 남아 있다고 한다 .