"EternalBlue"는 Windows 95와 Windows 10 사이의 모든 Windows 운영 체제에 존재하는 SMBv1의 취약점에 대해 유출된 NSA 개발 익스플로잇의 이름입니다. 서버 메시지 블록 버전 1 또는 SMBv1은 네트워크를 통해 파일, 프린터 및 직렬 포트에 대한 액세스를 공유하는 데 사용되는 통신 프로토콜입니다.
팁: NSA는 이전에 "Equation Group" 위협 행위자로 식별되었으며, 다른 익스플로잇 및 활동이 이에 연결되었습니다.
NSA는 적어도 2011년에 SMB 프로토콜의 취약점을 확인했습니다. 자체 사용을 위해 취약점을 비축하는 전략에 따라 문제를 패치할 수 있도록 Microsoft에 공개하지 않기로 결정했습니다. 그런 다음 NSA는 EternalBlue라고 하는 문제에 대한 익스플로잇을 개발했습니다. EternalBlue는 사용자 상호 작용 없이 관리자 수준의 임의 코드 실행을 허용하므로 취약한 컴퓨터에 대한 완전한 제어 권한을 부여할 수 있습니다.
그림자 브로커
2016년 8월 이전 어느 시점에서 NSA는 러시아 국가 후원 해킹 그룹으로 여겨지는 "The Shadow Brokers"라는 그룹에 의해 해킹되었습니다. Shadow Brokers는 방대한 데이터 및 해킹 도구에 대한 액세스 권한을 얻었습니다. 처음에는 경매를 통해 돈을 받고 팔려고 했지만 관심을 거의 받지 못했습니다.
팁: "국가 후원 해킹 그룹"은 정부의 명시적인 동의, 지원 및 지시에 따라 또는 공식 정부의 공격적인 사이버 그룹을 위해 활동하는 한 명 이상의 해커입니다. 두 옵션 모두 해당 그룹이 매우 자격이 있고, 대상을 지정하고, 행동에 신중을 기하고 있음을 나타냅니다.
그들의 도구가 손상되었음을 이해한 후 NSA는 패치를 개발할 수 있도록 취약점에 대한 세부 정보를 Microsoft에 알렸습니다. 원래 2017년 2월에 릴리스될 예정이었으나 문제가 올바르게 수정되었는지 확인하기 위해 패치가 3월로 미뤄졌습니다. 14일NS 2017년 3월 Microsoft는 EternalBlue 취약점에 대해 자세히 설명하는 업데이트를 게시했습니다.
보안 게시판 MS17-010, Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 및 Server 2016용.한 달 뒤인 14일NS 4월에 The Shadow Brokers는 수십 가지의 다른 익스플로잇 및 세부 정보와 함께 익스플로잇을 게시했습니다. 불행하게도 익스플로잇이 공개되기 한 달 전에 패치를 사용할 수 있음에도 불구하고 많은 시스템이 패치를 설치하지 않고 취약한 상태로 남아 있었습니다.
EternalBlue 사용
익스플로잇이 게시된 지 한 달도 채 되지 않은 12일NS 2017년 5월 "Wannacry" 랜섬웨어 웜이 EternalBlue 익스플로잇을 사용하여 시작되어 최대한 많은 시스템에 확산되었습니다. 다음 날 Microsoft는 지원되지 않는 Windows 버전인 XP, 8 및 Server 2003에 대한 긴급 보안 패치를 출시했습니다.
팁: "랜섬웨어"는 감염된 장치를 암호화한 다음 일반적으로 비트코인 또는 기타 암호화폐에 대한 해독 키를 몸값에 보관하는 악성 프로그램입니다. "웜"은 컴퓨터가 개별적으로 감염되도록 요구하지 않고 다른 컴퓨터에 자동으로 전파하는 악성 프로그램의 일종입니다.
에 따르면 IBM 엑스포스 "Wannacry" 랜섬웨어 웜은 Windows 7 및 Server 2008에서만 안정적으로 작동했지만 150개국에서 80억 달러 이상의 피해를 입혔습니다. 2018년 2월, 보안 연구원들은 Windows 2000 이후의 모든 Windows 버전에서 안정적으로 작동할 수 있도록 익스플로잇을 성공적으로 수정했습니다.
2019년 5월 미국 볼티모어는 EternalBlue 익스플로잇을 활용한 사이버 공격을 받았습니다. 많은 사이버 보안 전문가들은 패치가 2년 이상 사용 가능했기 때문에 이러한 상황은 완전히 예방할 수 있다고 지적했습니다. 그 시점에서 2년 동안 "Public Exploits"가 포함된 "Critical Security Patches"가 최소한 설치되었습니다.