[한국인터넷진흥원] AD 운용 기업 AD 보안강화 당부
기업에서 운용하는 액티브 디렉토리(AD, Active Directory)의 관리자 계정을 탈취한 후 연결된 서버 및 PC로 랜섬웨어를 유포하는 사례가 2019년 2월~3월 발생한 이후 최근 다시 발생하고 있습니다.
AD를 운용하는 기업 및 기관은 KISA보호나라(www.boho.or.kr) 홈페이지의 아래 링크를 참고하여 AD 보안강화를 당부드리며,랜섬웨어 감염사고 발생 시 한국인터넷진흥원(국번없이 118)으로 신고하여 주시기 바랍니다.
[보안공지]
o 기업 윈도우 서버를 공격하는 신종 랜섬웨어 감염 확산 주의 (2.22)
https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=34959
o 기업 대상 윈도우 서버를 공격하는 클롭(CLOP) 랜섬웨어 감염 주의 권고(2차) (3.4)
https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=34971
[기술문서]
o AD(Active Directory) 관리자 계정 탈취 침해사고 분석 기술 보고서 (2.27)
https://www.boho.or.kr/data/reportView.do?bulletin_writing_sequence=34964
o AD(Active Directory) 관리자가 피해야 할 6가지 AD 운영 사례 (4.2)
https://www.boho.or.kr/data/reportView.do?bulletin_writing_sequence=34988
21개의 댓글이 있습니다.
좋은 정보 감사합니다~
늘 좋은 정보 감사합니다.
좋은정보 감사합니다.
AD를 사용하고 있지 않아서 다행이긴하나, 랜섬웨어가 점점 강력해지네요 ㅠㅠ
좋은정보 감사합니다
AD는아니었지만 얼마전에 랜섬웨어 당했습니다
다 잡아서 요덕수용소에 보내버렸으면!
좋은정보 감사합니다.
저도 최근에 관리자를 사칭한 메일이 한국 유저에게 무작위로 발송되어
Group 보안정책으로 차단되도록 하고 공지를 한 적 있습니다.
관리자 계정 탈취라.. 당하는 입장에서는 정말 무서운 일이겠네요.
KISA 에서 AD 서버 관리시 주의사항 6가지를 얘기했네요 업무에 참고하세요
* 발급된 계정이 모두 ‘관리자 그룹’에 포함되는가?
* 서비스 관리를 위해 서버에 ‘관리자 그룹’ 계정으로 로그온 하는가?
* 시스템에 불필요하게 ‘관리자 그룹’ 계정으로 실행되고 있는 서비스가 있는가?
* 긴급 상황 시, AD ‘관리자 그룹’ 계정의 비밀번호를 신속히 바꿀 수 있는가?
* 백업 서버가 AD에 Join되어 있는가?
* 운영체제 업데이트가 최신 버전으로 유지되고 있는가?
일반랜섬웨어가 커피라면 AD 계정탈취 후 유포는 티오피네요 ;;
진짜 무서운 일 입니다.
주의 한다고는 하지만 두렵습니다.
좋은 정보 감사드립니다. 저희 회사에서도 참고할게요
참고로 국내 대형 쇼핑 관련 업계도 크게 당했습니다.
AD 취약점 꼭 패치하셔야 해요
공유 감사드립니다. 랜섬웨어는 언제쯤 소멸시켜버릴 수 있을지 ㅠㅠ
공유감사합니다. 무섭네요. AD랜섬웨어
AD운영중이신 회사는 꼭 읽어 보시기 바랍니다.
시작은 스팸메일로 시작해서
해외 C&C 서버와 원격 세션 맺고 윈도우 업데이트 관련 프로그램과 mimikatz라는 계정 탈취 툴로 AD 계정 알아내서
AD -> 전사로 뿌리는 Clop 랜섬웨어 입니다.
거의 대한민국에 특화된 랜섬웨어입니다.
최근 엑셀이나 워드 파일에 매크로로 트로이 목마 심어져 오는건 거의 이 목적이라고 보시면 됩니다.
수많은 업체들이 당하고 있습니다.
다들 쉬쉬하고 있다보니 밖으로 드러나지 않는데.. 피해가 엄청납니다.
전에 제가 남긴 내용입니다.
https://www.sharedit.co.kr/freeboards/21189
ad관리자계정이 탈취당하면...
그냥 전체를 내준거 아닌가요?