AD 관리자 계정 탈취로 랜섬웨어 유포하는 사례가 있다는 인터넷 진흥원 당부글이 있네요. 업무에 참고하시길 바랍니다.

[한국인터넷진흥원] AD 운용 기업 AD 보안강화 당부

기업에서 운용하는 액티브 디렉토리(AD, Active Directory)의 관리자 계정을 탈취한 후 연결된 서버 및 PC로 랜섬웨어를 유포하는 사례가 2019년 2월~3월 발생한 이후 최근 다시 발생하고 있습니다.
AD를 운용하는 기업 및 기관은 KISA보호나라(www.boho.or.kr) 홈페이지의 아래 링크를 참고하여 AD 보안강화를 당부드리며,랜섬웨어 감염사고 발생 시 한국인터넷진흥원(국번없이 118)으로 신고하여 주시기 바랍니다.


[보안공지]

o 기업 윈도우 서버를 공격하는 신종 랜섬웨어 감염 확산 주의 (2.22)
 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=34959

o 기업 대상 윈도우 서버를 공격하는 클롭(CLOP) 랜섬웨어 감염 주의 권고(2차) (3.4)
 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=34971


[기술문서]

o AD(Active Directory) 관리자 계정 탈취 침해사고 분석 기술 보고서 (2.27)
 https://www.boho.or.kr/data/reportView.do?bulletin_writing_sequence=34964

o AD(Active Directory) 관리자가 피해야 할 6가지 AD 운영 사례 (4.2)
 https://www.boho.or.kr/data/reportView.do?bulletin_writing_sequence=34988

태그가 없습니다.

21개의 댓글이 있습니다.

| 약 2달 전

좋은 정보 감사합니다~

| 약 2달 전

늘 좋은 정보 감사합니다.


| 약 2달 전

좋은정보 감사합니다.

| 약 2달 전

AD를 사용하고 있지 않아서 다행이긴하나, 랜섬웨어가 점점 강력해지네요 ㅠㅠ

| 약 2달 전

좋은정보 감사합니다

| 약 2달 전

AD는아니었지만 얼마전에 랜섬웨어 당했습니다

다 잡아서 요덕수용소에 보내버렸으면!

| 약 2달 전

좋은정보 감사합니다.

| 약 2달 전

저도 최근에 관리자를 사칭한 메일이 한국 유저에게 무작위로 발송되어

Group 보안정책으로 차단되도록 하고 공지를 한 적 있습니다.

관리자 계정 탈취라.. 당하는 입장에서는 정말 무서운 일이겠네요.


| 약 2달 전

KISA 에서 AD 서버 관리시 주의사항 6가지를 얘기했네요 업무에 참고하세요


* 발급된 계정이 모두 ‘관리자 그룹’에 포함되는가?
* 서비스 관리를 위해 서버에 ‘관리자 그룹’ 계정으로 로그온 하는가?
* 시스템에 불필요하게 ‘관리자 그룹’ 계정으로 실행되고 있는 서비스가 있는가?
* 긴급 상황 시, AD ‘관리자 그룹’ 계정의 비밀번호를 신속히 바꿀 수 있는가?
* 백업 서버가 AD에 Join되어 있는가?
* 운영체제 업데이트가 최신 버전으로 유지되고 있는가?

| 약 2달 전

일반랜섬웨어가 커피라면 AD 계정탈취 후 유포는 티오피네요 ;;

| 약 2달 전

진짜 무서운 일 입니다.

주의 한다고는 하지만 두렵습니다.



| 약 2달 전

IT 일을 하다 보면 이런 유형의 사건 사고는 언제든지 발생하죠 그러니 대비를 단단히 하셔야 합니다. 저희 회사에서도 마찬가지이구요
| 약 2달 전

좋은 정보 감사드립니다. 저희 회사에서도 참고할게요

| 약 2달 전

참고로 국내 대형 쇼핑 관련 업계도 크게 당했습니다.


| 약 2달 전

AD 취약점 꼭 패치하셔야 해요

| 약 2달 전

공유 감사드립니다. 랜섬웨어는 언제쯤 소멸시켜버릴 수 있을지 ㅠㅠ

| 약 2달 전

이런 말씀 드리기 뭐하지만.. 랜섬웨어 시장은 이제막 초기입니다. 앞으로 유망한(?)업종입니다. 막는쪽 말고 뚫는쪽이요.. ㅜㅜ
| 약 2달 전

공유감사합니다. 무섭네요. AD랜섬웨어

| 약 2달 전

AD운영중이신 회사는 꼭 읽어 보시기 바랍니다.

시작은 스팸메일로 시작해서

해외 C&C 서버와 원격 세션 맺고 윈도우 업데이트 관련 프로그램과 mimikatz라는 계정 탈취 툴로 AD 계정 알아내서

AD -> 전사로 뿌리는 Clop 랜섬웨어 입니다.

거의 대한민국에 특화된 랜섬웨어입니다.

최근 엑셀이나 워드 파일에 매크로로 트로이 목마 심어져 오는건 거의 이 목적이라고 보시면 됩니다.

수많은 업체들이 당하고 있습니다.

다들 쉬쉬하고 있다보니 밖으로 드러나지 않는데.. 피해가 엄청납니다.

전에 제가 남긴 내용입니다.

https://www.sharedit.co.kr/freeboards/21189

| 약 2달 전

ad관리자계정이 탈취당하면...

그냥 전체를 내준거 아닌가요?

| 약 2달 전

도메인에 참가된 PC의 Administrators 그룹에 domainadmin이 들어 가기 때문에 도메인안에 있는 PC는 다 내준거죠.

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입
  • 약 2달 전
  • 댓글 : 약 한 달 전
  • 약 2달 전
  • 댓글 : 약 2달 전
  • 약 2달 전
  • 댓글 : 약 2달 전
  • 약 2달 전
  • 댓글 : 27일 전
  • 약 2달 전
  • 댓글 : 약 2달 전
  • AD 관리자 계정 탈취로 랜섬웨어 유포하는 사례가 있다는 [21]
  • wansoo
  • | 370명 읽음
  • 약 2달 전
  • 댓글 : 약 2달 전
  • 약 2달 전
  • 댓글 : 약 2달 전
  • 약 2달 전
  • 댓글 : 약 2달 전
  • 약 2달 전
  • 댓글 : 약 2달 전
  • 약 2달 전
  • 댓글 : 약 2달 전
  • 약 2달 전
  • 댓글 : 약 2달 전