주제넘은 얘기가 될수도 있는데
이건 명확한 이해를 하지 않으면 누구든 피해를 입을수 있는 재앙입니다.
여기서 처음 들은게 2월 15일 경인데..
아직까지 살아남아 기업들을 괴롭히고 있다는것만으로 위협적이라는것을 알수 있죠.
AD를 쓰지 않는 경우라면 예외 입니다.
AD를 쓰고 있다면 여기에 클롭 랜섬웨어로 올라온 글들을 필록 하시고 이해하시고 자사의 환경을 꼭 점검하셔야 할것 같습니다.
외부에서 다이렉트로 들어오는것도 아니고 취약점을 이용하는것도 아닙니다.
1.스팸메일의 첨부파일을 클릭하면 악성코드를 다운받아서 원격이 열리고
2.해커가 들어와서 도메인 확인하고 AD 서버의 관리자 계정을 탈취하는것입니다.
경계해야 할것..
1.담당자가 엄청난 홍보와 훈련을 하지 않았다면.. 스팸메일 100통당 5통 이상은 무조건 클릭한다..
모의훈련 해보시면 기도 안찹니다. 아무리 허접한 템플릿으로 해도 5% 이상은 클릭합니다.
이걸 기본으로 인식 해야 합니다.
공지를 할때 스팸 메일을 열지말라고 중요하지만. 받았으면 문의/신고 해라는 내용도 중요합니다.
그래야 100통중 1명이라도 신고하면 나머지 100명에게 안내 메일을 보내거든요.
2. AD의 관리자 권한 관리..
일단 내부에 들어오면 AD의 관리자 권한이 어떻게 되어있는지가 중요합니다.
KISA의 자료에도 있지만.
도메인 관리자 권한 그룹하면 domain admins만 생각하시는데
* Domain Admins, Enterprise Admins, Schema Admins, Group Policy Creator Owners 이 그룹들도 Domain Admins 그룹 수준의 권한을 가집니다. 그러니 저 그룹안에 일반 User가 들어있지 않은지
아니면 APP 서버의 계정이 저 그룹에 들어있지 않은지 꼭 확인 하시고 제거해야 합니다.
대부분 AD와 연계된 Application을 셋업할때 일 편하게 할려고 다 Domain Admins안에 넣거든요.
그리고 놓치는 부분중의 하나가..
AD 서버의 Local -admin 계정입니다.
AD 서버로 올리기전에 Local Admin 계정이 남아 있으면 그 계정으로 들어와서 Domain Admin 으로 스위칭해서 권한을 가질수 있습니다.
꼭꼭 시간 내서 한번씩들 쳐다 보셨으면 좋겠네요.
3. 백업 서버의 AD와 분리
- 편의를 위해서 백업 서버를 도메인 참가 해 놓으셨다면 꼭 워크 그룹에 백업 하시길 권고합니다.
계정의 패턴은 전혀 다른걸로 하시고 Administrator 계정은 아예 다른 이름으로 바꾸시구요.
만약에 피해를 당한다면..
해커가 내부에 들어오면 도메인 관리자 계정도 해킹하지만 이것 저것 파악을 하게됩니다.
그중에 하나가 업무 개시 시간입니다.
해외에 해커라면 우리와 시간대가 다르기 때문에 이제막 출근한 시간을 노립니다.
모든 PC가 켜져 있어야 가장 피해가 클테니까요.
그래서 해커가 도메인 멤버 서버나 PC로 랜섬웨어를 내리게 되면..
동시 다발적으로 연락이 오게 됩니다.
이때 부터 시간 싸움인데요.
아.. 이건 클롭이다 판단이서면..
모든 서버와 모든 PC를 재빠르게 끄는것이 중요합니다.
담당자가 복수로 있다면 한명은 PC 한명은 서버를 전담해서 꺼야 합니다.
해당 도메인에 참가된 서버들로요.
PC의 경우는 문자나 사내 방송을 이용해 끄도록 합니다.
얼마나 빨리 끄냐에 따라서 얼마나 많은 시스템, PC를 살리느냐가 걸려 있습니다.
켜놓고 파악하다 보면 다 암호화 되어서 남아나는게 없습니다.
AD 서버와 백업 서버를 제일 먼저 끄고 나머지를 순차적으로 끕니다.
그 다음 할 일은 AD 서버와 감염된 PC를 네트워크 뽑은 상태로 전원을 켜서 해당 랜섬웨어 악성코드 파일을 찾고 백신 업체에 연락하여 패턴 업데이트를 해야 합니다.
백신 서버가 있다면 이 서버도 도메인 밖에 두는것이 중요합니다.
그 다음 순차적으로 한대씩 켜면서 백신 업데이트를 하면 치료가 됩니다.
이게 무한정 남아서 괴롭히고 확산되는 바이러스하고는 다릅니다.
AD에서 관리자 권한으로 실행을 시키는것이기 때문에
AD를 복구하고 백신 패턴 업데이트 한다음 한대씩 올려가며 복구를 하면 됩니다.
디테일 하게 얘기하면 한도 끝도 없는 얘기인데..
머리속에 한번씩들 시뮬레이션 해보시면 닥쳤을때 당황하지 않으실수 있습니다.
그리고 클롭 랜섬웨어 회피에 도움되는것들이 있습니다.
당연히 사용자들이 스팸 메일을 열지 않느것입니다. 공지나 시뮬레이션 엄청 중요하구요.
스팸 필터 비싼거 아니라도 최신화는 꼭 하시고
신고 들어오면 해당 메일 받은 사람들 일일이 확인 해서 안내 메일 보내셔야 합니다.(계정 초기화 PC 끄고 퇴근)
그 다음 의외로 도음 되는것이
퇴근시 PC를 끄는것입니다.
뭔소리냐면..
이 해커넘이 내부에 들어와서 관리자 계정 탈취하고 사람들 몇시에 출근하는지, 백업서버 어딨는지
확인하는 작업, 그리고 제일 중요한 클롭랜섬웨어 악성코드를 백신에 탐지되지 않도록 변형하는 작업을 사용자가 PC 사용중에는 못합니다.
퇴근후에 그 짓거리를 하는겁니다.
퇴근하고 나면 내 PC를 가지고 저짓거리를 하는겁니다. ㅜㅜ
최근 PC 오프 시스템은 모니터만 끄는걸로 알고 있는데.
완전 PC를 끄는것으로 문화를 만드는것도 중요합니다. 이건 모든 APT 침해에 해당 할듯 하네요.
그리고 사내 인터넷 사용환경이 프록시 서버를 사용한다면 피해예방에 많은 도움이 됩니다.
최초 메일로 악성코드를 실행 할때.. 프록시가 설정 되어있으면 외부로 나가지를 못하니 안전할수 있습니다.
AD를 운영중이신 관리자분이라면
전에 제가 쓴글도 있는데 셋트로 해서 같이 보시길 권장합니다. 꼭꼭꼭요..
해커는 이게 메인 Job이고 수억에서 수십억의 먹거리입니다.
내부에 들어와서 할수있는 모든것을 해서 피해를 줍니다.
보안 솔루션 있으니 막아 주겠지..
설마 우리가 걸리겠어?
우린 외부로 열린 시스템도 없는데.
한번도 그런적 없는데..
이거 다 착각입니다.
바이러스 처럼 기계가 혹은 봇이 퍼트리는게 아니라
해커가 작업하는겁니다. 기업 수준이구요.
아직 공격을 당하지 않았다면.. 순서가 안된것일뿐 언젠가 내차례가 옵니다.
모든 스토리를 얘기하면 드라마 한편인데
언제 한번 썰을 풀 기회가 있었음 하네요.
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
31개의 댓글이 있습니다.
미국 입니다.
지난 금요일 새벽 부터 파일 감염 되어서 작살 났는데.
백신 서버 까지 다 작살났습니다.
메인 도메인은 전체가 감염 되었고 나머지 공유 폴더 감춰진 공유 폴더 전 부 감염 되었습니다.
지금 돌아가시겠습니다!!!
그리고 금 부터 지금 일요일 까지 계속 회사에 있는데 위에 부장 부사장 급에서
최종 결정을 못 내려서...
하여간 미국 유수 전문 업체들이랑 여러 차례 통화를 해 보았는데
위에 글 올리신 분이 말씀 하신 것 처럼
1.사용자 eMail을 통한 침투 (컴퓨터 찾았음)
2.어는 날 뭔일이 있어서 IT 가 가서 본인 암호 입력( 2주전에 프린터 교체 했음)
3.해커 Domain Admin 암호 캐쉬(?) 확보. CYber 전문 업체에서 암호를 보는 것이 아니라고 하더군요.
4.해커 Main DC 침투 Domain admin account 확보
5.작살 냄.
하여간 오늘 도 집에 갈수 있나 모르겠습니다.
181818181818
좋은 정보 감사합니다.
저희 회사의 경우 PC를 끄고 가는 문화가 없는데 어떻게 개선해 나가야할지 생각해봐야겠네요..
단숨에 읽어내렸네요 우리회사라고 상상하니 소름돋네요 ㅎ
AD로 일반사용자 계정을 관리하는 건 아니고...
Hyper-v 서버 계정만 AD로 관리하는데...
이럴경우는 어떤 포인트를 중점관리해야 할까요?
감사합니다. 언젠가 내차례입니다에서 소름이.ㅜㅜ
아직 공격을 당하지 않았다면.. 순서가 안된것일뿐 언젠가 내차례가 옵니다.
===> ㅠㅠ 과연 내차례가 왔을때 난 어찌될것인가 ㅠㅠ
성의 넘치는 글 감사히 잘 보았습니다~
낭만생선님, 주제가 주제이니만큼 이거 저희랑 웨비나 한번 찍으시면 어떨까요?
썰 풀 기회가 필요하시다고 하니 ㅎㅎㅎ
의향 있으시면 쪽지 주세요!
이렇게 집어주시니 나중에 문제 발생 시 참고할 수 있을 것 같습니다!ㅎㅎ
그런데 궁금한 점은 일반 유저 피씨가 감염됬을 경우, AD admin 계정은 보통 어떻게 탈취가되나요?
일반 유저들은 admin 계정이 아니라서 프로그램 설치시 아이티팀에게 요청하고 아이티팀이 어드민 계정을 입력해줘서 해결하는데 이 때 눌리고 있는 계정정보를 기록하는 걸까요?
그리고 수상한 첨부파일 실행시 해커가 만든 사이트에 접속 후 exe 파일을 실행시키도록 하는건가요? 그러면 유저가 피시의 관리자 계정이 아니면 괜찮을 것 같기도하고ㅠㅠ
완벽한 방어란 없으니 관리자 입장에서는 항상 불안하네요...이런 정보 글은 항상 감사합니다!
AD를 사용하고 있지 않아 그나마 안심이긴 한데...
해커가 직접 내부 시스템에 들어 와서 공격하는 APT 형태로 피해를 주는 방식인가 보네요.
메일 첨부 파일을 실행한 컴퓨터에 1차 침입해서 정보를 보으고, AD 서버를 찾아서 2차 공격을 하면서 폭발물을 터뜨려 버리는 형태인걸로 보이는데...
AD 뿐만 아니라 다른 취약점을 찾아서 공격한다거나 업그레이드 된 복합적이고도 자동화된 공격 등으로도 발전 가능할 것 같다는 느낌도 드네요.
1차적으로 악성 메일 첨부 파일을 실행 시키지 않는 것이 중요할 것 같네요.
인터넷 가능한 컴퓨터들의 네트워크 및 시스템들에 대한 권한이 최소한으로 유지될 수 있게 하는 것도 중요할 것 같고...
감사합니다. 올려주신 글이 많은 도움이 되었습니다.
신경써서 작성해주신 글 감사합니다! 많은 도움이 됩니다
랜섬웨어 관련된 내용은 필수라고 생각합니다.
감사합니다.
감사합니다. 꼼꼼히 읽고 준비를 해야 겠네요
진짜 평소 시뮬레이션해보지 않고서는 멘탈 무너질듯 ㄷㄷ
주제넘다뇨! AD쓰는 IT관리자들에게는 피같은 정보인데요 ^^
로컬어드민을 반드시 없애야죠 ㅜㅜ
후덜덜하네요;; 신경써야 할 포인트까지 집어주시니 정말 감사합니다^^b
감사합니다. 다시 꼼꼼히 읽어보니.. 정말 철저히 준비해야할것 같습니다.
내심 우리회사는 안걸리겠지 라는 안일한 마음가짐을 하고 있었나봅니다.