클롭 랜섬웨어에 대해서는 다들 명확한 이해를 하셨으면 합니다.

주제넘은 얘기가 될수도 있는데

이건 명확한 이해를 하지 않으면 누구든 피해를 입을수 있는 재앙입니다.

여기서 처음 들은게 2월 15일 경인데..

아직까지 살아남아 기업들을 괴롭히고 있다는것만으로  위협적이라는것을 알수 있죠.

AD를 쓰지 않는 경우라면 예외 입니다.

AD를 쓰고 있다면 여기에 클롭 랜섬웨어로 올라온 글들을 필록 하시고 이해하시고 자사의 환경을 꼭 점검하셔야 할것 같습니다.

외부에서 다이렉트로 들어오는것도 아니고 취약점을 이용하는것도 아닙니다.

• 1.스팸메일의 첨부파일을 클릭하면 악성코드를 다운받아서 원격이 열리고

• 2.해커가 들어와서 도메인 확인하고 AD 서버의 관리자 계정을 탈취하는것입니다.

경계해야 할것..

• 1.담당자가 엄청난 홍보와 훈련을 하지 않았다면.. 스팸메일 100통당 5통 이상은 무조건 클릭한다..

          모의훈련 해보시면 기도 안찹니다. 아무리 허접한 템플릿으로 해도 5% 이상은 클릭합니다.

          이걸 기본으로 인식 해야 합니다.

        공지를 할때 스팸 메일을 열지말라고 중요하지만. 받았으면 문의/신고 해라는 내용도 중요합니다.

        그래야 100통중 1명이라도 신고하면 나머지 100명에게 안내 메일을 보내거든요.

2. AD의 관리자 권한 관리..

  일단 내부에 들어오면 AD의 관리자 권한이 어떻게 되어있는지가 중요합니다.

  KISA의 자료에도 있지만.

  도메인 관리자 권한 그룹하면 domain admins만 생각하시는데

* Domain Admins,  Enterprise Admins, Schema Admins, Group Policy Creator Owners 이 그룹들도 Domain Admins 그룹 수준의 권한을 가집니다. 그러니 저 그룹안에 일반 User가 들어있지 않은지

아니면 APP 서버의 계정이 저 그룹에 들어있지 않은지 꼭 확인 하시고 제거해야 합니다.

대부분 AD와 연계된 Application을 셋업할때 일 편하게 할려고 다 Domain Admins안에 넣거든요.

그리고 놓치는 부분중의 하나가..

AD 서버의 Local -admin 계정입니다.

AD 서버로 올리기전에  Local Admin 계정이 남아 있으면 그 계정으로 들어와서 Domain Admin 으로 스위칭해서 권한을 가질수 있습니다.

꼭꼭 시간 내서 한번씩들 쳐다 보셨으면 좋겠네요.

3. 백업 서버의 AD와 분리

- 편의를 위해서 백업 서버를 도메인 참가 해 놓으셨다면 꼭 워크 그룹에 백업 하시길 권고합니다.

  계정의 패턴은 전혀 다른걸로 하시고 Administrator 계정은 아예 다른 이름으로 바꾸시구요.

만약에 피해를 당한다면..

해커가 내부에 들어오면 도메인 관리자 계정도 해킹하지만 이것 저것 파악을 하게됩니다.

그중에 하나가 업무 개시 시간입니다.

해외에 해커라면 우리와 시간대가 다르기 때문에 이제막 출근한 시간을 노립니다.

모든 PC가 켜져 있어야 가장 피해가 클테니까요.

그래서 해커가 도메인 멤버 서버나 PC로 랜섬웨어를 내리게 되면..

동시 다발적으로 연락이 오게 됩니다.

이때 부터 시간 싸움인데요.

아.. 이건 클롭이다 판단이서면..

모든 서버와 모든 PC를 재빠르게 끄는것이 중요합니다.

담당자가 복수로 있다면 한명은 PC 한명은 서버를 전담해서 꺼야 합니다.

해당 도메인에 참가된 서버들로요.

PC의 경우는 문자나 사내 방송을 이용해 끄도록 합니다.

얼마나 빨리 끄냐에 따라서 얼마나 많은 시스템, PC를 살리느냐가 걸려 있습니다.

켜놓고 파악하다 보면 다 암호화 되어서 남아나는게 없습니다.

AD 서버와 백업 서버를 제일 먼저 끄고 나머지를 순차적으로 끕니다.

그 다음 할 일은 AD 서버와 감염된 PC를 네트워크 뽑은 상태로 전원을 켜서 해당 랜섬웨어 악성코드 파일을 찾고 백신 업체에 연락하여 패턴 업데이트를 해야 합니다.

백신 서버가 있다면 이 서버도 도메인 밖에 두는것이 중요합니다.

그 다음 순차적으로 한대씩 켜면서 백신 업데이트를 하면 치료가 됩니다.

이게 무한정 남아서 괴롭히고 확산되는 바이러스하고는 다릅니다.

AD에서 관리자 권한으로 실행을 시키는것이기 때문에

AD를 복구하고 백신 패턴 업데이트 한다음 한대씩 올려가며 복구를 하면 됩니다.

디테일 하게 얘기하면 한도 끝도 없는 얘기인데..

머리속에 한번씩들 시뮬레이션 해보시면 닥쳤을때 당황하지 않으실수 있습니다.

그리고 클롭 랜섬웨어 회피에 도움되는것들이 있습니다.

당연히 사용자들이 스팸 메일을 열지 않느것입니다. 공지나 시뮬레이션 엄청 중요하구요.

스팸 필터 비싼거 아니라도 최신화는 꼭 하시고

신고 들어오면 해당 메일 받은 사람들 일일이 확인 해서 안내 메일 보내셔야 합니다.(계정 초기화 PC 끄고 퇴근)

그 다음 의외로 도음 되는것이

퇴근시 PC를 끄는것입니다.

뭔소리냐면..

이 해커넘이 내부에 들어와서 관리자 계정 탈취하고 사람들 몇시에 출근하는지, 백업서버 어딨는지

확인하는 작업, 그리고 제일 중요한 클롭랜섬웨어 악성코드를 백신에 탐지되지 않도록 변형하는 작업을 사용자가 PC 사용중에는 못합니다.

퇴근후에 그 짓거리를 하는겁니다.

퇴근하고 나면 내 PC를 가지고  저짓거리를 하는겁니다. ㅜㅜ

최근 PC 오프 시스템은 모니터만 끄는걸로 알고 있는데.

완전 PC를 끄는것으로 문화를 만드는것도 중요합니다. 이건 모든 APT 침해에 해당 할듯 하네요.

그리고 사내 인터넷 사용환경이 프록시 서버를 사용한다면 피해예방에 많은 도움이 됩니다.

최초 메일로 악성코드를 실행 할때.. 프록시가 설정 되어있으면 외부로 나가지를 못하니 안전할수 있습니다.

AD를 운영중이신 관리자분이라면

전에 제가 쓴글도 있는데 셋트로 해서 같이 보시길 권장합니다. 꼭꼭꼭요..

해커는 이게 메인 Job이고 수억에서 수십억의 먹거리입니다.

내부에 들어와서 할수있는 모든것을 해서 피해를 줍니다.

보안 솔루션 있으니 막아 주겠지..

설마 우리가 걸리겠어?

우린 외부로 열린 시스템도 없는데.

한번도 그런적 없는데..

이거 다 착각입니다.

바이러스 처럼 기계가 혹은 봇이  퍼트리는게 아니라

해커가 작업하는겁니다. 기업 수준이구요.

아직 공격을 당하지 않았다면.. 순서가 안된것일뿐 언젠가 내차례가 옵니다.

모든 스토리를 얘기하면 드라마 한편인데

언제 한번 썰을 풀 기회가 있었음 하네요.