주제넘은 얘기가 될수도 있는데

이건 명확한 이해를 하지 않으면 누구든 피해를 입을수 있는 재앙입니다.

여기서 처음 들은게 2월 15일 경인데..

아직까지 살아남아 기업들을 괴롭히고 있다는것만으로  위협적이라는것을 알수 있죠.

AD를 쓰지 않는 경우라면 예외 입니다.


AD를 쓰고 있다면 여기에 클롭 랜섬웨어로 올라온 글들을 필록 하시고 이해하시고 자사의 환경을 꼭 점검하셔야 할것 같습니다.


외부에서 다이렉트로 들어오는것도 아니고 취약점을 이용하는것도 아닙니다.


  • 1.스팸메일의 첨부파일을 클릭하면 악성코드를 다운받아서 원격이 열리고

  • 2.해커가 들어와서 도메인 확인하고 AD 서버의 관리자 계정을 탈취하는것입니다.


경계해야 할것..

  • 1.담당자가 엄청난 홍보와 훈련을 하지 않았다면.. 스팸메일 100통당 5통 이상은 무조건 클릭한다..

          모의훈련 해보시면 기도 안찹니다. 아무리 허접한 템플릿으로 해도 5% 이상은 클릭합니다.

          이걸 기본으로 인식 해야 합니다.

        공지를 할때 스팸 메일을 열지말라고 중요하지만. 받았으면 문의/신고 해라는 내용도 중요합니다.

        그래야 100통중 1명이라도 신고하면 나머지 100명에게 안내 메일을 보내거든요.

2. AD의 관리자 권한 관리..

  일단 내부에 들어오면 AD의 관리자 권한이 어떻게 되어있는지가 중요합니다.

  KISA의 자료에도 있지만.

  도메인 관리자 권한 그룹하면 domain admins만 생각하시는데

* Domain Admins,  Enterprise Admins, Schema Admins, Group Policy Creator Owners 이 그룹들도 Domain Admins 그룹 수준의 권한을 가집니다. 그러니 저 그룹안에 일반 User가 들어있지 않은지

아니면 APP 서버의 계정이 저 그룹에 들어있지 않은지 꼭 확인 하시고 제거해야 합니다.

대부분 AD와 연계된 Application을 셋업할때 일 편하게 할려고 다 Domain Admins안에 넣거든요.

그리고 놓치는 부분중의 하나가..

AD 서버의 Local -admin 계정입니다.

AD 서버로 올리기전에  Local Admin 계정이 남아 있으면 그 계정으로 들어와서 Domain Admin 으로 스위칭해서 권한을 가질수 있습니다.

꼭꼭 시간 내서 한번씩들 쳐다 보셨으면 좋겠네요.

3. 백업 서버의 AD와 분리

- 편의를 위해서 백업 서버를 도메인 참가 해 놓으셨다면 꼭 워크 그룹에 백업 하시길 권고합니다.

  계정의 패턴은 전혀 다른걸로 하시고 Administrator 계정은 아예 다른 이름으로 바꾸시구요.


만약에 피해를 당한다면..

해커가 내부에 들어오면 도메인 관리자 계정도 해킹하지만 이것 저것 파악을 하게됩니다.

그중에 하나가 업무 개시 시간입니다.

해외에 해커라면 우리와 시간대가 다르기 때문에 이제막 출근한 시간을 노립니다.

모든 PC가 켜져 있어야 가장 피해가 클테니까요.

그래서 해커가 도메인 멤버 서버나 PC로 랜섬웨어를 내리게 되면..

동시 다발적으로 연락이 오게 됩니다.

이때 부터 시간 싸움인데요.

아.. 이건 클롭이다 판단이서면..

모든 서버와 모든 PC를 재빠르게 끄는것이 중요합니다.

담당자가 복수로 있다면 한명은 PC 한명은 서버를 전담해서 꺼야 합니다.

해당 도메인에 참가된 서버들로요.

PC의 경우는 문자나 사내 방송을 이용해 끄도록 합니다.

얼마나 빨리 끄냐에 따라서 얼마나 많은 시스템, PC를 살리느냐가 걸려 있습니다.

켜놓고 파악하다 보면 다 암호화 되어서 남아나는게 없습니다.

AD 서버와 백업 서버를 제일 먼저 끄고 나머지를 순차적으로 끕니다.

그 다음 할 일은 AD 서버와 감염된 PC를 네트워크 뽑은 상태로 전원을 켜서 해당 랜섬웨어 악성코드 파일을 찾고 백신 업체에 연락하여 패턴 업데이트를 해야 합니다.

백신 서버가 있다면 이 서버도 도메인 밖에 두는것이 중요합니다.

그 다음 순차적으로 한대씩 켜면서 백신 업데이트를 하면 치료가 됩니다.

이게 무한정 남아서 괴롭히고 확산되는 바이러스하고는 다릅니다.

AD에서 관리자 권한으로 실행을 시키는것이기 때문에

AD를 복구하고 백신 패턴 업데이트 한다음 한대씩 올려가며 복구를 하면 됩니다.


디테일 하게 얘기하면 한도 끝도 없는 얘기인데..

머리속에 한번씩들 시뮬레이션 해보시면 닥쳤을때 당황하지 않으실수 있습니다.


그리고 클롭 랜섬웨어 회피에 도움되는것들이 있습니다.

당연히 사용자들이 스팸 메일을 열지 않느것입니다. 공지나 시뮬레이션 엄청 중요하구요.

스팸 필터 비싼거 아니라도 최신화는 꼭 하시고

신고 들어오면 해당 메일 받은 사람들 일일이 확인 해서 안내 메일 보내셔야 합니다.(계정 초기화 PC 끄고 퇴근)


그 다음 의외로 도음 되는것이

퇴근시 PC를 끄는것입니다.

뭔소리냐면..

이 해커넘이 내부에 들어와서 관리자 계정 탈취하고 사람들 몇시에 출근하는지, 백업서버 어딨는지

확인하는 작업, 그리고 제일 중요한 클롭랜섬웨어 악성코드를 백신에 탐지되지 않도록 변형하는 작업을 사용자가 PC 사용중에는 못합니다.

퇴근후에 그 짓거리를 하는겁니다.

퇴근하고 나면 내 PC를 가지고  저짓거리를 하는겁니다. ㅜㅜ

최근 PC 오프 시스템은 모니터만 끄는걸로 알고 있는데.

완전 PC를 끄는것으로 문화를 만드는것도 중요합니다. 이건 모든 APT 침해에 해당 할듯 하네요.

그리고 사내 인터넷 사용환경이 프록시 서버를 사용한다면 피해예방에 많은 도움이 됩니다.

최초 메일로 악성코드를 실행 할때.. 프록시가 설정 되어있으면 외부로 나가지를 못하니 안전할수 있습니다.


AD를 운영중이신 관리자분이라면

전에 제가 쓴글도 있는데 셋트로 해서 같이 보시길 권장합니다. 꼭꼭꼭요..

해커는 이게 메인 Job이고 수억에서 수십억의 먹거리입니다.

내부에 들어와서 할수있는 모든것을 해서 피해를 줍니다.

보안 솔루션 있으니 막아 주겠지..

설마 우리가 걸리겠어?

우린 외부로 열린 시스템도 없는데.

한번도 그런적 없는데..

이거 다 착각입니다.

바이러스 처럼 기계가 혹은 봇이  퍼트리는게 아니라

해커가 작업하는겁니다. 기업 수준이구요.

아직 공격을 당하지 않았다면.. 순서가 안된것일뿐 언젠가 내차례가 옵니다.


모든 스토리를 얘기하면 드라마 한편인데

언제 한번 썰을 풀 기회가 있었음 하네요.

태그가 없습니다.

31개의 댓글이 있습니다.

| 4달 전

미국 입니다.

지난 금요일 새벽 부터 파일 감염 되어서  작살 났는데.

백신 서버 까지 다 작살났습니다.

메인 도메인은 전체가 감염 되었고 나머지 공유 폴더 감춰진 공유 폴더 전 부 감염 되었습니다.

지금 돌아가시겠습니다!!!


그리고 금 부터 지금  일요일 까지 계속 회사에 있는데 위에 부장 부사장 급에서

최종 결정을 못 내려서...

하여간 미국 유수 전문 업체들이랑 여러 차례 통화를 해 보았는데

위에 글 올리신 분이 말씀 하신 것 처럼

  • 1.사용자 eMail을 통한 침투 (컴퓨터 찾았음)

  • 2.어는 날 뭔일이 있어서 IT 가 가서 본인 암호 입력( 2주전에 프린터 교체 했음)

  • 3.해커 Domain Admin 암호 캐쉬(?) 확보. CYber 전문 업체에서 암호를 보는 것이 아니라고 하더군요.

  • 4.해커 Main DC 침투 Domain admin account 확보

  • 5.작살 냄.

하여간 오늘 도 집에 갈수 있나 모르겠습니다.

181818181818


| 4달 전

아.. 많이 힘드시겠네요. 벌써 몇일이 지난 상황이시면 백업본으로 복구 하는것밖에는 답이 없으시겠어요. 미국에 있는 한국 회사인가요? 클롭은 한국 타겟형 랜섬이라서요. 부디 잘 복구 하시길 빕니다.
| 4달 전

좋은 정보 감사합니다.


저희 회사의 경우 PC를 끄고 가는 문화가 없는데 어떻게 개선해 나가야할지 생각해봐야겠네요..

| 4달 전

저희도 많이 안끕니다. 스팸 메일 수신자중에 첨부 파일 클릭 한 사람들은 일주일간 PC 끄라고 안내 합니다.
| 4달 전

단숨에 읽어내렸네요 우리회사라고 상상하니 소름돋네요 ㅎ

| 4달 전

AD로 일반사용자 계정을 관리하는 건 아니고...

Hyper-v 서버 계정만 AD로 관리하는데...

이럴경우는 어떤 포인트를 중점관리해야 할까요?

| 4달 전

관리자 PC에서 HyperV가 구동되는 Host 서버에 원격으로 접속 하시죠? 그렇다면 관리자가 메일을 잘못 클릭하거나 악성코드에 감염된 웹페이지에 접속하게되면 관리자 PC에 원격으로 들어와서 HyperV의 AD를 조회 할수 있겠죠. 호스트 서버들의 인터넷을 막으시고, 호스트 서버로 원격이 가능한 관리자 PC를 인터넷망과 분리 해야 합니다. 인터넷, 메일이 안되는 PC에서만 가상화 호스트에 접근을 해야 합니다.
| 4달 전

좀더 안전한 방법은 HyperV용 망을 별도로 만드는것이죠. 스위치를 한대 놓고 HyperV용 서버들만 연결을 해놓는겁니다. 그중에 한대에 일반 네트워크와 전용 네트워크를 같이 물려놓고 이쪽으로만 접속해서 사용하시면 안전하죠.
| 4달 전

일단은 서버는 서비스하는 포트를 제외한 최소한만 개방하고 불필요한 부분은 모두 차단이네요.. ^^
| 4달 전

감사합니다. 언젠가 내차례입니다에서 소름이.ㅜㅜ

| 4달 전

아직 공격을 당하지 않았다면.. 순서가 안된것일뿐 언젠가 내차례가 옵니다.


===> ㅠㅠ  과연 내차례가 왔을때 난 어찌될것인가 ㅠㅠ

| 4달 전

전체 서버나 PC를 한번에 끌수 있는 스크립트 같은거 미리 준비해 놓는것도 방법중에 하나라고 생각합니다. 수백 수천대가 순식간에 암호화 되지는 못하더라구요. 일단 다 끄는것만으로도 보호는 어느정도 된다고 생각합니다.
| 4달 전

성의 넘치는 글 감사히 잘 보았습니다~

| 4달 전

낭만생선님, 주제가 주제이니만큼 이거 저희랑 웨비나 한번 찍으시면 어떨까요?

썰 풀 기회가 필요하시다고 하니 ㅎㅎㅎ

의향 있으시면 쪽지 주세요!

| 4달 전

웨비나 까지는 좀 그렇고 여기에 어떤방식으로든 썰을 풀어볼 생각은 있습니다.. 상황 자체가 워낙 드라마틱 하고 직간접적으로 쉐어드IT의 도움을 받은 부분도 있거든요. 저희가 거의 99%이상의 시스템이 윈도우인데 대처를 잘해서 피해가 거의 없었던것도 있어서 관리자분들에게 도움은 될것 같습니다. 다만,, 회사가 노출되면 안되는게 있어서 조금 망설여지기는 합니다. 생각해보고 쪽지 드리겠습니다.
| 4달 전

네, 회사야 당연히 노출되지 않게끔 해야지요. 낭만생선님의 정체도 보장해 드립니다. ㅎㅎ 부담 너무 갖지 마시고 생각해 보세요~
| 4달 전

이렇게 집어주시니 나중에 문제 발생 시 참고할 수 있을 것 같습니다!ㅎㅎ

그런데 궁금한 점은 일반 유저 피씨가 감염됬을 경우, AD admin 계정은 보통 어떻게 탈취가되나요?

일반 유저들은 admin 계정이 아니라서 프로그램 설치시 아이티팀에게 요청하고 아이티팀이 어드민 계정을 입력해줘서 해결하는데 이 때 눌리고 있는 계정정보를 기록하는 걸까요?

그리고 수상한 첨부파일 실행시 해커가 만든 사이트에 접속 후 exe 파일을 실행시키도록 하는건가요? 그러면 유저가 피시의 관리자 계정이 아니면 괜찮을 것 같기도하고ㅠㅠ


완벽한 방어란 없으니 관리자 입장에서는 항상 불안하네요...이런 정보 글은 항상 감사합니다!




| 4달 전

1. 일반 유저 피씨가 감염됬을 경우, AD admin 계정은 보통 어떻게 탈취가되나요? -> 일단 해당 PC가 접근하는 시스템(서버)를 찾습니다. 그리고 두가지 방법으로 추정되는데 첫번째는 무작위 대입해서 비번을 찾는것 두번째는 PC 자체에 캐쉬되어있는 Domain Admin 계정 정보를 이용한다고 들었습니다. PC 원격 지원 할때 Domain Admin으로 접근하면 그 정보가 캐쉬된다고 합니다. 그러니 계정관리를 꼼꼼하게 철저히 해야 합니다(원격만 가능한 계정을 별도 운영등). 그리고 윈도우 계정을 탈취할때는 mimikatz라는 Tool이 항상 나옵니다. 내부 시스템이라고 비번 룰을 느슨하게 하는것도 주의 해야 겠죠, 2.수상한 첨부파일 실행시 해커가 만든 사이트에 접속 후 exe 파일을 실행시키도록 하는건가요? -> 맞습니다. 이전에 제가 게시한 글을 보시면 스팸 메일을 직접 까본게 있는데요. 특정 사이트에서 파일을 받아 바로 실행하게 되어 있습니다. 유저가 PC의 관리자 계정이 아니라면 안전 할지는 직접 해보지 않아서 잘 모르겠는데 보통은 관리자 계정을 부여 하겠죠? 그리고 설치는 안되도 실행은 되지 않을까 싶네요. 어쨋든 Users 권한이면 Admin 보다는 안전할겁니다.
| 4달 전

처음 침투시 Google Chrome을 많이들 이용 한다고 하던데..
1st 5stars
| 4달 전

AD를 사용하고 있지 않아 그나마 안심이긴 한데...

해커가 직접 내부 시스템에 들어 와서 공격하는 APT 형태로 피해를 주는 방식인가 보네요.

메일 첨부 파일을 실행한 컴퓨터에 1차 침입해서 정보를 보으고, AD 서버를 찾아서 2차 공격을 하면서 폭발물을 터뜨려 버리는 형태인걸로 보이는데...

AD 뿐만 아니라 다른 취약점을 찾아서 공격한다거나 업그레이드 된 복합적이고도 자동화된 공격 등으로도 발전 가능할 것 같다는 느낌도 드네요.


1차적으로 악성 메일 첨부 파일을 실행 시키지 않는 것이 중요할 것 같네요.

인터넷 가능한 컴퓨터들의 네트워크 및 시스템들에 대한 권한이 최소한으로 유지될 수 있게 하는 것도 중요할 것 같고...

| 4달 전

보통은 메일 시스템을 Exchange로 쓰기 때문에 AD를 운영하는데.. 대단하신것 같습니다. Clop 랜섬웨어의 경우는 제일 먼저 도메인에 참가 되어있는지 확인 하기 때문에 AD를 안쓰신다면 Clop에는 안전 하실것 같습니다.
| 4달 전

감사합니다. 올려주신 글이 많은 도움이 되었습니다.

| 4달 전

신경써서 작성해주신 글 감사합니다! 많은 도움이 됩니다

| 4달 전

랜섬웨어 관련된 내용은 필수라고 생각합니다.

감사합니다.

| 4달 전

메일에 첨부된 랜섬웨어하고는 파괴력이 다릅니다. 그건 그냥 개인 PC 암호화 혹은 공유 폴더 암호화 정도죠. 이건 시스템과 전체 사무실 PC가 다 암호화 되는거거든요. 공유 안된것들도요.
| 4달 전

감사합니다. 꼼꼼히 읽고 준비를 해야 겠네요

| 4달 전

진짜 평소 시뮬레이션해보지 않고서는 멘탈 무너질듯 ㄷㄷ

| 4달 전

주제넘다뇨! AD쓰는 IT관리자들에게는 피같은 정보인데요 ^^

| 4달 전

로컬어드민을 반드시 없애야죠 ㅜㅜ

| 4달 전

후덜덜하네요;; 신경써야 할 포인트까지 집어주시니 정말 감사합니다^^b

| 4달 전

감사합니다. 다시 꼼꼼히 읽어보니.. 정말 철저히 준비해야할것 같습니다.

내심 우리회사는 안걸리겠지 라는 안일한 마음가짐을 하고 있었나봅니다.

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입
  • 4달 전
  • 댓글 : 4달 전
  • 4달 전
  • 댓글 : 4달 전
  • 4달 전
  • 댓글 : 4달 전
  • 4달 전
  • 댓글 : 4달 전
  • 4달 전
  • 댓글 : 4달 전
  • 클롭 랜섬웨어에 대해서는 다들 명확한 이해를 하셨으면 합 [31]
  • 낭만생선
  • | 614명 읽음
  • 4달 전
  • 댓글 : 4달 전
  • 4달 전
  • 댓글 : 4달 전
  • 4달 전
  • 댓글 : 4달 전
  • 4달 전
  • 댓글 : 4달 전
  • 4달 전
  • 댓글 : 4달 전
  • 4달 전
  • 댓글 : 4달 전