인간이 조작하는 랜섬웨어 공격을 완화하는 방법: 인포그래픽
초창기에는 누군가가 귀하의 컴퓨터를 가로채야 하는 경우 일반적으로 물리적으로 거기에 있거나 원격 액세스를 사용하여 컴퓨터를 장악하는 것이 가능했습니다. 세상은 자동화로 발전했지만 컴퓨터 보안은 강화되었지만 변하지 않은 한 가지는 인간의 실수입니다. 인간이 운영하는 랜섬웨어 공격(Human-operated Ransomware Attacks) 이 등장 하는 곳 입니다. 이들은 컴퓨터에서 취약점이나 잘못 구성된 보안을 찾아 액세스하는 수작업 공격입니다. Microsoft 는 IT 관리자가 사람이 조작하는 (Microsoft)Ransomware 공격(Ransomware attacks) 을 상당히 완화할 수 있다는 결론을 내리는 철저한 사례 연구를 제시했습니다 .
사람이 조작하는 랜섬웨어 공격(Human-operated Ransomware Attacks) 완화
Microsoft 에 따르면 이러한 종류의 랜섬웨어와 수작업 캠페인을 완화하는 가장 좋은 방법은 엔드포인트 간의 불필요한 통신을 모두 차단하는 것입니다. Multi-Factor Authentication , 무차별 대입 시도 모니터링, 최신 보안 업데이트 설치 등과 같은 자격 증명 위생을 위한 모범 사례를 따르는 것도 마찬가지로 중요합니다 . 취해야 할 방어 조치의 전체 목록은 다음과 같습니다.
- 인터넷에 연결된 컴퓨터를 보호 하려면 Microsoft 권장 구성 설정 을 적용해야 합니다.(recommended configuration settings)
- Defender ATP 는 위협 및 취약성 관리를(threat and vulnerability management) 제공합니다 . 이를 사용하여 취약점, 잘못된 구성 및 의심스러운 활동에 대해 시스템을 정기적으로 감사할 수 있습니다.
- Azure Multi-Factor Authentication ( MFA ) 과 같은 MFA 게이트웨이(MFA gateway) 를 사용 하거나 네트워크 수준 인증( NLA )을 활성화합니다.
- 계정에 최소 권한을(least-privilege to accounts) 제공 하고 필요한 경우에만 액세스를 활성화합니다. 도메인 전체 관리자 수준 액세스 권한이 있는 계정은 최소 또는 0이어야 합니다.
- 로컬 관리자 암호 솔루션 ( LAPS ) 도구와 같은 도구는 관리자 계정에 대해 고유한 임의 암호를 구성할 수 있습니다. AD( Active Directory(Active Directory) ) 에 저장하고 ACL 을 사용하여 보호 할 수 있습니다 .
- 무차별 대입 시도를 모니터링합니다. 특히 실패한 인증 시도가(failed authentication attempts. ) 많은 경우에는 주의해야 합니다 . 이벤트 ID 4625 를 사용하여 (ID 4625)필터링(Filter) 하여 이러한 항목을 찾습니다.
- 공격자는 일반적으로 보안 이벤트 로그와 PowerShell 운영 로그(Security Event logs and PowerShell Operational log) 를 지워 모든 발자국을 제거합니다. 이 경우 Microsoft Defender ATP 는 (Microsoft Defender ATP)이벤트 ID 1102(Event ID 1102) 를 생성 합니다.
- 공격자가 보안 기능을 끄는 것을 방지하려면 변조 방지(Tamper protection)(Tamper protection) 기능을 켜십시오 .
- (Investigate)이벤트 ID 4624 를 (ID 4624)조사 하여 높은 권한을 가진 계정이 로그온하는 위치를 찾으십시오. 네트워크나 손상된 컴퓨터에 침입하면 더 심각한 위협이 될 수 있습니다.
- (Turn on cloud-delivered protection)Windows Defender 바이러스 백신 (Windows Defender Antivirus)에서 클라우드 제공 보호 및 자동 샘플 제출을 켭니다 . 알려지지 않은 위협으로부터 당신을 보호합니다.
- 공격 표면 감소 규칙을 켭니다. 이와 함께 자격 증명 도용, 랜섬웨어 활동, PsExec 및 WMI 의 의심스러운 사용을 차단하는 규칙을 활성화 합니다.
- Office 365가 있는 경우 Office VBA 용 (Office VBA)AMSI 를 켭니다 .
- (Prevent RPC)가능하면 끝점 간의 RPC 및 SMB 통신을 방지합니다.(SMB)
읽기(Read) : Windows 10의 랜섬웨어 보호(Ransomware protection in Windows 10) .
Microsoft 는 (Microsoft)Wadhrama , Doppelpaymer , Ryuk , Samas , REvil 의 사례 연구를 발표했습니다.
- Wadhrama 는 원격 데스크톱(Remote Desktop) 이 있는 서버에 무차별 공격을 사용하여 전달됩니다 . 그들은 일반적으로 패치되지 않은 시스템을 발견하고 공개된 취약점을 사용하여 초기 액세스 권한을 얻거나 권한을 높입니다.
- Doppelpaymer 는 권한 있는 계정에 대해 도난당한 자격 증명을 사용하여 손상된 네트워크를 통해 수동으로 확산됩니다. 그렇기 때문에 모든 컴퓨터에 권장되는 구성 설정을 따라야 합니다.
- Ryuk 은 다른 것에 대해 최종 사용자를 속여 이메일( Trickboat )을 통해 페이로드를 배포합니다. (Trickboat)최근 해커들은 코로나바이러스 공포 를 이용해 최종 사용자를 속였습니다. 그들 중 하나는 또한 Emotet 페이로드 를 전달할 수 있었습니다 .
각각 의 공통점(common thing about each of them) 은 상황에 따라 구축된다는 것입니다. 그들은 페이로드를 전달하기 위해 한 기계에서 다른 기계로 이동하는 고릴라 전술을 수행하는 것 같습니다. IT 관리자는 소규모일지라도 진행 중인 공격을 감시하고 직원에게 네트워크 보호에 도움이 될 수 있는 방법을 교육하는 것이 중요합니다.
모든 IT 관리자가 제안을 따르고 사람이 조작하는 Ransomware 공격을 완화할 수 있기를 바랍니다.
관련 읽기(Related read) : Windows 컴퓨터에 대한 랜섬웨어 공격 후 어떻게 해야 합니까?(What to do after a Ransomware attack on your Windows computer?)
Related posts
ransomware Attacks, Definition, Examples, Protection, Removal
Windows 컴퓨터의 무료 Anti-Ransomware software
Create email Microsoft 365 비즈니스에서 Ransomware를 방지하는 규칙
Windows Defender에서 Ransomware Protection 사용 및 구성
Ransomware protection Windows 10
Windows computer에서 Ransomware attack 후 무엇을해야합니까?
Service Attacks의 DDoS Distributed Denial : 보호, Prevention
Brute Force Attacks - Definition and Prevention
McAfee Ransomware Recover (Mr2)은 파일을 해독하는 데 도움이 될 수 있습니다
Cyber Attacks - 정의, Types, 예방
Service의 Ransom Denial은 무엇입니까 (RDoS)? Prevention and precautions
CyberGhost Immunizer는 ransomware 공격을 방지하는 데 도움이됩니다
DLL Hijacking Vulnerability Attacks, Prevention & Detection
Phishing Scams and Attacks를 피하는 방법은 무엇입니까?
Ransomware Response Playbook은 맬웨어를 처리하는 방법을 보여줍니다
Fileless Malware Attacks, Protection and Detection
Ransomware을보고해야합니까? Ransomware을 어디에서보고합니까?
무료 Ransomware Decryption Tools 목록을 잠금 해제합니다
Ransomware 공격 및 감염을 방지하고 예방하는 방법