인간이 조작하는 랜섬웨어 공격을 완화하는 방법: 인포그래픽

초창기에는 누군가가 귀하의 컴퓨터를 가로채야 하는 경우 일반적으로 물리적으로 거기에 있거나 원격 액세스를 사용하여 컴퓨터를 장악하는 것이 가능했습니다. 세상은 자동화로 발전했지만 컴퓨터 보안은 강화되었지만 변하지 않은 한 가지는 인간의 실수입니다. 인간이 운영하는 랜섬웨어 공격(Human-operated Ransomware Attacks) 이 등장 하는 곳 입니다. 이들은 컴퓨터에서 취약점이나 잘못 구성된 보안을 찾아 액세스하는 수작업 공격입니다. Microsoft 는 IT 관리자가 사람이 조작하는 (Microsoft)Ransomware 공격(Ransomware attacks) 을 상당히 완화할 수 있다는 결론을 내리는 철저한 사례 연구를 제시했습니다 .

인간이 조작하는 랜섬웨어 공격 완화

사람이 조작하는 랜섬웨어 공격(Human-operated Ransomware Attacks) 완화

Microsoft 에 따르면 이러한 종류의 랜섬웨어와 수작업 캠페인을 완화하는 가장 좋은 방법은 엔드포인트 간의 불필요한 통신을 모두 차단하는 것입니다. Multi-Factor Authentication , 무차별 대입 시도 모니터링, 최신 보안 업데이트 설치 등과 같은 자격 증명 위생을 위한 모범 사례를 따르는 것도 마찬가지로 중요합니다 . 취해야 할 방어 조치의 전체 목록은 다음과 같습니다.

  • 인터넷에 연결된 컴퓨터를 보호 하려면 Microsoft 권장 구성 설정 을 적용해야 합니다.(recommended configuration settings)
  • Defender ATP 는 위협 및 취약성 관리를(threat and vulnerability management) 제공합니다 . 이를 사용하여 취약점, 잘못된 구성 및 의심스러운 활동에 대해 시스템을 정기적으로 감사할 수 있습니다.
  • Azure Multi-Factor Authentication ( MFA ) 과 같은 MFA 게이트웨이(MFA gateway) 를 사용 하거나 네트워크 수준 인증( NLA )을 활성화합니다.
  • 계정에 최소 권한을(least-privilege to accounts) 제공 하고 필요한 경우에만 액세스를 활성화합니다. 도메인 전체 관리자 수준 액세스 권한이 있는 계정은 최소 또는 0이어야 합니다.
  • 로컬 관리자 암호 솔루션 ( LAPS ) 도구와 같은 도구는 관리자 계정에 대해 고유한 임의 암호를 구성할 수 있습니다. AD( Active Directory(Active Directory) ) 에 저장하고 ACL 을 사용하여 보호 할 수 있습니다 .
  • 무차별 대입 시도를 모니터링합니다. 특히 실패한 인증 시도가(failed authentication attempts. ) 많은 경우에는 주의해야 합니다 . 이벤트 ID 4625 를 사용하여 (ID 4625)필터링(Filter) 하여 이러한 항목을 찾습니다.
  • 공격자는 일반적으로 보안 이벤트 로그와 PowerShell 운영 로그(Security Event logs and PowerShell Operational log) 를 지워 모든 발자국을 제거합니다. 이 경우 Microsoft Defender ATP 는 (Microsoft Defender ATP)이벤트 ID 1102(Event ID 1102) 를 생성 합니다.
  • 공격자가 보안 기능을 끄는 것을 방지하려면 변조 방지(Tamper protection)(Tamper protection) 기능을 켜십시오 .
  • (Investigate)이벤트 ID 4624 를 (ID 4624)조사 하여 높은 권한을 가진 계정이 로그온하는 위치를 찾으십시오. 네트워크나 손상된 컴퓨터에 침입하면 더 심각한 위협이 될 수 있습니다.
  • (Turn on cloud-delivered protection)Windows Defender 바이러스 백신 (Windows Defender Antivirus)에서 클라우드 제공 보호 및 자동 샘플 제출을 켭니다 . 알려지지 않은 위협으로부터 당신을 보호합니다.
  • 공격 표면 감소 규칙을 켭니다. 이와 함께 자격 증명 도용, 랜섬웨어 활동, PsExecWMI 의 의심스러운 사용을 차단하는 규칙을 활성화 합니다.
  •  Office 365가 있는 경우 Office VBA 용 (Office VBA)AMSI 를 켭니다  .
  • (Prevent RPC)가능하면 끝점 간의 RPCSMB 통신을 방지합니다.(SMB)

읽기(Read) : Windows 10의 랜섬웨어 보호(Ransomware protection in Windows 10) .

Microsoft 는 (Microsoft)Wadhrama , Doppelpaymer , Ryuk , Samas , REvil 의 사례 연구를 발표했습니다.

  • Wadhrama원격 데스크톱(Remote Desktop) 이 있는 서버에 무차별 공격을 사용하여 전달됩니다 . 그들은 일반적으로 패치되지 않은 시스템을 발견하고 공개된 취약점을 사용하여 초기 액세스 권한을 얻거나 권한을 높입니다.
  • Doppelpaymer 는 권한 있는 계정에 대해 도난당한 자격 증명을 사용하여 손상된 네트워크를 통해 수동으로 확산됩니다. 그렇기 때문에 모든 컴퓨터에 권장되는 구성 설정을 따라야 합니다.
  • Ryuk 은 다른 것에 대해 최종 사용자를 속여 이메일( Trickboat )을 통해 페이로드를 배포합니다. (Trickboat)최근 해커들은 코로나바이러스 공포 를 이용해 최종 사용자를 속였습니다. 그들 중 하나는 또한 Emotet 페이로드 를 전달할 수 있었습니다 .

각각 의 공통점(common thing about each of them) 은 상황에 따라 구축된다는 것입니다. 그들은 페이로드를 전달하기 위해 한 기계에서 다른 기계로 이동하는 고릴라 전술을 수행하는 것 같습니다. IT 관리자는 소규모일지라도 진행 중인 공격을 감시하고 직원에게 네트워크 보호에 도움이 될 수 있는 방법을 교육하는 것이 중요합니다.

모든 IT 관리자가 제안을 따르고 사람이 조작하는 Ransomware 공격을 완화할 수 있기를 바랍니다.

관련 읽기(Related read) : Windows 컴퓨터에 대한 랜섬웨어 공격 후 어떻게 해야 합니까?(What to do after a Ransomware attack on your Windows computer?)



About the author

저는 Windows MVP이고 2007년부터 Windows로 작업해 왔습니다. 제 경험에는 소프트웨어 개발, 하드웨어 및 사운드, Windows 앱이 포함됩니다. 저는 항상 제 작업에서 사용자 경험을 개선할 수 있는 최선의 방법을 찾고 있습니다. 따라서 소프트웨어 응용 프로그램을 설계하거나 개발하는 데 도움이 필요하면 제 서비스를 제공할 수 있습니다.



Related posts