2020.02.14

윈도우 네트워크에 숨은 악성코드 퇴치법

Susan Bradley | CSO


다음으로, 공격 노출 영역 축소(attack surface reduction) 규칙을 활성화한다. 특히 3가지를 설정해야 한다.

  • 모든 오피스 애플리케이션이 하위 프로세스를 생성하지 못하도록 차단한다.
  • 오피스 애플리케이션이 실행 가능한 콘텐츠를 생성하지 못하도록 차단한다.
  • 자바스크립트나 VBScript가 다운로드한 실행파일을 시작하지 못하도록 차단한다.

마이크로소프트 인튠(Intune), MDM(Mobile Device Management), MECM(Microsoft Endpoint Configuration Manager), 그룹 정책 또는 파워셸을 사용해 다음을 설정할 수 있다. 예를 들어, 그룹 정책의 경우 다음을 수행할 수 있다. 
 
  • 그룹 정책 관리 편집기에서 “컴퓨터 구성”으로 이동
  •  “관리 템플릿” 클릭
  • 트리를 “윈도우 구성요소”로 확장
  •  “윈도우 디펜더 안티바이러스”로 이동
  •  “윈도우 디펜더 익스플로잇 가드(Windows Defender Exploit Guard)”로 이동
  •  “공격 노출 영역 축소(attack surface reduction)”로 이동
  •  “공격 노출 영역 축소 규칙 구성” 선택
  •  “사용함” 선택

그런 다음 옵션 섹션에서 각 규칙의 개별 상태를 설정할 수 있다.
 
  •  “표시” 클릭
  •  “값 이름” 열에 규칙 ID를 입력하고, “값” 열에 원하는 상태를 다음과 같이 입력한다:
         - 활성화 = 0
         - 차단(ASR 규칙 사용) = 1
         - 감사 = 2

이 목록에서 모든 오피스 애플리케이션이 하위 프로세스를 생성하지 못하도록 차단하는 GUID는 다음과 같다. 

D4F940AB-401B-4EFC-AADC-AD5F3C50688A.

오피스 애플리케이션이 실행 가능 콘텐츠를 생성하지 못하게 하는 GUID는 다음과 같다:

3B576869-A4EC-4529-8536-B80A7769E899.

마지막으로, 자바스크립트나 VBScript가 다운로드한 실행 가능 콘텐츠를 시작하지 못하게 하는 GUID는 다음과 같다:

D3E037E1-3EB8-44C8-A917-57927947596D.

먼저 감사를 활성화해 회사에 미치는 영향을 검토한다. 영향이 거의 없거나 전무하다고 판단되면, 값을 차단(또는 1)으로 변경해 활성화한다. 
 
ⓒ Susan Bradley

공격자가 숨고 활동하는 방법을 이해하면 기업 내 사용자를 보호하는 최선의 방법을 판단할 수 있다. 시간과 노력을 들인 만큼 더 잘 보호할 수 있다. editor@itworld.co.kr


2020.02.14

윈도우 네트워크에 숨은 악성코드 퇴치법

Susan Bradley | CSO


다음으로, 공격 노출 영역 축소(attack surface reduction) 규칙을 활성화한다. 특히 3가지를 설정해야 한다.

  • 모든 오피스 애플리케이션이 하위 프로세스를 생성하지 못하도록 차단한다.
  • 오피스 애플리케이션이 실행 가능한 콘텐츠를 생성하지 못하도록 차단한다.
  • 자바스크립트나 VBScript가 다운로드한 실행파일을 시작하지 못하도록 차단한다.

마이크로소프트 인튠(Intune), MDM(Mobile Device Management), MECM(Microsoft Endpoint Configuration Manager), 그룹 정책 또는 파워셸을 사용해 다음을 설정할 수 있다. 예를 들어, 그룹 정책의 경우 다음을 수행할 수 있다. 
 
  • 그룹 정책 관리 편집기에서 “컴퓨터 구성”으로 이동
  •  “관리 템플릿” 클릭
  • 트리를 “윈도우 구성요소”로 확장
  •  “윈도우 디펜더 안티바이러스”로 이동
  •  “윈도우 디펜더 익스플로잇 가드(Windows Defender Exploit Guard)”로 이동
  •  “공격 노출 영역 축소(attack surface reduction)”로 이동
  •  “공격 노출 영역 축소 규칙 구성” 선택
  •  “사용함” 선택

그런 다음 옵션 섹션에서 각 규칙의 개별 상태를 설정할 수 있다.
 
  •  “표시” 클릭
  •  “값 이름” 열에 규칙 ID를 입력하고, “값” 열에 원하는 상태를 다음과 같이 입력한다:
         - 활성화 = 0
         - 차단(ASR 규칙 사용) = 1
         - 감사 = 2

이 목록에서 모든 오피스 애플리케이션이 하위 프로세스를 생성하지 못하도록 차단하는 GUID는 다음과 같다. 

D4F940AB-401B-4EFC-AADC-AD5F3C50688A.

오피스 애플리케이션이 실행 가능 콘텐츠를 생성하지 못하게 하는 GUID는 다음과 같다:

3B576869-A4EC-4529-8536-B80A7769E899.

마지막으로, 자바스크립트나 VBScript가 다운로드한 실행 가능 콘텐츠를 시작하지 못하게 하는 GUID는 다음과 같다:

D3E037E1-3EB8-44C8-A917-57927947596D.

먼저 감사를 활성화해 회사에 미치는 영향을 검토한다. 영향이 거의 없거나 전무하다고 판단되면, 값을 차단(또는 1)으로 변경해 활성화한다. 
 
ⓒ Susan Bradley

공격자가 숨고 활동하는 방법을 이해하면 기업 내 사용자를 보호하는 최선의 방법을 판단할 수 있다. 시간과 노력을 들인 만큼 더 잘 보호할 수 있다. editor@itworld.co.kr


X