2020.07.09

“혼다도 당했다” 윈도우 네트워크에서 랜섬웨어를 막는 방법

Susan Bradley | CSO
혼다의 고객 서비스 및 재무 서비스가 최근 랜섬웨어 공격을 당한 것으로 나타났다. 카스퍼스키는 바이러스토탈(VirusTotal) 데이터베이스에서 몇몇 샘플을 발견했는데, 혼다가 스네이크 랜섬웨어의 공격 대상이었다는 것이 드러났다. 이 사고로 필자는 혼다는 어떻게 공격 대상이 되었으며, 윈도우 네트워크를 랜섬웨어 공격으로부터 더 잘 보호하기 위해 어떻게 대응해야 하는지 다시 생각하게 되었다.
 
ⓒ Getty Images Bank

카스퍼스키는 맬웨어가 nmon.bat이란 파일 이름을 사용해 실행되었다고 밝혔다. bat 확장자는 네트워크에서 사용하는 스크립트나 배치 파일로 보일 수 있는데, 많은 환경에서 허용되는 파일이다.

실제 공격에 사용된 파일 이름은 KB3020369.exe이다. 이 번호는 윈도우 7 서비스 패치에 사용된 것이지만, 실제 마이크로소프트의 패치 파일 이름은 Windows6.1-KB3020369-x64.msu이다. 공격자는 악성 파일의 이름에 “뻔히 보이는 데 숨기는” 패턴을 적용해 기술 전문가들을 속인 것이다.

스네이크 랜섬웨어는 감염된 시스템의 볼륨 섀도우 복사본(Volume Shadow Copies)을 삭제한 후 가상머신, 산업용 제어 시스템, 원격 관리 툴, 네트워크 관리 소프트웨어와 관련된 프로세스의 실행을 중지시킨다. 일련의 공격은 보안 연구원들이 스네이크 랜섬웨어를 분석한 보고서에서 지적했듯이 혼다 도메인 내부에서 도메인을 해체하도록 진행된다. 여기서 공격자가 혼다 네트워크를 노렸다는 것을 알 수 있다.

공격자는 약한 지점, 즉 사람을 노린다. 그리고는 네트워크에 숨어서 준비가 될 때까지 기다린다. 여기에 공격자가 네트워크 인프라를 정찰하는 시간은 포함되지 않는다.
이제 혼다를 공격한 랜섬웨어를 지침으로 삼아 윈도우 네트워크를 좀 더 잘 보호하는 방법을 살펴보자.
 

승인되지 않은 툴과 스크립트, 그룹 정책 설정을 조심하라

카스퍼스키는 예약 작업이 일부 공격을 실행하는 데 사용된다고 밝혔다. 이벤트 로그에서 이런 식의 승인되지 않은 활동을 감시할 수 있다. 윈도우의 자체 이벤트 로그를 이용해 다음과 같은 순서로 실행한다.

1.    eventvwr.msc 실행
2.    윈도우 로그 메뉴로 이동
3.    ‘보안’을 오른쪽 클릭해 ‘속성’ 선택
4.    ‘로깅 사용’이 선택되어 있는지 확인
5.    최대 로그 크기를 1GB 이상으로 설정
6.    이벤트 ID 4698을 찾아 가장 최근에 예약된 작업 확인

파워셸 작업을 설정해 예약 작업이 새로 생성되어 실행되면 이메일 알림을 보내도록 할 수도 있다. 경보를 설정하는 데는 smpt2go.com 같은 서드파티 SMTP 서비스가 필요할 수도 있다. 다른 방법으로 알림을 설정하거나 감사 소프트웨어가 제공하는 내장 기능을 이용해 확인할 수도 있다.
 

피싱 공격의 대상이 된 위험성 높은 직원을 파악하라

친절하고 흥미로운 맞춤 이메일을 도메인 관리자를 포함한 핵심 사용자에게 보내는 것은 공격자가 네트워크 내부로 들어가기 위해 흔히 사용하는 방법이다. 또한 재택근무의 증가는 원격 액세스 기술이 더 많이 사용된다는 것을 의미한다. 이 때문에 2020년에는 운영체제의 취약점보다 인증서가 더 손쉬운 먹잇감이다.

핵심 직원에게 제공하는 라이선스와 툴을 검토하기 바란다. 회사 내의 마이크로소프트 365 라이선스를 잘 구성해 모두가 같은 라이선스나 같은 수준의 보호를 사용하지 않도록 해야 한다. ATP(Advanced Threat Protection) 기능이 포함된 마이크로소프트 365 E5 라이선스가 필요한지 확인할 필요가 있다. 이 서비스는 최근 UEFI 맬웨어 탐지 기능을 추가했다. 마이크로소프트는 “새로운 UEFI 스캐너는 메인보드 칩셋과의 인터랙션을 통해 런타임의 펌웨어 파일 시스템을 읽는다”고 설명했다. 마이크로소프트 디펜더 ATP 역시 관리자에게 실행 가능한 조처 목록을 제공한다.
 

그룹 정책 도메인과 스크립트 폴더에서 악성 파일을 검사한다

때로 공격은 관리자가 네트워크를 관리하기 위해 사용하는 바로 그 자리에서 일어나기도 한다. 따라서 관리자가 저장한 파일과 스크립트 위치를 검증하는 데 시간을 들여야 한다. 관리에 사용하는 폴더에 추가된 파일이 있다면, 어떤 것이라도 검사해야 한다. 또한 이런 관리 스크립트를 추가하거나 수정할 수 있는 승인된 사용자만 폴더에 접근하도록 적절한 권한이 부여되어 있는지도 확인해야 한다.
 

특권 계정에 다중인증을 사용한다.

가장 중요한 것은 도메인 관리자가 원격 액세스가 필요할 때 다중 인증(Multifactor Authentication, MFA)을 사용하는 것이다. 마이크로소프트 365 계정도 마찬가지다. 네트워크에서 어떤 계정을 사용하고 있고 해당 계정을 어디에서 사용하는지 검토하기 바란다.
 

백업 전략 재검토

백업이 잘 되어 있으면 랜섬웨어 공격을 당해도 몸값을 지불하지 않고 대응할 수 있다. 정기적인 백업을 자동으로 수행하고 백업본을 확실히 보호하라. 백업 프로세스를 수행하는 사용자 계정은 절대로 로그인하는 사용자와 같아서는 안된다. 마지막으로 오프라인 백업 프로세스를 교대로 수행해 백업 미디어를 원격지나 오프라인으로 보관해 공격자가 백업 파일을 삭제하는 것을 막는다. 

랜섬웨어 대비책과 관련해 아무리 강조해도 지나치지 않은 것이 백업이다. 백업은 랜섬웨어 공격에서 복구하는 데 가장 핵심적인 요소이다. editor@itworld.co.kr


2020.07.09

“혼다도 당했다” 윈도우 네트워크에서 랜섬웨어를 막는 방법

Susan Bradley | CSO
혼다의 고객 서비스 및 재무 서비스가 최근 랜섬웨어 공격을 당한 것으로 나타났다. 카스퍼스키는 바이러스토탈(VirusTotal) 데이터베이스에서 몇몇 샘플을 발견했는데, 혼다가 스네이크 랜섬웨어의 공격 대상이었다는 것이 드러났다. 이 사고로 필자는 혼다는 어떻게 공격 대상이 되었으며, 윈도우 네트워크를 랜섬웨어 공격으로부터 더 잘 보호하기 위해 어떻게 대응해야 하는지 다시 생각하게 되었다.
 
ⓒ Getty Images Bank

카스퍼스키는 맬웨어가 nmon.bat이란 파일 이름을 사용해 실행되었다고 밝혔다. bat 확장자는 네트워크에서 사용하는 스크립트나 배치 파일로 보일 수 있는데, 많은 환경에서 허용되는 파일이다.

실제 공격에 사용된 파일 이름은 KB3020369.exe이다. 이 번호는 윈도우 7 서비스 패치에 사용된 것이지만, 실제 마이크로소프트의 패치 파일 이름은 Windows6.1-KB3020369-x64.msu이다. 공격자는 악성 파일의 이름에 “뻔히 보이는 데 숨기는” 패턴을 적용해 기술 전문가들을 속인 것이다.

스네이크 랜섬웨어는 감염된 시스템의 볼륨 섀도우 복사본(Volume Shadow Copies)을 삭제한 후 가상머신, 산업용 제어 시스템, 원격 관리 툴, 네트워크 관리 소프트웨어와 관련된 프로세스의 실행을 중지시킨다. 일련의 공격은 보안 연구원들이 스네이크 랜섬웨어를 분석한 보고서에서 지적했듯이 혼다 도메인 내부에서 도메인을 해체하도록 진행된다. 여기서 공격자가 혼다 네트워크를 노렸다는 것을 알 수 있다.

공격자는 약한 지점, 즉 사람을 노린다. 그리고는 네트워크에 숨어서 준비가 될 때까지 기다린다. 여기에 공격자가 네트워크 인프라를 정찰하는 시간은 포함되지 않는다.
이제 혼다를 공격한 랜섬웨어를 지침으로 삼아 윈도우 네트워크를 좀 더 잘 보호하는 방법을 살펴보자.
 

승인되지 않은 툴과 스크립트, 그룹 정책 설정을 조심하라

카스퍼스키는 예약 작업이 일부 공격을 실행하는 데 사용된다고 밝혔다. 이벤트 로그에서 이런 식의 승인되지 않은 활동을 감시할 수 있다. 윈도우의 자체 이벤트 로그를 이용해 다음과 같은 순서로 실행한다.

1.    eventvwr.msc 실행
2.    윈도우 로그 메뉴로 이동
3.    ‘보안’을 오른쪽 클릭해 ‘속성’ 선택
4.    ‘로깅 사용’이 선택되어 있는지 확인
5.    최대 로그 크기를 1GB 이상으로 설정
6.    이벤트 ID 4698을 찾아 가장 최근에 예약된 작업 확인

파워셸 작업을 설정해 예약 작업이 새로 생성되어 실행되면 이메일 알림을 보내도록 할 수도 있다. 경보를 설정하는 데는 smpt2go.com 같은 서드파티 SMTP 서비스가 필요할 수도 있다. 다른 방법으로 알림을 설정하거나 감사 소프트웨어가 제공하는 내장 기능을 이용해 확인할 수도 있다.
 

피싱 공격의 대상이 된 위험성 높은 직원을 파악하라

친절하고 흥미로운 맞춤 이메일을 도메인 관리자를 포함한 핵심 사용자에게 보내는 것은 공격자가 네트워크 내부로 들어가기 위해 흔히 사용하는 방법이다. 또한 재택근무의 증가는 원격 액세스 기술이 더 많이 사용된다는 것을 의미한다. 이 때문에 2020년에는 운영체제의 취약점보다 인증서가 더 손쉬운 먹잇감이다.

핵심 직원에게 제공하는 라이선스와 툴을 검토하기 바란다. 회사 내의 마이크로소프트 365 라이선스를 잘 구성해 모두가 같은 라이선스나 같은 수준의 보호를 사용하지 않도록 해야 한다. ATP(Advanced Threat Protection) 기능이 포함된 마이크로소프트 365 E5 라이선스가 필요한지 확인할 필요가 있다. 이 서비스는 최근 UEFI 맬웨어 탐지 기능을 추가했다. 마이크로소프트는 “새로운 UEFI 스캐너는 메인보드 칩셋과의 인터랙션을 통해 런타임의 펌웨어 파일 시스템을 읽는다”고 설명했다. 마이크로소프트 디펜더 ATP 역시 관리자에게 실행 가능한 조처 목록을 제공한다.
 

그룹 정책 도메인과 스크립트 폴더에서 악성 파일을 검사한다

때로 공격은 관리자가 네트워크를 관리하기 위해 사용하는 바로 그 자리에서 일어나기도 한다. 따라서 관리자가 저장한 파일과 스크립트 위치를 검증하는 데 시간을 들여야 한다. 관리에 사용하는 폴더에 추가된 파일이 있다면, 어떤 것이라도 검사해야 한다. 또한 이런 관리 스크립트를 추가하거나 수정할 수 있는 승인된 사용자만 폴더에 접근하도록 적절한 권한이 부여되어 있는지도 확인해야 한다.
 

특권 계정에 다중인증을 사용한다.

가장 중요한 것은 도메인 관리자가 원격 액세스가 필요할 때 다중 인증(Multifactor Authentication, MFA)을 사용하는 것이다. 마이크로소프트 365 계정도 마찬가지다. 네트워크에서 어떤 계정을 사용하고 있고 해당 계정을 어디에서 사용하는지 검토하기 바란다.
 

백업 전략 재검토

백업이 잘 되어 있으면 랜섬웨어 공격을 당해도 몸값을 지불하지 않고 대응할 수 있다. 정기적인 백업을 자동으로 수행하고 백업본을 확실히 보호하라. 백업 프로세스를 수행하는 사용자 계정은 절대로 로그인하는 사용자와 같아서는 안된다. 마지막으로 오프라인 백업 프로세스를 교대로 수행해 백업 미디어를 원격지나 오프라인으로 보관해 공격자가 백업 파일을 삭제하는 것을 막는다. 

랜섬웨어 대비책과 관련해 아무리 강조해도 지나치지 않은 것이 백업이다. 백업은 랜섬웨어 공격에서 복구하는 데 가장 핵심적인 요소이다. editor@itworld.co.kr


X