새로운 연구: 글로벌 랜섬웨어 비용 연구.침해로 인해 어떤 비용이 발생하는지 확인해 보십시오.
보고서 받기
블로그
/
랜섬웨어 억제

사이버 사고 시 대처 방법: 기술적 대응

마이클 아제이
,
EMEA 시스템 엔지니어링 담당 디렉터
November 23, 2020
23 최소 읽기

최근 전 세계적으로 업무, 여가 및 여가를 위한 디지털 도구 사용이 증가하면서 사이버 보안의 중요성이 그 어느 때보다 강조되었습니다.위협 행위자는 전술, 도구 및 절차를 조합하여 대상 시스템 또는 네트워크에 기반을 마련한 다음 측면 움직임을 활용하여 해당 대상 조직의 가장 중요한 역할을 합니다.'의 이 시대에위반을 가정하다, '의 문제가 아닙니다 만약 공격이나 사고가 발생하지만 언제.사람이나 집단에 대한 실제 공격의 경우와 마찬가지로 응급 처치는 전문가의 도움이 도착할 때까지 생명을 구하는 데 큰 도움이 될 수 있습니다.

같은 맥락에서 이 시리즈에서는 사이버 사고 발생 시 취할 수 있는 즉각적인 조치 및 완화 조치를 살펴봅니다.

다음 세 가지 주요 영역에 초점을 맞출 것입니다.

  1. 기술적 대응
  2. 비기술적 대응
  3. 배운 교훈

첫 번째 부분에서는 사고 발생 직후에 필요한 중요한 기술적 조치를 다룹니다.다음으로, 사고 보고 및 영향 평가와 같은 사이버 이벤트의 비기술적 측면을 다루겠습니다.마지막으로, 마지막 부분에서는 대응 전반에서 얻을 수 있는 교훈을 살펴보겠습니다.

1부: 기술 대응

3부로 구성된 이 시리즈의 1부에서는 사이버 보안 사고 발생 직후의 기술적 대응에 초점을 맞출 것입니다.조직의 보안팀은 사고를 신속하게 파악하고 근본 원인 분석을 위한 로그, 멀웨어 파일 및 기타 운영 체제 아티팩트 등 근본 원인 분석을 위한 유용한 증거를 보존하는 것이 중요합니다.

여기서는 주로 Windows 환경에 초점을 맞추고 일반적인 공격 유형을 예로 들어 보겠습니다. 즉, 측면 이동을 활용하여 비즈니스 전자 메일 구성 (BEC) 을 유발하는 스피어 피싱을 예로 들어 보겠습니다. 데이터 침해.이 흐름을 시각적으로 표현한 것이 아래에 나와 있습니다.

CyberIncident1

이후에 감염과 침해로 이어지는 대부분의 공격의 경우 공격자는 일반적으로 다음과 같은 조치를 취합니다.

  1. 일반적으로 다음을 통해 사용자 및 시스템과 같은 소프트 타겟을 공격합니다. 피싱 공격
  2. 계정 및 컴퓨터 손상
  3. 손상된 계정과 컴퓨터를 활용하여 네트워크의 나머지 부분을 찾아내십시오.
  4. 다른 시스템을 손상시키기 위한 측면 이동을 용이하게 하기 위해 권한을 에스컬레이션합니다.
  5. 고부가가치 자산 찾기, 보석 시스템 찾기, 데이터 유출

위협 행위자는 동기에 따라 최대한 오랫동안 들키지 않고 머물며 움직이고 싶어할 수 있습니다.또는 에서 볼 수 있는 것처럼 네트워크에 혼란을 일으키고 싶어할 수도 있습니다. 랜섬웨어 공격.아시다시피 MITRE ATT&CK 또는 Cyber Kill Chain은 위협 행위자의 전술과 기법을 고안해 낼 수는 있지만 규칙을 따르지는 않습니다.따라서 사고 대응 시 어떠한 가정도 해서는 안 됩니다. 확증할 수 있는 확실한 증거만 고려해야 합니다.모든 것이 겉으로 보이는 것과 다를 수 있으므로 미끼를 주시하는 것도 중요합니다.이 점을 염두에 두고 이 공격 흐름의 여러 단계를 살펴보는 것이 좋습니다.

최초 입력

공격의 초기 단계에는 주로 이메일이나 웹사이트와 같은 디지털 통신 채널을 통한 피싱 또는 악성 광고와 같은 일부 소셜 엔지니어링이 포함됩니다.이로 인해 위협 행위자가 처음으로 감염된 시스템 (일명 '페이션트 제로 (Patient Zero) '이라 불리기도 합니다.

CyberIncident2

응급처치

사고 후 탐지의 초기 단계에서 다음 단계 중 일부를 수행할 수 있습니다.

  • 감염된 사용자 계정 (이메일/컴퓨터) 을 식별합니다.
  • 영향을 받은 이메일 계정을 격리합니다.
  • 영향을 받은 이메일 계정이 이메일을 발송하지 못하도록 차단합니다.
  • 외부 이메일 계정으로 전달된 이메일이 있는지 확인하세요.
  • 우선 지난 7~14일 동안 받은 편지함에서 보낸 모든 항목을 검색합니다.
  • 보낸 메일과 삭제된 메일에 대한 감사
  • 계정 프로필에 로드된 사용자 지정 양식 (Outlook) 이 있는지 확인합니다.
  • 연결된 디바이스에서 해당 이메일 계정을 확인하세요.
  • 기존 프로토콜 사용 (예: POP3) 을 확인합니다.
  • Azure AD 로그에서 인증 정보를 확인하세요.
  • 임시 위치에 임의로 이름이 지정된 스크립트와 기타 CLI 유틸리티가 있는지 확인합니다 (특히 파일리스 공격의 경우).
진단

이 단계에서 공격자는 소셜 엔지니어링을 활용하여 시스템에 액세스했습니다.이 예에서는 계정 도용 (ATO) 공격자가 보낸 피싱 이메일을 사용하여 Microsoft Word 문서에서 가짜 이메일 견적을 보냅니다.이 문서에는 악성 매크로가 포함되어 있으며, 문서를 열면 공격의 다음 단계가 시작됩니다.

다중 요소 인증 (MFA) 및 강력한 이메일 보안 방어와 사용자 인식 교육을 결합하면 초기 침입 공격에 대한 훌륭한 1차 방어선이 될 것입니다.이메일 보안 솔루션은 최소한 피싱 방지, AI, URL 확인 및 탐지 기능을 갖추어야 합니다.또한 이메일 전달, 리디렉션, 템플릿 생성과 같은 항목에 대한 알림 기능도 매우 중요합니다.Office 365와 같은 클라우드 이메일 사용자는 Microsoft Office 365 Secure Score와 같은 서비스를 실행하여 이메일 환경의 취약점을 찾아낼 수 있습니다.

피벗 머신

이 시점에서 공격자는 공격을 성공적으로 실행하여 합법적인 사용자 계정 및/또는 시스템에 대한 액세스 권한을 획득했습니다.피벗 머신은 위협 행위자가 네트워크의 나머지 부분을 발견하고 이동하려고 시도하는 포인트 머신이 됩니다.

CyberIncident3

응급처치
  • 감염된 컴퓨터/랩톱을 나머지 네트워크로부터 즉시 격리합니다.
  • 인터넷을 통해 기기를 분리합니다.
  • Active Directory에서 해당 사용자의 도메인 계정을 비활성화합니다.
  • 이 계정에 대한 원격 액세스 (예: VPN, OWA 또는 기타 원격 로그인) 를 비활성화합니다.
  • 레지스트리, 시작 및 예약된 작업 등 악의적인 지속성의 징후가 있는지 확인합니다.
  • 해당 호스트의 최근 웹 연결을 확인합니다.
  • 의심스러운 사용자 계정이 있는지 확인하세요.
  • 심캐시, 앰캐시, 점퍼리스트와 같은 최근 애플리케이션 사용량을 확인하세요.
  • mimikatz, psexec, wce 및 나머지 파일과 같은 도구가 있는지 확인합니다 (가능한 경우 메모리 전용 공격의 경우 시스템을 재부팅하지 않아야 함).
진단

일반적으로 여기에는 일부 사용자가 피싱 공격에 빠져 악성 링크 또는 이메일 첨부 파일을 열어 powershell.exe 같은 합법적인 시스템 도구를 악의적인 목적으로 사용하는 경우가 포함됩니다.의심스러운 프로세스, 네트워크 공유 액세스, 계정 로그, 다운로드한 파일 등의 검사를 실시해야 합니다.Windows의 경우 인증 및 가능한 권한 상승을 위한 중요한 프로세스 중 하나는 lsass.exe (로컬 보안 기관 하위 시스템 서비스) 입니다.특이한 프로세스 이름, 위치 또는 계정 액세스가 있는지 확인하세요.

CyberIncident4

피벗 머신은 위협 행위자에게 네트워크의 나머지 부분에 대한 발판을 제공하는 경우가 많습니다.주요 표적은 아니지만 목적을 위한 수단이 될 수 있습니다.따라서 다음 사항을 염두에 두어야 합니다.

  • 주의를 분산시키도록 설계된 유인
  • 파일이 없거나 메모리만 있는 멀웨어는 원본 증거가 손실될 수 있음
  • 증거 제거를 위한 파일 삭제

IT 부서가 원래의 페이션트 제로 머신이나 피벗 머신을 항상 찾을 수 있는 것은 아닙니다. 하지만 손상된 시스템이 가장 먼저 발견되면 이를 격리하고 그에 따라 조사해야 합니다.심층 분석을 위해 다음을 수행하십시오.

  • 메모리 분석
  • 파일 시스템 분석
  • 시스템 로그 포렌식
  • 레지스트리 포렌식

여러 포렌식 도구 (네이티브, 오픈 소스 및 상용) 가 존재하며 사이버 사고 이후 시스템 및 네트워크를 분석할 때 최대한 많은 정보를 검색하는 데 도움이 될 수 있습니다.

디스커버리와 래터럴 무브먼트

대부분의 경우 초기 시스템이 위협 행위자가 원하는 위치에 있는 경우는 거의 없습니다.따라서 공격자는 최종 목표 시스템에 도달할 때까지 이리저리 움직여야 합니다. 목표는 손상된 피벗 머신을 활용하여 네트워크의 나머지 부분을 발견하고 이를 매핑하여 효과적인 측면 이동 방법을 지원하는 것입니다.네트워크는 실제 애플리케이션 액세스 최종 목표를 용이하게 합니다.이러한 예로는 패스 더 해시 (pass-the-hash) 에서의 NTLM 자격 증명 도용, 패스 더 티켓 공격에서의 Kerberos 자격 증명 도용 및 측면 이동을 위한 포트 (네트워크 수준) 가 포함됩니다.

CyberIncident5

응급처치 — 디스커버리
  • 포트 스캔의 증거가 있는지 확인합니다.
  • 자주 사용하는 애플리케이션을 확인하세요.
  • 명령 기록을 확인하십시오 (예: Powershell 및 WMI 명령 기록).
  • 악성 스크립트가 있는지 확인하세요.
응급 처치 — 측면 이동
  • RDP, VNC, psexec, miikatz와 같은 원격 액세스 및 배포 도구가 남아 있는지 확인하십시오.
  • 최근 애플리케이션 사용량 확인 — Shimcache, 최근 파일, 점프 목록.
  • 서버, 특히 파일 서버, DNS 서버 및 Active Directory 서버에서 Windows 계정을 사용하고 있는지 확인하십시오.
  • 확인할 수 있는 몇 가지 유용한 Windows 이벤트 로그입니다.
  • 일반적으로 사용되는 이동 방법 (브라우저, 어도비, Microsoft Office 및 OS) 의 패치 수준을 확인합니다 (대부분의 익스플로잇은 취약점을 활용합니다).
CyberIncident6

진단

애초에 올바른 도구가 없으면 동서 이동을 감지하는 것도 또 다른 어려운 작업일 수 있습니다.또한 위협 행위자는 일반적으로 경보를 방지하고 탐지를 피하기 위해 기본 도구와 '육지 외 거주' 기술을 사용합니다.경우에 따라서는 다른 기법을 사용하여 계정 수준의 권한을 에스컬레이션하여 적발되지 않은 상태로 외부로 이동하는 것을 용이하게 할 수도 있습니다.발견 단계에서는 후속 측면 이동 단계와 마찬가지로 위협 행위자는 침묵을 유지하고 조기 탐지를 피하는 것을 선호합니다.즉, 외부 도구나 사용자 지정 도구를 도입하는 대신 기본 도구를 사용할 가능성이 높습니다.대부분의 운영 체제에는 Windows의 Powershell 및 WMI와 같이 이 단계에서 작업을 쉽게 수행할 수 있는 다양한 기본 도구가 있습니다.위협 행위자의 경우, 세그멘테이션이 거의 또는 전혀 없거나 서브넷, VLAN 및 영역과 같은 기존 세그멘테이션 방법만 사용되는 환경에서는 측면 이동이 특히 쉬울 수 있습니다.이는 일반적으로 가시성이 부족하고 보안 정책이 지나치게 복잡하며 서브넷이나 VLAN 내에서 호스트 기반 분리가 없기 때문입니다.

CyberIncident7

위 이미지는 가시성 및 분석 도구의 예를 보여줍니다 (Illumio의 애플리케이션 종속성 맵, 일루미네이션) 이를 통해 발견 및 측면 이동 시도를 시각화할 수 있습니다.위에 표시된 것과 비슷한 뷰를 통해 다양한 애플리케이션 그룹과 여기에 포함된 워크로드를 명확하게 표현하고 그에 따른 워크로드 간 네트워크 통신 매핑을 수행할 수 있습니다.이러한 뷰를 통해 동일하거나 다른 애플리케이션 그룹의 워크로드 간의 비정상적인 네트워크 동작을 빠르고 쉽게 식별할 수 있습니다.

크라운 쥬얼리

특히 은밀한 공격과 랜섬웨어가 아닌 공격의 경우 위협 행위자들이 주로 노리는 것이 가장 중요한 시스템과 데이터입니다.여기서 주요 데이터 유출 활동이 발생할 가능성이 높습니다.

응급처치
  • 데이터베이스 서버, AD 서버, 파일 서버에서 관리자 계정을 사용하고 있는지 확인합니다.
  • 웹 액세스 기록을 확인하여 의심스러운 연결이 있는지 확인하세요.
  • 안티 체크봇넷 봇넷 관련 통신에 대한 방어
  • 데이터 유출 확인 - DNS 터널링, 프로토콜 남용, 데이터 인코딩
  • 시스템 및 해당 NIC의 데이터 전송 속도가 너무 높지 않은지 확인합니다.
  • 유용한 윈도우 이벤트 로그:
  • 관리자 계정 로그인을 위한 윈도우 이벤트 4672
  • 성공적인 로그온을 위한 윈도우 이벤트 4624
CyberIncident8

진단

네트워크의 나머지 부분에서 중요하거나 민감한 데이터를 보관하는 시스템을 효과적으로 분할하는 것이 중요합니다.가장 좋은 방법 중 하나는 다음을 사용하는 것입니다. 호스트 기반 마이크로 세분화 네트워크 통신에 대한 가시성과 호스트에 직접 방화벽을 적용할 수 있는 기능을 제공합니다.주요 시스템에서 들어오고 나가는 트래픽을 나머지 네트워크와 비교하여 시각화하면 시기적절한 시각화 및 경고 기능을 통해 비정상적인 통신을 신속하게 탐지, 방지 및 격리할 수 있습니다.

맬웨어는 취약점, 특히 내재된 시스템 취약점을 뚫고 침입하여 발판을 마련할 수 있으므로 최신 취약점 및 패치 관리 솔루션을 배포하는 것도 중요합니다.위협 행위자는 일반적으로 시스템 이벤트, 파일 및 레지스트리 데이터를 삭제하기 위해 스스로 정리를 시도합니다.따라서 SIEM (보안 정보 및 이벤트 관리) 및 보안 분석 도구와 같은 시스템 및 네트워크 로그와 이벤트를 위한 중앙 저장소를 갖는 것이 특히 중요합니다.

결론적으로 사이버 사고 발생 직후에는 적절한 조치를 취해야 합니다. 이렇게 하면 사고 처리 방식의 다른 주요 부분으로 이어질 수 있기 때문입니다.조직의 규모와 위상에 관계없이 여기에 표시된 것처럼 기술적 준비와 대응은 전체 전략의 핵심 부분이어야 하지만 사고 보고 및 영향 분석과 같은 비기술적 대응도 포함해야 합니다.이에 대해서는 이 시리즈의 다음 버전에서 더 자세히 설명하겠습니다.

관련 주제

항목을 찾을 수 없습니다.

관련 기사

Illumio를 사용하여 CISA의 포보스 랜섬웨어 지침을 충족하는 방법
랜섬웨어 억제

Illumio를 사용하여 CISA의 포보스 랜섬웨어 지침을 충족하는 방법

Phobos 랜섬웨어로부터 보호하기 위한 CISA의 지침과 Illumio 제로 트러스트 세그멘테이션 플랫폼이 이러한 표준을 충족하는 데 어떻게 도움이 되는지 알아보십시오.

더 읽어보기
Hive 랜섬웨어: Illumio 제로 트러스트 세그멘테이션으로 스팅을 제한하는 방법
랜섬웨어 억제

Hive 랜섬웨어: Illumio 제로 트러스트 세그멘테이션으로 스팅을 제한하는 방법

Hive 랜섬웨어에 대해 자세히 알아보고 Illumio가 조직에 가해지는 위험을 완화하는 데 어떻게 도움이 되는지 알아보십시오.

더 읽어보기
2025년 랜섬웨어: 비용, 추세 및 위험 감소 방법
랜섬웨어 억제

2025년 랜섬웨어: 비용, 추세 및 위험 감소 방법

공격자가 보안 격차를 악용하는 방법, 랜섬웨어가 이제 비즈니스 모델이 된 이유, 마이크로세그멘테이션을 통해 위협을 차단할 수 있는 방법을 알아보십시오.

더 읽어보기
항목을 찾을 수 없습니다.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

자세히 알아보기