AD 서버 악용 내부망 랜섬웨어 유포 사례 분석
1. 요개
o 최근 AD(Active Directory) (Clop) 서버를 악용하여 랜섬웨어 를 감염시키는 사례가 발생 하였다.
랜섬웨어 의 (Clop) 랜섬노트는 가상화폐 지갑 주소 대신 협상 할 메일 주소만 남겨 놓았으며, 감염 사실을 알리는 내용의 문구 및 악성코드의 행위로 보아 기업만을 대상으로 한 랜섬웨어 유포 공격으로 보고 있다.
랜섬웨어 의 (Clop) 랜섬노트는 가상화폐 지갑 주소 대신 협상 할 메일 주소만 남겨 놓았으며, 감염 사실을 알리는 내용의 문구 및 악성코드의 행위로 보아 기업만을 대상으로 한 랜섬웨어 유포 공격으로 보고 있다.
o 랜섬웨어 침해사고 분석과정에서 악성 메일이 발견되었다 (Clop) . 악성 메일에 첨부된 악성 코드는 서버의 유무를 확인 하고 서버에 연결된 AD AD 시스템에만 추가 악성코드를 유포 했으며 추가 다운로드 된 악성코드는 내부 확산 및 전파를 통해 , 서버 관리자계정 AD정보를 가지고 있는 시스템을 탈취한다 .
o ( KISA) 한국인터넷진흥원 이하 은 이번 공격에 사용되었던 ‘ (Clop) 랜섬웨어 의 코드가 악성 메일에 첨부되어 있었던 악성코드와 유사’한 것과 내부 확산 과정에서 ‘코발트스트라이크(CobaltStrike)’ 사용 흔적 을 확인한 내용을 토대로 ‘ (Clop) 랜섬웨어 감염 사고는 악성메일 열람으로 인한 악성코드 감염 및 탈취 AD ’ , 로 일어난 사고로 추정하고 있으며 코발트스트라이크를 이용해 사고 상황을 재구성하고 분석하여 이 보고서를 작성하였다.
Active Directory : 시스템 네트워크 자원 및 정보 등을 중앙화 하여 관리하기 위한 서비스
CobaltStrike : 침투 제어 및 내부확산 등의 기능을 수행하는 모의침투 테스트 도구
CobaltStrike : 침투 제어 및 내부확산 등의 기능을 수행하는 모의침투 테스트 도구
2. 공격 개요
o 침해사고 분석 중 발견된 공격 도구 코발트스트라이크의 특징에 착안하여 감염 상황을 재구성 하였으며 그 내용은 아래와 같다.
1) 메일 유포를 통해 피해시스템 감염 추정
2) 메일의 첨부파일 열람을 통해 다운로더 악성코드 설치
3) 다운로더 악성코드는 도메인컨트롤러와 연결된 시스템을 확인 하고 원격제어 악성코드 삽입
4) 원격제어 악성코드를 이용해 코발트스트라이크로 만들어진 셸코드 삽입 및 내부전파 (ShellCode)
5) 관리자 권한 탈취 및 도메인컨트롤러 서버 장악
6) Clop 도메인컨트롤러 서버에 연결 된 시스템에 랜섬웨어 전파 및 실행
2) 메일의 첨부파일 열람을 통해 다운로더 악성코드 설치
3) 다운로더 악성코드는 도메인컨트롤러와 연결된 시스템을 확인 하고 원격제어 악성코드 삽입
4) 원격제어 악성코드를 이용해 코발트스트라이크로 만들어진 셸코드 삽입 및 내부전파 (ShellCode)
5) 관리자 권한 탈취 및 도메인컨트롤러 서버 장악
6) Clop 도메인컨트롤러 서버에 연결 된 시스템에 랜섬웨어 전파 및 실행
1. 개요
2. 공격 개요
3. 공격 기법 및 절차
4. 악성코드 상세 분석 정보
5. IoC
6. 참고자료
2. 공격 개요
3. 공격 기법 및 절차
4. 악성코드 상세 분석 정보
5. IoC
6. 참고자료
컨설팅 : ISMS, ISO27001 GDPR,PCI-DSS
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
070-7867-3721, ismsbok@gmail.com
댓글 없음:
댓글 쓰기