AD(Active Directory) 관리자가 피해야 할 6가지 AD 운영 사례

AD 관리자가 피해야 할 6가지 AD 운영 사례

최근, 많은 기업에서는 다수의 윈도우 시스템들을 관리하기 위해 AD(Active Directory) 서비스를 사용한다.

계정 관리 및 정책 배포 등 관리자의 입장에서는 다수의 시스템들을 효율적으로 관리할 수 있도록 도와주는 서비스이지만, 반대로 AD 서버 탈취만으로 공격자에게 내부망을 장악할 수 있는 권한을 내어주게 될 수도 있다.

2

019년 2월 중순부터 국내 여러 기업 내 AD환경을 대상으로 한 CLOP 랜섬웨어 감염 사고가 다수 발생하였다.

KISA는 피해원인 분석 및 재발방지를 위해 사고 분석을 진행하면서 AD 환경에 존재하는 관리적 취약점으로 인해 랜섬웨어가 전파되었음을 확인하였다.

본 사고노트에서는 해당 사고 및 유사한 사례들을 대응하면서 정리한 취약한 AD관리 사례에 대해 소개한다.

1. 개요

2. AD 환경을 악용한 사고 관련 KISA 대응 이력

3. AD 환경에서 '관리자 그룹' 계정이 탈취되는 경로

4. 취약한 AD 관리 사례

5. 결론

☞ 상세 내용은 첨부 파일을 참고 바랍니다

<AD(Active Directory) 보안 관련 참고 자료>

o  기업 윈도우 서버를 공격하는 신종 랜섬웨어 감염 확산 주의

o  기업 대상 윈도우 서버를 공격하는 클롭(CLOP) 랜섬웨어 감염 주의 권고(2차)

o  AD(Active Directory) 관리자 계정 탈취 침해사고 분석 기술 보고서

o  AD 서버 악용 내부망 랜섬웨어 유포 사례 분석

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 

취약점 진단 및 모의 침투

개인정보 비식별화 솔루션

보안솔루션 공급

070-7867-3721, ismsbok@gmail.com

AD 서버 악용 내부망 랜섬웨어 유포 사례 분석

 뉴딜코리아 홈페이지

AD 서버 악용 내부망 랜섬웨어 유포 사례 분석

1. 요개

 o 최근 AD(Active Directory) (Clop) 서버를 악용하여 랜섬웨어 를 감염시키는 사례가 발생 하였다.
   랜섬웨어 의 (Clop) 랜섬노트는 가상화폐 지갑 주소 대신 협상 할 메일 주소만 남겨 놓았으며, 감염 사실을 알리는 내용의 문구 및 악성코드의 행위로 보아 기업만을 대상으로 한 랜섬웨어 유포 공격으로 보고 있다.

 o 랜섬웨어 침해사고 분석과정에서 악성 메일이 발견되었다 (Clop) . 악성 메일에 첨부된 악성 코드는 서버의 유무를 확인 하고 서버에 연결된 AD AD 시스템에만 추가 악성코드를 유포 했으며 추가 다운로드 된 악성코드는 내부 확산 및 전파를 통해 , 서버 관리자계정 AD정보를 가지고 있는 시스템을 탈취한다 .

 o ( KISA) 한국인터넷진흥원 이하 은 이번 공격에 사용되었던 ‘ (Clop) 랜섬웨어 의 코드가 악성 메일에 첨부되어 있었던 악성코드와 유사’한 것과 내부 확산 과정에서 ‘코발트스트라이크(CobaltStrike)’ 사용 흔적 을 확인한 내용을 토대로 ‘ (Clop) 랜섬웨어 감염 사고는 악성메일 열람으로 인한 악성코드 감염 및 탈취 AD ’ , 로 일어난 사고로 추정하고 있으며 코발트스트라이크를 이용해 사고 상황을 재구성하고 분석하여 이 보고서를 작성하였다.

Active Directory : 시스템 네트워크 자원 및 정보 등을 중앙화 하여 관리하기 위한 서비스
CobaltStrike : 침투 제어 및 내부확산 등의 기능을 수행하는 모의침투 테스트 도구

2. 공격 개요

 o 침해사고 분석 중 발견된 공격 도구 코발트스트라이크의 특징에 착안하여 감염 상황을 재구성 하였으며 그 내용은 아래와 같다.

1) 메일 유포를 통해 피해시스템 감염 추정
2) 메일의 첨부파일 열람을 통해 다운로더 악성코드 설치
3) 다운로더 악성코드는 도메인컨트롤러와 연결된 시스템을 확인 하고 원격제어 악성코드 삽입
4) 원격제어 악성코드를 이용해 코발트스트라이크로 만들어진 셸코드 삽입 및 내부전파 (ShellCode)
5) 관리자 권한 탈취 및 도메인컨트롤러 서버 장악
6) Clop 도메인컨트롤러 서버에 연결 된 시스템에 랜섬웨어 전파 및 실행

☞ 추가 상세 내용은 첨부 파일을 참고 하세요 ...!

  1. 개요
  2. 공격 개요
  3. 공격 기법 및 절차
  4. 악성코드 상세 분석 정보
  5. IoC
  6. 참고자료

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 

취약점 진단 및 모의 침투

개인정보 비식별화 솔루션

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

페이스북 피싱 사이트 공격 주의 (2019.02.20)

 뉴딜코리아 홈페이지 

■ 가짜 페이스북 주의…“로그인 시 개인 정보 탈취 당해”

최근 또 다시 국내 사용자의 계정 정보를 탈취하는 페이스북 피싱(Phishing) 공격이 확인됐다.

감쪽같은 가짜 페이스북 사이트에 사용자의 피해가 우려된다.

페이스북 계정 정보를 탈취하려는 피싱 공격이 지속적으로 나타나고 있는데, 이번 피싱 공격은 온라인 광고 네트워크를 통해 가짜 페이스북 사이트 접속을 유도하는 점이 특징적이다.

사용자가 광고를 클릭하면 광고 대신 가짜 페이스북 사이트로 연결된다.

이 가짜 페이스북 사이트는 매우 정교하게 제작되어 언뜻 봐서는 가짜임을 의심하기 어렵다.

URL을 살펴보면 실제 페이스북 사이트와 주소가 다르다는 것을 알 수 있다.

그러나 이번 사례와 같이 대부분의 사용자는 광고나 다른 웹 사이트 또는 이메일에 포함된 URL을 클릭해 접속하기 때문에 주소창을 확인하는 경우가 드물다.

페이스북뿐만 아니라 국내 유명 포털 사이트로 위장한 피싱 공격이 끊이지 않는 것도 이러한 점 때문이다.

또한 공격자는 계정 정보를 탈취한 후 구글 페이지로 사용자를 리다이렉트하는 치밀함까지 보였다.

사용자가 가짜 페이스북 사이트에 자신의 계정 정보를 입력하면 해당 정보가 공격자의 서버로 전송된다.

이때 전송되는 정보에는 사용자의 계정, 비밀번호, 접속 지역 등 민감한 개인정보가 포함되어 있다.

이렇게 유출된 계정 정보는 페이스북 해킹뿐만 아니라 메신저 피싱, 그 외 온라인 사이트 해킹 등 2차 범죄로 이어질 가능성이 있다.

피싱 사이트 공격을 예방하기 위해서는 유명 포탈이나 웹 사이트의 광고, 메일 본문에 포함된 URL 등 검증되지 않은 URL에 접속하는 일은 자제할 것을 권장한다.

계정 정보를 입력할 때는 다시 한번 주소 표시줄을 확인하여 정상 사이트인지 확인하는 것도 중요하다.

■ 페이스북에서 친구신청 들어온 걸 계정 확인도 없이 마구 수락하면 위험합니다.

페이스북을 처음 시작하면 흔히 하는 실수 중 하나가 조기에 페이스북 친구를 늘리기 위해 페이스북이 추천하는 사람들을 무턱대고 모두 친구신청하거나, 친구신청이 들어오면 무턱대고 친구수락을 하는 일이다.

나는 페친신청이 들어오면

1) 그의 사진을 눌러 프로필로 들어가 정보를 먼저 훑어보고

2) 그가 자신의 타임라인에 게시한 글들을 살펴본 후

3) 그의 친구 목록도 살펴본다.

그 세가지를 살펴보면 그가 어떤 사람인지 나와는 어떤 관계로 이어지게 되었는지 어느 정도는 파악이 가능하다.

나와 함께 아는 페친이 많다고 무조건 믿어서는 안된다.

가짜계정이 나와 많이 친한 페친의 친구목록 전체에 페친신청한 결과로 생긴 일일 수 있기 때문이다.

전혀 알지도 못 하고 어떤 관계인지 파악하기도 어려운 이로부터의 페친신청을 무조건 다 수락하는 건 각별히 조심해야 할 일이다.

내가 페친으로 수락한 가짜계정 하나가 내 페친 모두에게 피해를 주기 때문이다.

☞ 참고사이트:
How To Hack Facebook ID Using Phishing attack 2019
https://officialhacker.com/hack-facebook-id-using-phishing-attack/

이게 정말 가짜?! 페이스북 피싱 사이트 주의!(안랩)
https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=28064

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 

취약점 진단 및 모의 침투

개인정보 비식별화 솔루션

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

효과적인 사이버 방어를 위한 20개 핵심 통제항목

 뉴딜코리아 홈페이지 

■ 효과적인 사이버 방어를 위한 20개 핵심 통제항목

해킹을 줄이고, 복구 노력 및 관련 비용을 절감하기 위해 중요 IT 인프라에 대해 연속적인 자동화된 보호 및 모니터링을 통해 조직의 보안 태세를 강화하여 핵심 자산과 인프라 및 정보를 보호하는 데 필수적인 20개 핵심 보안통제 문서를 공개합니다.

조직의 사이버 보안 구축 시 많은 활용바랍니다.

핵심 보안 통제항목 20개

 1: 인가 및 비인가 기기 자산 목록 관리
 2: 인가 및 비인가 소프트웨어 자산 목록 관리
 3: 하드웨어 및 소프트웨어 보안환경 설정
 4: 취약점 평가 및 패치 연속성 유지
 5: 악성코드 방어
 6: 애플리케이션 소프트웨어 보안
 7: 무선 기기 통제
 8: 데이터 복구 기능
 9: 기술 격차 해소를 위한 보안기술 수준평가 및 교육훈련
 10: 네트워크 장비 보안환경 설정
 11: 네트워크 포트, 프로토콜 및 서비스 제한 및 통제
 12: 관리자 권한 사용 통제
 13: 네트워크 경계선 방어
 14: 감사 로그 기록, 모니터링 및 분석
 15: 수준별 접근 통제
 16: 계정 모니터링 및 통제
 17: 데이터 손실 방지
 18: 사고 대응 및 관리
 19: 네트워크 보안 설계
 20: 침투 시험 및 가상 훈련

- SANS 코리아 -

첨부파일 : 효과적인 사이버 방어를 위한 20개 핵심 통제항목

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 

취약점 진단 및 모의 침투

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

[개인정보보호] 해킹에 대한 기술적·관리적 보호조치 미흡 사건(민사)

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2333

통신사 해킹에 대한 기술적·관리적 보호조치 미흡 사건(민사)

​
통신사 고객정보 해킹 사건에 대해 개인정보처리자의 기술적·관리적 보호조치 여부 및 위자료 액수가 쟁점인 판례

[사건번호]
서울중앙지방법원 2014. 8. 22. 선고 2012가합83365 판결

1) 쟁점 : 통신회사 K의 기술적 보호조치 상에 과실이 있었는지 아닌지

2) 사실관계 : 피고 통신회사 K는 고객정보를 등록 관리하고 이용자의 이용명세를 정산하여 요금을 부과하는 등의 업무를 수행하기 위하여 N-STEP 시스템을 완성하였다.

사용자는 PC에서 'N-STEP portal 통합 로그인’을 실행하여 사용자별로 발급되어 있는 N-STEP ID와 비밀번호(이하 ID와 비밀번호를 포괄하여 지칭할 때 '사용자 계정'이라 한다)를 사용자 인증화면에 입력한다.

웹 브라우저는 입력받은 N-STEP ID와 비밀번호의 조합을 N-STEP 포털 서버로 전달하고, 이와 함께 PC별로 고유하게 부여된 정보인 MAC 주소(Media Access Control Address)도 N-STEP 포털 서버로 전송된다.

N-STEP 포털 서버는 전달받은 계정의 정보를 다시 AUT라는 이름의 인증 서버로 전달한다.

AUT 서버는 전달받은 사용자 계정이 정상적으로 접속이 허용된 사용자인지를 확인하여 접속이 허용된 사용자일 경우 '인증 토큰'을 N-STEP 포털 서버에 전달하는데, 이때 웹 브라우저는 별도의 실행 파일로 구성된 N-STEP UI라는 이름의 클라이언트용 프로그램을 실행하면서 전달받은 인증 토큰을 N-STEP UI에 부여한다.

사용자가 로그인 창에 ID와 비밀번호를 입력하여 인증을 거친 후 화면에 띄워지는 N-STEP UI에는 가입자 입력, 가입자 조회 등 각종 메뉴가 표시되어 있고, 사용자는 그 중 원하는 메뉴를 선택한다.

위와 같은 상황에서, 컴퓨터 프로그래머인 A는 여러 차례의 시도 끝에 N-STEP UI가 ESB 서버와 통신하는데 필요한 헤더 및 그 변숫값에 해당하는 임의의 값을 찾아내었다.

 A는 찾아낸 임의의 값으로 서비스 호출 규격에 맞는 데이터를 구성하여서 피고의 VPN에 접속되어 있기만 하면 N-STEP 포털의 인증과 N-STEP UI를 통한 AUT 서버의 인증을 거칠 필요 없이 곧바로 ESB 서버와 통신을 할 수 있는 이 사건 해킹프로그램을 제작하였다.

A는 2012. 2. 20.경 B를 통해 피고의 VPN을 이용할 수 있는 피고의 대리점 PC에 설치된 원격제어프로그램의 ID와 비밀번호를 받은 후 위 대리점 PC에 원격에서 Nsteal(RUN.BAT) 프로그램을 설치한 다음 이를 실행하여 고객정보 8,730,435건(중복 제거 시 8,129,090건)을 A의 서버에 전송하여 오라클 DB에 저장하였다.

3) 판결내용

① 접근통제의 불완전성에 대한 판단 : 고시 규정은 개인정보처리시스템에 접속권한을 제한하여 인가받지 않은 접근을 제한하라고 규정하고 있을 뿐, 개인정보처리시스템에 대한 접근통제장치가 반드시 협의의 개인정보처리시스템 내부에 존재하여야 한다고 정한 것은 아닌바,

N-STEP 시스템이 N-STEP 포털 및 AUT 서버에만 접속권한의 인증절차를 두고 있고, 달리 ESB 서버 이후에 접속권한의 인증을 거치지 아니하는 구조가 이 사건 고시 제4조제5항에서 정하는 기술적·관리적 보호조치의무에 반한다고 보기는 어렵다.

또한 N-STEP 시스템의 N-STEP 포털 및 AUT 서버에 단계에서 피고가 갖추어 놓은 접근통제시스템이 불완전한가에 대하여 사용자가 소지하고 있는 MAC 주소를 통한 추가적인 인증절차를 두고 있고, N-STEP UI는 접속된 인증 토큰의 유효성을 10분에 한 번씩 확인하여 유효한 토큰이 아닐 경우에 접속을 차단하는 기능이 있으므로 이러한 접근통제장치가 이 사건 고시 규정에서 요구하는 기술적·관리적 보호조치에 반한다고 보기 어렵다.

② 이 사건 고시 제4조제2항 위반 여부 : 위 고시 규정은 개인정보처리시스템에 대한 접근권한을 말소하라는 것으로서 퇴직한 자의 계정으로는 개인정보처리시스템의 전 과정에서 식별되어 접근하지 못하도록 하는 조치를 해야 했을 것이므로 피고가 퇴직한 사용자의 N-STEP 사용자계정을 N-STEP UI에서 인증하지 못하도록 한 것만으로는 위 고시 규정이 요구하는 기술적·관리적 보호조치를 다 하였다고 보기 어렵다.

③ 모니터링 시스템에 관한 부분 : 이 사건 고시 제5조는 궁극적으로 개인정보의 유출 방지 등 보호를 위하여 개인정보처리시스템에서 개인정보를 처리한 내용을 확인하고 감독하여야 한다는 주의의무가 포함되는 규정이라 할 것인바, A는 이 사건 해킹프로그램을 실행할 당시 1주일에 한 번 10만 건 정도의 개인정보를 조회하였다고 진술한 점 등에 비추어보면 피고가 개인정보처리시스템의 사용 패턴에서 평상시의 상태와 다른 특이점을 발견하여 정보 유출의 지속 및 확대를 방지할 수 있었음에도 피고는 이러한 주의의무를 다 하지 못하였다.

④ 암호화에 관한 부분 : 피고는 OM DB 서버에 고객들의 주민등록번호를 암호화하지 아니하여서 이 사건 고시 제6조제2항을 위반한 점, 주민등록번호를 제외한 정보에 대하여 피고는 3-DES 방식으로 암호화를 하였는데, 방송통신위원회 등에서 발행한 암호기술 구현 안내서에서는 위 암호화 방식을 권고하지 아니한 점, 피고가 암호화키의 관리를 소홀히 한 점 등에 비추어 보면, 피고는 암호화에 관한 기술적·관리적 보호조치를 다 하지 못하였다.

4) 결론 : 원고들이 입게 된 피해가 분명하게 입증되지는 않았지만, 원고들이 받은 수많은 텔레마케팅, 스팸메시지 등을 추적하여 이 사건 정보유출 사고로 인한 것인지 밝히는 것은 사실상 불가능한바 이러한 사정은 위자료의 액수 산정에 참작하기로 하여 피고가 원고들에게 지급하여야 할 위자료의 액수를 100,000원으로 정한다.