랜섬웨어 감염 사례 포스팅
1. 개요
– XXX 센터 / 중요 서비스 VM (실운영 서버) 랜섬웨어 (ransomware) 감염
– x.x.x.x / OS Windows Enterprise 2008 x64
2. 침해 사고 발생 시점 추정
최초 접수 : 10월 18일 오전 9시 20분경 / 발생 시간 : 10월 17일 오후 19:08 경
랜섬웨어 감염으로 OS 모든 파일 확장자 변경 시간 확인됨 (windows 폴더 제외)
10월 17일 퇴근전 (19시 이전 퇴근) 까지는 정상적으로 운영
3. 침해사고 영향도
xxx 제품 사용 고객에 한하여 xx 이 존재하지 않아 xxx에서 xx 추천을 받는 회사 데이터를 보유하는 고객에 한하여 전일 xxx xxxxx 데이터를 xx 생성 > xxxx 추천 받는 단계에서 일부 xxx 되지 않음.
4. 상세 분석
감염 상태 확인 / Windows OS 폴더를 제외한 모든 파일 확장자 .arena 로 변경됨
OS 레지스트리 , 악성 프로세스 확인
윈도우 부팅시 자동 실행되는 레지스트리 등록됨
프로세스 확인 (kok.exe, info.hta) 경로 : C:\Windows\System32
랜섬웨어 감염 실행 시점 행위
윈도우 이벤트 로그 분석 랜섬웨어 감염 과정에서 특정 기능을 해제하고 기존에 백업된 복원지점 삭제 (“VSS (표시 이름 : Volume Shadow Copy)” 서비스 컨트롤)
감염 파일 분석 (info.hta)
.hta 랜섬웨어 다운로더 확장자 파일 내용중 난독화(암호화) 부분
– 랜섬웨어 감염 화면 (지불 방법, 비트 코인 계좌 정보등)
감염 시점 서버 접속 LOG
RDP(원격 데스크톱 접속) xxx Port / 영국 IP로 확인됨 17일 19:06 , 19:09 (감염 시점 19:08)
감염 파일 백신 점검 (info.hta , kok.exe) 알약 실행 -> 진단명 : 랜섬웨어로 탐지
5. 점검 결과
1) 감염 경로 추정
원격 데스크톱 (RDP) 접속으로 추정 감염 시간대 영국 IP -> administrator 계정으로 서버 접속 성공 로그 발견 IIS 등 웹 서비스도 운영중이었으나, 모든 LOG 파일이 랜섬웨어에 감염됨 웹 서비스로 침투한 경로 확인 불가 상태(LOG 파일 감염) 감염 서버 관리자 PC 점검결과 의심할만한 사항은 없다고 통보 받음
2) 감염후 윈도우 폴더를 제외한 파일 확장자 전체 변경됨
형식 : 파일명.id-16진수 문자열[email].arena (CryptoMix 랜섬웨어 변종)
예) FileName.exe.id-FAD77E48.[koklok@cock.li].arena
3) 윈도우 이벤트 로그 분석 결과
VSS 서비스 컨트롤(복구 기능 제거) 로그 확인 (악성 파일 설치과정)
영국 IP에서 감염서버 -> RDP 접속 성공 로그 확인
4) 감염파일 분석
OS 시작시 실행되는 레지스트리 위치에 자동 등록됨
info.hta 파일 -> 암호화(난독화) 되어져 있어 해독 불가 (스크립트 다운로더)
kok.exe 파일 -> 백신에서 악성코드로 진단
기타
RDP 원격데스크톱 xxx PORT 접속 외부 ANY OPEN 노출된 상태
administrator 계정 외 사용하지 않는 계정도 서버 접속 이력 확인됨 (root,root2,root3)
6. 조치 결과 및 개선 과제
1) 신규 VM 생성 후 관련 부서에 전달
– RDP Port xxx 변경 (특정 IP 에서만 접속할수 있도록 방화벽 정책 반영)
– OS 계정 패스워드 변경 (복잡도 만족)
2) RDP 원격데스크톱 접속이 외부에 ANY로 오픈된 서버 전수 조사 필요
개발 서버 -> 운영 서버로 전환된 서버 전수 조사 필요
3) 엄격한 계정 관리 필요
– administrator 이름 변경 or 신규 관리자 계정으로 발급
– 단순한 패스워드 사용금지 (예: 1q2w3e)
– 불필요 계정 삭제 (예: root,root2,root3 등)
4) 운영 , 개발, 테스트 서버에 대한 운영 프로세스 재정립 필요
예: 개발 서버의 경우 외부 네트워크 접속 차단 검토등 서버 계정 관리에 대한 명확한 R&R 재정립 개발 서버군에 대한 정기적인 자산 리스트 현행화
5) 중요 서버 -> 안티 바이러스 프로그램 설치 검토
백신이 설치 되어 있었다면 감염 사태 사전 차단 가능 백신 프로그램 운영시 정기적인 점검 프로세스 확립 필요
6) 중요 서비스군 -> 랜섬웨어 감염 취약점 전수 조사 필요
7) 랜섬웨어 감염 관련 보안 의식 고취 필요
의심되는 email 미열람 (첨부파일 클릭 금지, 링크 클릭 금지) 의심되는 사이트 접속 금지 정기적인 PC 보안 패치 중요 데이터에 대한 백업 철저