Offcanvas

��������� ������������

공격자의 윈도우 네트워크 접근을 ‘쉽지 않게’ 하는 방법 4가지

美 최대 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline)을 마비시킨 공격자는 오래되고 손상된 VPN 자격증명을 사용했을 가능성이 크다. 이를 반면교사 삼아 공격자가 윈도우 네트워크에 액세스하기 ‘어렵게’ 만드는 방법들을 살펴본다.  여러 사이버 해킹 사건을 살펴보다 보면 공격자가 어떻게 네트워크에 액세스했는지 궁금하지 않은가? 보도에 따르면 지난 5월 발생한 콜로니얼 파이프라인 공격의 초기 감염 지점은 오랫동안 사용되지 않았지만 여전히 열려있었던 VPN 계정으로 추정됐다. 비밀번호는 다크웹에서 발견됐다. 피싱을 통해 얻은 것이 아니었다. 이는 비밀번호가 콜로니얼 파이프라인 직원에 의해 유출됐거나 재사용됐음을 의미한다. VPN 계정에는 이중인증(2FA)이 활성화돼 있지 않아 공격자는 로그인만 하면 됐다.    이제 우리의 네트워크를 살펴볼 차례다. 2FA가 없는 원격 액세스 자격증명이 있는가? 공격자가 네트워크에 침입할 수 있는 또 다른 방법이 있는가? 로그인을 처리하는 방법이 느슨하진 않은가? 오래 사용하지 않은 계정에 취약한 비밀번호를 쓰고 있지 않은가? 아니면 다크웹에서 찾을 수 있는 비밀번호를 사용하는 건 아닌가?    여기서는 공격자가 윈도우 네트워크에 쉽게 액세스하지 못하도록 하는 방법 4가지를 살펴본다.  1. 액티브 디렉토리(Active Directory)에서 오래된 기기 및 계정 찾기  오랫동안 사용하지 않은 컴퓨터 계정을 찾을 때 유용한 도구가 바로 ‘올드컴프(Oldcmp)’다. 다음과 같이 파워셸(PowerShell)을 사용해 비활성 계정을 찾거나 90일 이상 로그인하지 않은 사용자를 확인할 수 있다.  Get-ADUser -Filter * -Properties LastLogonDate | Where-Object {$_.LastLogonDate -lt (Get-Date).AddDays(-90)} 애저 액티브 디렉토리(Azure AD)에 오래...

공격자 보안 랜섬웨어 네트워크 윈도우 네트워크 이중인증 VPN 자격증명 액티브 디렉토리 파워셸 애저 클라우드 로그인 비밀번호 암호

2021.06.24

美 최대 송유관 업체 콜로니얼 파이프라인(Colonial Pipeline)을 마비시킨 공격자는 오래되고 손상된 VPN 자격증명을 사용했을 가능성이 크다. 이를 반면교사 삼아 공격자가 윈도우 네트워크에 액세스하기 ‘어렵게’ 만드는 방법들을 살펴본다.  여러 사이버 해킹 사건을 살펴보다 보면 공격자가 어떻게 네트워크에 액세스했는지 궁금하지 않은가? 보도에 따르면 지난 5월 발생한 콜로니얼 파이프라인 공격의 초기 감염 지점은 오랫동안 사용되지 않았지만 여전히 열려있었던 VPN 계정으로 추정됐다. 비밀번호는 다크웹에서 발견됐다. 피싱을 통해 얻은 것이 아니었다. 이는 비밀번호가 콜로니얼 파이프라인 직원에 의해 유출됐거나 재사용됐음을 의미한다. VPN 계정에는 이중인증(2FA)이 활성화돼 있지 않아 공격자는 로그인만 하면 됐다.    이제 우리의 네트워크를 살펴볼 차례다. 2FA가 없는 원격 액세스 자격증명이 있는가? 공격자가 네트워크에 침입할 수 있는 또 다른 방법이 있는가? 로그인을 처리하는 방법이 느슨하진 않은가? 오래 사용하지 않은 계정에 취약한 비밀번호를 쓰고 있지 않은가? 아니면 다크웹에서 찾을 수 있는 비밀번호를 사용하는 건 아닌가?    여기서는 공격자가 윈도우 네트워크에 쉽게 액세스하지 못하도록 하는 방법 4가지를 살펴본다.  1. 액티브 디렉토리(Active Directory)에서 오래된 기기 및 계정 찾기  오랫동안 사용하지 않은 컴퓨터 계정을 찾을 때 유용한 도구가 바로 ‘올드컴프(Oldcmp)’다. 다음과 같이 파워셸(PowerShell)을 사용해 비활성 계정을 찾거나 90일 이상 로그인하지 않은 사용자를 확인할 수 있다.  Get-ADUser -Filter * -Properties LastLogonDate | Where-Object {$_.LastLogonDate -lt (Get-Date).AddDays(-90)} 애저 액티브 디렉토리(Azure AD)에 오래...

2021.06.24

2020년 윈도우 네트워크 공격 유형 톱 10

지난 한 해 동안 사이버 공격자들이 ‘윈도우 네트워크’에 액세스하기 위해 주로 사용했던 기법을 분석한 보고서가 최근 발표됐다. 이 기법들에 대한 로그를 모니터링할 수 있는 방법을 살펴본다.  美 사이버보안 업체 레드 카나리(Red Canary)가 ‘2021년 위협 감지 보고서(2021 Threat Detection Report)’를 지난 3월 공개했다. 레드 카나리 연구진은 네트워크를 전체적으로 이해하는 게 중요하다는 점을 강조했다. 한편 이 보고서는 ‘마이터 어택(MITRE ATT&CK) 프레임워크’를 기반으로 한다.    시간을 할애해 소속 기업의 정상적인 네트워크 상태를 모니터링하자. 그리고 특히 많이 사용되는 공격 기법과 관련해 어떤 스크립트가 정기적으로 사용되고 있는지, 어떤 이벤트 ID가 이벤트 로그에서 삭제되는지 검토하고 문서화하는 게 좋다.  또 시스몬(System monitor; Sysmon)(편집자 주: 이벤트 로그 수집 및 분석으로 악의적이거나 비정상적 활동을 식별하고 이게 네트워크에서 어떻게 작동하는지 파악할 수 있는 도구)을 배포하고 로그 파일을 위부 위치에 저장해야 한다. 공격자가 네트워크에서 수행할 수 있는 작업을 노출하는 이벤트를 기록하고 있는지도 확인해야 한다.  2020년 레드 카나리 보고서가 밝힌 주요 공격 기법은 다음과 같다.  1. ‘파워쉘’로 알려진 명령 및 스크립팅 인터프리터(24%)  보고서에 따르면 레드 카나리의 고객들은 ‘파워쉘(PowerShell)’과 ‘윈도우 명령 쉘(Windows Command Shell)’을 사용한 공격에 가장 많은 영향을 받았다고 답했다. 이들은 윈도우의 기본 도구이기 때문에 기업에서 공격받고 있다고 판단하기가 훨씬 더 어렵다.  이렇게 대상 컴퓨터에 이미 설치돼 있는 도구 및 프로그램을 활용하는 공격을 ‘자급자족식(Living off the Land; LotL)’ 공격이라고 부른다. 이 기법을 사용...

보안 사이버 보안 사이버 공격 윈도우 네트워크 마이터 어택 시스몬 파워쉘 자격증명

2021.04.23

지난 한 해 동안 사이버 공격자들이 ‘윈도우 네트워크’에 액세스하기 위해 주로 사용했던 기법을 분석한 보고서가 최근 발표됐다. 이 기법들에 대한 로그를 모니터링할 수 있는 방법을 살펴본다.  美 사이버보안 업체 레드 카나리(Red Canary)가 ‘2021년 위협 감지 보고서(2021 Threat Detection Report)’를 지난 3월 공개했다. 레드 카나리 연구진은 네트워크를 전체적으로 이해하는 게 중요하다는 점을 강조했다. 한편 이 보고서는 ‘마이터 어택(MITRE ATT&CK) 프레임워크’를 기반으로 한다.    시간을 할애해 소속 기업의 정상적인 네트워크 상태를 모니터링하자. 그리고 특히 많이 사용되는 공격 기법과 관련해 어떤 스크립트가 정기적으로 사용되고 있는지, 어떤 이벤트 ID가 이벤트 로그에서 삭제되는지 검토하고 문서화하는 게 좋다.  또 시스몬(System monitor; Sysmon)(편집자 주: 이벤트 로그 수집 및 분석으로 악의적이거나 비정상적 활동을 식별하고 이게 네트워크에서 어떻게 작동하는지 파악할 수 있는 도구)을 배포하고 로그 파일을 위부 위치에 저장해야 한다. 공격자가 네트워크에서 수행할 수 있는 작업을 노출하는 이벤트를 기록하고 있는지도 확인해야 한다.  2020년 레드 카나리 보고서가 밝힌 주요 공격 기법은 다음과 같다.  1. ‘파워쉘’로 알려진 명령 및 스크립팅 인터프리터(24%)  보고서에 따르면 레드 카나리의 고객들은 ‘파워쉘(PowerShell)’과 ‘윈도우 명령 쉘(Windows Command Shell)’을 사용한 공격에 가장 많은 영향을 받았다고 답했다. 이들은 윈도우의 기본 도구이기 때문에 기업에서 공격받고 있다고 판단하기가 훨씬 더 어렵다.  이렇게 대상 컴퓨터에 이미 설치돼 있는 도구 및 프로그램을 활용하는 공격을 ‘자급자족식(Living off the Land; LotL)’ 공격이라고 부른다. 이 기법을 사용...

2021.04.23

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9