랜섬웨어 공격 탐지 및 대응

  • 아티클

랜섬웨어 인시던트를 나타낼 수 있는 몇 가지 잠재적인 트리거가 있습니다. 다른 많은 형식의 맬웨어와 달리 대부분은 신뢰도가 낮은 트리거(인시던트 선언 전에 더 많은 조사 또는 분석이 필요할 가능성이 있는 경우)보다는 신뢰도가 높은 트리거(인시던트를 선언하기 전에 추가 조사 또는 분석이 거의 필요하지 않은 경우)입니다.

일반적으로 이러한 감염은 기본 시스템 동작, 주요 시스템 또는 사용자 파일의 부재 및 몸값 요구에서 명백합니다. 이 경우 분석가는 공격을 완화하기 위해 자동화된 작업을 취하는 것을 포함하여 인시던트를 즉시 선언하고 확대할지 여부를 고려해야 합니다.

랜섬웨어 공격 탐지

클라우드용 Microsoft Defender는 XDR(Extended Detection and Response)이라고도 하는 고품질 위협 탐지 및 대응 기능을 제공합니다.

VM, SQL Server, 웹 애플리케이션 및 ID에 대한 일반적인 공격을 신속하게 탐지하고 치료합니다.

  • 공통 진입점 우선 순위 지정 – 랜섬웨어(및 기타) 운영자는 엔드포인트/이메일/ID + RDP(원격 데스크톱 프로토콜)를 선호합니다.
    • 통합 XDR - Microsoft 클라우드용 Defender와 같은 통합 XDR(확장 검색 및 대응) 도구를 사용하여 고품질 경고를 제공하고 응답 중 마찰 및 수동 단계를 최소화합니다.
    • 무차별 대입 - 암호 스프레이와 같은 무차별 대입 시도 모니터링
  • 악의적인 보안 사용 안 함에 대한 모니터링 – 이는 종종 HumOR(휴머 운영 랜섬웨어) 공격 체인의 일부이기 때문에
    • 이벤트 로그 삭제 - 특히 보안 이벤트 로그 및 PowerShell 작업 로그
    • 보안 도구/제어 사용하지 않도록 설정(일부 그룹과 연결됨)
  • 상품 맬웨어를 무시하지 마세요 - 랜섬웨어 공격자는 정기적으로 암시장에서 대상 조직에 대한 액세스 권한을 구매합니다.
  • 외부 전문가 통합DART(Microsoft 감지 및 대응 팀)와 같은 전문 지식을 보완하는 프로세스에 통합합니다.
  • 온-프레미스 배포에서 엔드포인트용 Defender를 사용하여 손상된 컴퓨터를 신속하게 격리합니다.

랜섬웨어 공격 대응

인시던트 선언

성공적인 랜섬웨어 감염이 확인되면 분석가는 이것이 새로운 인시던트인지 또는 기존 인시던트와 관련이 있는지 확인해야 합니다. 유사한 인시던트를 나타내는 현재 열려 있는 티켓을 찾습니다. 그렇다면 현재 인시던트 티켓을 발권 시스템의 새 정보로 업데이트합니다. 이것이 새로운 인시던트인 경우 인시던트를 관련 티켓팅 시스템에서 선언하고 인시던트를 억제하고 완화하기 위해 적절한 팀 또는 공급자에 에스컬레이션해야 합니다. 랜섬웨어 인시던트를 관리하려면 여러 IT 및 보안 팀에서 작업을 취해야 할 수 있습니다. 가능하면 티켓이 랜섬웨어 인시던트로 명확하게 식별되어 워크플로를 안내하도록 합니다.

억제/완화

일반적으로 다양한 서버/엔드포인트 맬웨어 방지, 이메일 맬웨어 방지 및 네트워크 보호 솔루션은 알려진 랜섬웨어를 자동으로 포함하고 완화하도록 구성해야 합니다. 그러나 특정 랜섬웨어 변종이 이러한 보호 기능을 바이패스하고 대상 시스템을 성공적으로 감염시킬 수 있는 경우가 있을 수 있습니다.

Microsoft는 주요 Azure 보안 모범 사례에서 인시던트 대응 프로세스를 업데이트할 수 있도록 하는 광범위한 리소스를 제공합니다.

다음은 맬웨어 방지 시스템의 자동화된 작업이 실패한 경우 랜섬웨어와 관련된 선언된 인시던트를 억제하거나 완화하기 위한 권장 작업입니다.

  1. 표준 지원 프로세스를 통해 맬웨어 방지 공급업체 참여
  2. 맬웨어 방지 시스템에 맬웨어와 관련된 해시 및 기타 정보를 수동으로 추가
  3. 맬웨어 방지 공급업체 업데이트 적용
  4. 영향을 받는 시스템을 수정할 수 있을 때까지 격리
  5. 손상된 계정 사용하지 않도록 설정
  6. 근본 원인 분석 수행
  7. 영향을 받는 시스템에 관련 패치 및 구성 변경 적용
  8. 내부 및 외부 제어를 사용하여 랜섬웨어 통신 차단
  9. 캐시된 콘텐츠 제거

복구까지의 길

Microsoft 감지 및 대응 팀이 공격으로부터 사용자를 보호합니다.

랜섬웨어 피해자는 애초에 침해를 초래한 근본적인 보안 문제를 이해하고 수정하는 것을 우선시해야 합니다.

DART(Microsoft 검색 및 대응 팀)와 같은 외부 전문가를 프로세스에 통합하여 전문 지식을 보완합니다. DART는 전 세계 고객과 협력하여 공격이 발생하기 전에 공격을 보호하고 강화할 뿐만 아니라 공격이 발생했을 때 조사하고 수정하는 데 도움을 줍니다.

고객은 적시에 정확한 대응을 위해 Microsoft Defender 포털 내에서 직접 보안 전문가를 참여시킬 수 있습니다. 전문가는 경고 질문, 잠재적으로 손상된 디바이스, 의심스러운 네트워크 연결의 근본 원인부터 진행 중인 지능형 지속 위협 캠페인에 대한 추가적인 위협 인텔리전스에 이르기까지 조직에 영향을 주는 복잡한 위협에 대한 이해를 돕기 위해 필요한 인사이트를 제공합니다.

Microsoft는 귀사가 안전한 운영으로 돌아갈 수 있도록 지원할 준비가 되어 있습니다.

Microsoft는 수백 건의 손상 복구을 수행하고 검증된 방법론을 보유하고 있습니다. 보다 안전한 위치에 도달할 수 있을 뿐만 아니라 상황에 대응하기보다 장기 전략을 고려할 수 있는 기회를 제공합니다.

Microsoft는 Rapid Ransomware Recovery 서비스를 제공합니다. 이에 따라 ID 서비스 복원, 수정 및 강화, 랜섬웨어 공격의 피해자가 가능한 한 최단 시간 내에 정상 업무로 복귀할 수 있도록 모니터링 배포와 같은 모든 영역에서 지원을 제공합니다.

Microsoft의 Rapid Ransomware Recovery 서비스는 사용자 참여 기간 동안 "기밀"로 취급됩니다. 신속한 랜섬웨어 복구 참여는 Azure Cloud & AI Do기본 일부인 CRSP(Compromise Recovery Security Practice) 팀에서만 제공됩니다. 자세한 내용은 Azure 보안 관련 문의 요청에서 CRSP에 문의합니다.

다음 단계

백서: 랜섬웨어 공격에 대한 Azure 방어 백서를 참조하세요.

이 시리즈의 다른 문서: