Microsoft Defender XDR을 사용하여 사람이 운영하는 랜섬웨어 공격 감지
참고
Microsoft Defender XDR 경험하고 싶으신가요? Microsoft Defender XDR 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.
랜섬웨어는 파일 및 폴더를 파괴하거나 암호화하여 중요한 데이터에 대한 액세스를 방지하거나 중요한 비즈니스 시스템을 방해하는 강탈 공격의 한 유형입니다. 랜섬웨어에는 두 가지 유형이 있습니다.
- 상품 랜섬웨어는 피싱 또는 디바이스 간에 확산되고 몸값을 요구하기 전에 파일을 암호화하는 맬웨어입니다.
- 사람이 운영하는 랜섬웨어는 여러 공격 방법을 사용하는 활성 사이버 범죄자에 의한 계획되고 조정된 공격입니다. 대부분의 경우 알려진 기술과 도구는 organization 침투하고, 강탈할 가치가 있는 자산 또는 시스템을 찾은 다음, 몸값을 요구하는 데 사용됩니다. 네트워크를 손상시키면 공격자는 암호화하거나 갈취할 수 있는 자산 및 시스템의 정찰을 수행합니다. 그런 다음 공격자는 몸값을 요구하기 전에 데이터를 암호화하거나 유출합니다.
이 문서에서는 다음 보안 서비스에 대한 XDR(확장 검색 및 대응) 솔루션인 Microsoft Defender 포털을 사용하여 신규 또는 지속적인 인간 운영 랜섬웨어 공격에 대한 사전 예방적 탐지를 설명합니다.
- 엔드포인트용 Microsoft Defender
- Office 365용 Microsoft Defender
- ID용 Microsoft Defender
- Microsoft Defender for Cloud Apps(앱 거버넌스 추가 기능 포함)
- Microsoft Entra ID Protection
- IoT용 Microsoft Defender
- Microsoft 365 Business Premium
- 비즈니스용 Microsoft Defender
랜섬웨어 공격을 방지하는 방법에 대한 자세한 내용은 랜섬웨어 방지 빠른 배포 - 3단계: 가져오기 어렵게 만들기를 참조하세요.
사전 예방적 검색의 중요성
사람이 운영하는 랜섬웨어는 일반적으로 가장 중요한 데이터와 시스템을 실시간으로 침투하고 검색하는 단계를 수행할 수 있는 활성 공격자에 의해 수행되기 때문에 랜섬웨어 공격을 감지하는 데 걸리는 시간이 매우 중요합니다.
몸값 전 활동이 빠르게 감지되면 심각한 공격의 가능성이 감소합니다. 몸값 전 단계에는 일반적으로 초기 액세스, 정찰, 자격 증명 도난, 횡적 이동 및 지속성 기술이 포함됩니다. 이러한 기술은 처음에는 관련이 없는 것처럼 보일 수 있으며 종종 레이더 아래에서 비행합니다. 이러한 기술이 몸값 단계로 이어지면 너무 늦은 경우가 많습니다. Microsoft Defender XDR 더 큰 랜섬웨어 캠페인의 일부로 이러한 작고 겉보기에 관련이 없는 인시던트를 식별하는 데 도움이 될 수 있습니다.
- 랜섬 전 단계에서 감지된 경우 감염된 디바이스 또는 사용자 계정 격리와 같은 소규모 완화를 사용하여 공격을 방해하고 수정할 수 있습니다.
- 파일을 암호화하는 데 사용되는 맬웨어가 배포되는 경우와 같이 이후 단계에서 검색이 수행되면 가동 중지 시간을 유발할 수 있는 보다 적극적인 수정 단계를 사용하여 공격을 방해하고 수정해야 할 수 있습니다.
랜섬웨어 공격에 대응할 때 비즈니스 운영 중단이 발생할 수 있습니다. 랜섬웨어 공격의 끝 단계는 대개 주요 위험이 있는 공격자로 인한 가동 중지 시간 또는 네트워크 안전을 보장하고 완전히 조사할 시간을 주기 위해 제어된 가동 중지 시간 중에서 선택할 수 있습니다. 우리는 몸값을 지불하는 것이 좋습니다. 랜섬웨어 암호 해독 키를 가져오기 위해 사이버 범죄자에게 비용을 지불해도 암호화된 데이터가 복원될 것이라는 보장은 없습니다. 랜섬웨어 응답 - Microsoft 보안 블로그를 참조하세요.
랜섬웨어 공격의 영향과 탐지 없이 대응하는 시간과 사전 예방적 탐지 및 대응에 대한 정성적 관계는 다음과 같습니다.
일반적인 맬웨어 도구 및 기술을 통한 사전 검색
대부분의 경우 사람이 운영하는 랜섬웨어 공격자는 피싱, BEC(비즈니스 전자 메일 손상) 및 자격 증명 도난을 비롯한 잘 알려진 필드 테스트 맬웨어 전술, 기술, 도구 및 절차를 사용합니다. 보안 분석가는 공격자가 일반적인 맬웨어 및 사이버 공격 방법을 사용하여 organization 발판을 마련하는 방법을 인식하고 숙지해야 합니다.
랜섬웨어 공격이 일반적인 맬웨어를 시작하는 방법의 예를 보려면 다음 리소스를 참조하세요.
랜섬 전 맬웨어, 페이로드 및 활동에 익숙해지면 분석가가 공격의 이후 단계를 방지하기 위해 무엇을 찾아야 하는지 알 수 있습니다.
사람이 운영하는 랜섬웨어 공격 전술
사람이 운영하는 랜섬웨어는 알려진 공격 기술과 도구를 사용할 수 있기 때문에, 분석가가 기존 공격 기술 및 도구에 대한 이해와 경험은 집중 랜섬웨어 탐지 사례를 위해 SecOps 팀을 준비할 때 중요한 자산이 될 것입니다.
공격 전술 및 방법
다음은 다음 MITRE ATT&CK 전술에 랜섬웨어 공격자가 사용하는 몇 가지 일반적인 기술 및 도구입니다.
초기 액세스:
- RDP 무차별 암호 대입
- 취약한 인터넷 연결 시스템
- 약한 애플리케이션 설정
- 피싱 전자 메일
자격 증명 도난:
- 미미카츠 주
- LSA 비밀
- 자격 증명 모음
- 일반 텍스트의 자격 증명
- 서비스 계정 남용
횡적 이동:
- 코발트 스트라이크
- WMI
- 관리 도구 남용
- PsExec
유지:
- 새 계정
- GPO 변경 내용
- 섀도 IT 도구
- 작업 예약
- 서비스 등록
방어 회피:
- 보안 기능 사용 안 림
- 로그 파일 지우기
- 공격 아티팩트 파일 삭제
- 변경된 파일에서 타임스탬프 다시 설정
반출:
- 중요한 데이터 영향의 반출(재무 레버리지):
- 현재 위치 및 백업에 있는 데이터 암호화
- 이전 반출과 결합될 수 있는 현재 위치의 데이터 및 백업 삭제
- 유출된 중요한 데이터의 공개 유출 위협
찾을 내용
보안 분석가의 과제는 중요한 데이터 또는 중요한 시스템을 갈취하는 것을 목표로 경고가 더 큰 공격 체인의 일부인 경우를 인식하는 것입니다. 예를 들어 검색된 피싱 공격은 다음과 같을 수 있습니다.
- organization 재무 부서에 있는 사람의 이메일 메시지를 감시하는 일회성 공격입니다.
- 손상된 사용자 계정 자격 증명을 사용하여 사용자 계정에 사용할 수 있는 리소스를 검색하고 더 높은 수준의 권한 및 액세스 권한으로 다른 사용자 계정을 손상하기 위한 공격 체인의 사전 몸값 부분입니다.
이 섹션에서는 일반적인 공격 단계 및 방법 및 중앙 Microsoft Defender 포털에 공급되는 신호 원본을 제공하여 보안 분석을 위한 여러 관련 경고로 구성된 경고 및 인시던트 생성을 제공합니다. 경우에 따라 공격 데이터를 볼 수 있는 대체 보안 포털이 있습니다.
진입을 위한 초기 공격
공격자가 사용자 계정, 디바이스 또는 앱을 손상하려고 합니다.
| 공격 방법 | 신호 원본 | 대체 보안 포털 |
|---|---|---|
| RDP 무차별 암호 대입 | 엔드포인트용 Defender | Defender for Cloud Apps |
| 취약한 인터넷 연결 시스템 | Windows 보안 기능, 서버용 Microsoft Defender | |
| 약한 애플리케이션 설정 | Defender for Cloud Apps, 앱 거버넌스 추가 기능이 있는 Defender for Cloud Apps | Defender for Cloud Apps |
| 악의적인 앱 활동 | Defender for Cloud Apps, 앱 거버넌스 추가 기능이 있는 Defender for Cloud Apps | Defender for Cloud Apps |
| 피싱 전자 메일 | Office 365용 Defender | |
| Microsoft Entra 계정에 대한 암호 스프레이 | Defender for Cloud Apps를 통한 Microsoft Entra ID Protection | Defender for Cloud Apps |
| 온-프레미스 계정에 대한 암호 스프레이 | ID용 Microsoft Defender | |
| 디바이스 손상 | 엔드포인트용 Defender | |
| 자격 증명 절도 | ID용 Microsoft Defender | |
| 권한 상승 | ID용 Microsoft Defender |
그렇지 않으면 일반적인 동작의 최근 급증
공격자가 손상할 추가 엔터티를 검색하려고 합니다.
| 스파이크 범주 | 신호 원본 | 대체 보안 포털 |
|---|---|---|
| 로그인: 수많은 실패한 시도, 짧은 기간 동안 여러 디바이스에 로그온 시도, 여러 처음 로그온 등 | Defender for Cloud Apps를 통한 Microsoft Entra ID Protection, Microsoft Defender for Identity | Defender for Cloud Apps |
| 최근 활성 사용자 계정, 그룹, 컴퓨터 계정, 앱 | Defender for Cloud Apps(Microsoft Entra ID), Defender for Identity(Active Directory Domain Services [AD DS])를 통한 Microsoft Entra ID Protection | Defender for Cloud Apps |
| 데이터 액세스와 같은 최근 앱 활동 | 앱 거버넌스 추가 기능이 있는 Defender for Cloud Apps가 있는 앱 | Defender for Cloud Apps |
새 활동
공격자는 범위를 더 확장하거나, 맬웨어 에이전트를 설치하거나, 탐지를 회피하기 위해 새 엔터티를 만들고 있습니다.
| 활동 | 신호 원본 | 대체 보안 포털 |
|---|---|---|
| 설치된 새 앱 | 앱 거버넌스 추가 기능이 있는 Defender for Cloud Apps | Defender for Cloud Apps |
| 새 사용자 계정 | Azure ID 보호 | Defender for Cloud Apps |
| 역할 변경 | Azure ID 보호 | Defender for Cloud Apps |
의심스러운 동작
공격자는 중요한 정보를 다운로드하거나, 파일을 암호화하거나, organization 자산을 수집하거나 손상합니다.
| 동작 | 신호 원본 |
|---|---|
| 여러 디바이스로 확산된 맬웨어 | 엔드포인트용 Defender |
| 리소스 검사 | 엔드포인트용 Defender, Defender for Identity |
| 사서함 전달 규칙의 변경 내용 | Office 365용 Defender |
| 데이터 반출 및 암호화 | Office 365용 Defender |
-*악의적인 보안 사용 안 함에 대한 모니터링** – 이는 종종 휴머 운영 랜섬웨어(HumOR) 공격 체인의 일부이기 때문에
- 이벤트 로그 지우기 – 특히 보안 이벤트 로그 및 PowerShell 운영 로그
- 보안 도구/컨트롤 사용 안 됨 (일부 그룹과 연결됨)
Microsoft Defender 포털을 사용하여 랜섬웨어 공격 검색
Microsoft Defender 포털은 검색, 영향을 받은 자산, 수행된 자동화된 작업 및 관련 증거의 조합에 대한 정보를 중앙 집중식 보기로 제공합니다.
- 전체 공격 scope, 영향을 받은 자산 및 자동화된 수정 작업을 제공하기 위해 공격에 대한 관련 경고를 그룹화하는 인시던트 큐입니다.
- Microsoft Defender XDR 추적 중인 모든 경고를 나열하는 경고 큐입니다.
인시던트 및 경고 원본
Microsoft Defender 포털은 다음의 신호를 중앙 집중화합니다.
- 엔드포인트용 Microsoft Defender
- Office 365용 Microsoft Defender
- ID용 Microsoft Defender
- Microsoft Defender for Cloud Apps(앱 거버넌스 추가 기능 포함)
- Microsoft Entra ID Protection
- IoT용 Microsoft Defender
이 표에는 Microsoft Defender XDR 대한 몇 가지 일반적인 공격 및 해당 신호 원본이 나열되어 있습니다.
| 공격 및 인시던트 | 신호 원본 |
|---|---|
| 클라우드 ID: 암호 스프레이, 수많은 실패한 시도, 짧은 기간 동안 여러 디바이스에 로그온 시도, 여러 처음 로그온, 최근 활성 사용자 계정 | Microsoft Entra ID Protection |
| 온-프레미스 ID(AD DS) 손상 | ID용 Defender |
| 피싱 | Office 365용 Defender |
| 악성 앱 | 앱 거버넌스 추가 기능이 있는 Defender for Cloud Apps 또는 Defender for Cloud Apps |
| 엔드포인트(디바이스) 손상 | 엔드포인트용 Defender |
| IoT 지원 디바이스 손상 | Defender for IoT |
랜섬웨어 식별 인시던트 필터링
Microsoft Defender XDR 랜섬웨어로 분류된 인시던트에 대한 인시던트 큐를 쉽게 필터링할 수 있습니다.
- Microsoft Defender 포털 탐색 창에서 인시던트 및 경고 인시던트 를 선택하여 인시던트 큐로 >이동합니다.
- 필터를 선택합니다.
- 범주에서 랜섬웨어를 선택하고 적용을 선택한 다음 필터 창을 닫습니다.
인시던트 큐에 대한 각 필터 설정은 나중에 링크로 저장하고 액세스할 수 있는 URL을 만듭니다. 이러한 URL은 한 번의 클릭으로 필요할 때 책갈피를 지정하거나 저장하고 사용할 수 있습니다. 예를 들어 다음을 위한 책갈피를 만들 수 있습니다.
- "랜섬웨어" 범주를 포함하는 인시던트. 해당 링크는 다음과 같습니다.
- 랜섬웨어 공격을 수행하는 것으로 알려진 지정된 행위 자 이름을 가진 인시던트.
- 랜섬웨어 공격에 사용되는 것으로 알려진 지정된 관련 위협 이름을 가진 인시던트.
- SecOps 팀이 더 크고 조정된 랜섬웨어 공격의 일부로 알려진 인시던트에 사용하는 사용자 지정 태그를 포함하는 인시던트.
랜섬웨어 식별 위협 분석 보고서 필터링
인시던트 큐의 인시던트 필터링과 마찬가지로 랜섬웨어를 포함하는 보고서에 대한 위협 분석 보고서를 필터링할 수 있습니다.
- 탐색 창에서 위협 분석을 선택합니다.
- 필터를 선택합니다.
- 위협 태그에서 랜섬웨어를 선택하고 적용을 선택한 다음 필터 창을 닫습니다.
이 링크를 클릭할 수도 있습니다.
많은 위협 분석 보고서의 검색 세부 정보 섹션에서 위협에 대해 생성된 경고 이름 목록을 볼 수 있습니다.
Microsoft Defender XDR API
Microsoft Defender XDR API를 사용하여 테넌트에서 Microsoft Defender XDR 인시던트 및 경고 데이터를 쿼리할 수도 있습니다. 사용자 지정 앱은 데이터를 필터링하고, 사용자 지정 설정에 따라 필터링한 다음, 경고 또는 인시던트에 바로 가기 위해 쉽게 선택할 수 있는 경고 및 인시던트에 대한 링크의 필터링된 목록을 제공할 수 있습니다. Microsoft Defender XDR 인시던트 API 나열| Microsoft Docs. SIEM을 Microsoft Defender 통합할 수도 있습니다. SIEM 도구와 Microsoft Defender XDR 통합을 참조하세요.
Microsoft Defender XDR Sentinel 통합
Microsoft Sentinel의 Microsoft Defender XDR 인시던트 통합을 사용하면 모든 Microsoft Defender XDR 인시던트가 Microsoft Sentinel로 스트리밍되고 두 포털 간에 동기화된 상태로 유지할 수 있습니다. 인시던트에는 관련된 모든 경고, 엔터티 및 관련 정보가 포함됩니다. Sentinel에서 인시던트가 Microsoft Defender XDR 양방향으로 동기화된 상태로 유지되므로 인시던트 조사에서 두 포털의 이점을 모두 활용할 수 있습니다. Microsoft Sentinel과의 Microsoft Defender XDR 통합을 참조하세요.
고급 헌팅을 사용하여 사전 검사
고급 헌팅 은 네트워크에서 이벤트를 탐색하고 검사하여 위협 지표 및 엔터티를 찾을 수 있는 쿼리 기반 위협 헌팅 도구입니다. 이 유연하고 사용자 지정 가능한 분석 도구를 사용하면 알려진 위협과 잠재적 위협 모두에 대해 제한 없는 헌팅을 수행할 수 있습니다. 또한 Microsoft Defender XDR 사용자 지정 쿼리를 사용하여 쿼리를 기반으로 경고를 만들고 자동으로 실행되도록 예약할 수 있는 사용자 지정 검색 규칙을 만들도록 지원합니다.
랜섬웨어 활동을 사전에 검사하려면 ID, 엔드포인트, 앱 및 데이터에 일반적으로 사용되는 랜섬웨어 공격 방법에 대한 고급 헌팅 쿼리 카탈로그를 조합해야 합니다. 다음은 바로 사용할 수 있는 고급 헌팅 쿼리를 위한 몇 가지 주요 소스입니다.
- 랜섬웨어 사냥 문서
- 고급 헌팅 쿼리를 위한 GitHub 리포지토리:
- 위협 분석 보고서
- 랜섬웨어의 고급 헌팅 섹션 : 만연하고 지속적인 위협 분석가 보고서
- 다른 분석가 보고서의 고급 헌팅 섹션
자동화된 헌팅
고급 헌팅 쿼리를 사용하여 랜섬웨어 공격 방법의 알려진 요소(예: 비정상적인 PowerShell 명령 사용)를 기반으로 사용자 지정 검색 규칙 및 작업을 만들 수도 있습니다. 사용자 지정 검색 규칙은 보안 분석가가 보고 해결할 수 있는 경고를 만듭니다.
사용자 지정 검색 규칙을 만들려면 고급 헌팅 쿼리 페이지에서 사용자 지정 검색 규칙 Create 선택합니다. 만든 후에는 다음을 지정할 수 있습니다.
- 사용자 지정 검색 규칙을 실행하는 빈도
- 규칙에서 만든 경고의 심각도
- 생성된 경고에 대한 MITRE 공격 단계
- 영향을 받은 엔터티
- 영향을 받은 엔터티에 대해 수행할 작업
집중 랜섬웨어 검색을 위해 SecOps 팀 준비
사전 랜섬웨어 검색을 위해 SecOps 팀을 준비하려면 다음이 필요합니다.
- SecOps 팀 및 organization 사전 작업
- 필요에 따라 보안 분석가 교육
- 보안 분석가의 최신 공격 및 탐지 환경을 통합하기 위한 지속적인 운영 작업
SecOps 팀 및 organization 사전 작업
SecOps 팀과 집중 랜섬웨어 공격 방지를 위한 organization 준비하려면 다음 단계를 고려하세요.
- 신속하게 랜섬웨어 방지를 배포하여 랜섬웨어 방지를 위한 IT 및 클라우드 인프라 구성 - 3단계: 지침을 받기 어렵게 만듭니 다. 이 지침의 단계 및 작업은 다음 단계와 병렬로 수행할 수 있습니다.
- 엔드포인트용 Defender, Office 365용 Defender, Defender for Identity, Defender for Cloud Apps, 앱 거버넌스 추가 기능, Defender for IoT 및 Microsoft Entra ID Protection 서비스에 대한 적절한 라이선스를 가져옵니다.
- 알려진 랜섬웨어 공격 방법 또는 공격 단계에 맞게 조정된 고급 헌팅 쿼리 카탈로그를 조합합니다.
- 일정, 경고 명명 및 자동화된 작업을 포함하여 알려진 랜섬웨어 공격 방법에 대한 경고를 만드는 특정 고급 헌팅 쿼리에 대한 사용자 지정 검색 규칙 집합을 Create.
- 더 크고 조정된 랜섬웨어 공격의 일부로 알려진 인시던트를 식별하기 위해 새 태그 또는 표준 집합을 결정합니다.
- 랜섬웨어 인시던트 및 경고 관리에 대한 운영 작업 집합을 결정합니다. 예시:
- 계층 1 분석가가 들어오는 인시던트 및 경고를 검사하고 조사를 위해 계층 2 분석가에게 할당하는 프로세스입니다.
- 고급 헌팅 쿼리 및 해당 일정(매일, 매주, 매월)을 수동으로 실행합니다.
- 랜섬웨어 공격 조사 및 완화 환경을 기반으로 진행 중인 변경 내용
보안 분석가 교육
필요에 따라 보안 분석가에게 다음을 위한 내부 교육을 제공할 수 있습니다.
- 일반적인 랜섬웨어 공격 체인(MITRE 공격 전술 및 일반적인 위협 기술 및 맬웨어)
- 인시던트 및 경고 및 다음을 사용하여 Microsoft Defender 포털에서 인시던트 및 경고를 찾고 분석하는 방법:
- Microsoft Defender XDR 이미 만든 경고 및 인시던트
- Microsoft Defender 포털에 대한 사전 검사된 URL 기반 필터
- 인시던트 API를 통해 프로그래밍 방식으로
- 사용할 고급 헌팅 쿼리 및 수동 일정(매일, 매주, 매월)
- 사용할 사용자 지정 검색 규칙 및 해당 설정
- 사용자 지정 인시던트 태그
- Microsoft Defender 포털의 랜섬웨어 공격에 대한 최신 위협 분석 보고서
운영 학습 및 새로운 위협에 기반한 지속적인 작업
SecOps 팀의 지속적인 도구 및 프로세스 모범 사례 및 보안 분석가의 경험의 일부로 다음을 수행해야 합니다.
- 고급 헌팅 쿼리 카탈로그를 다음으로 업데이트합니다.
- Microsoft Defender 포털 또는 고급 헌팅 GitHub 리포지토리의 최신 위협 분석 보고서를 기반으로 하는 새 쿼리입니다.
- 위협 식별 또는 더 나은 경고 품질을 위해 최적화하기 위해 기존 변경 내용.
- 신규 또는 변경된 고급 헌팅 쿼리에 따라 사용자 지정 검색 규칙을 업데이트합니다.
- 랜섬웨어 검색을 위한 운영 작업 집합을 업데이트합니다.
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기