랜섬웨어 공격에 대응

  • 아티클

참고

Microsoft Defender XDR 경험하고 싶으신가요? Microsoft Defender XDR 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

사용자가 랜섬웨어 공격을 받고 있거나 현재 랜섬웨어 공격을 받고 있다고 의심되는 경우 인시던트 대응 팀과 즉시 보안 통신을 설정합니다. 다음 대응 단계를 수행하여 공격을 방해하고 피해를 완화할 수 있습니다.

  • 조사 및 포함
  • 근절 및 복구

이 문서에서는 랜섬웨어 공격에 대응하기 위한 일반화된 플레이북을 제공합니다. 이 문서의 설명된 단계 및 작업을 사용자 고유의 보안 작업 플레이북에 맞게 조정하는 것이 좋습니다. 참고: 랜섬웨어 공격을 방지하는 방법에 대한 자세한 내용은 랜섬웨어 방지 빠른 배포를 참조하세요.

억제

봉쇄 및 조사는 가능한 한 동시에 발생해야 합니다. 그러나 신속하게 봉쇄를 달성하는 데 집중해야 하므로 조사할 시간이 더 많이 있습니다. 이러한 단계는 공격의 scope 확인하고 사용자 계정 및 디바이스와 같은 영향을 받는 엔터티로만 격리하는 데 도움이 됩니다.

1단계: 인시던트 scope 평가

이 질문 및 작업 목록을 실행하여 공격 범위를 검색합니다. Microsoft Defender XDR 인시던트 대응 평가를 지원하기 위해 영향을 받은 모든 자산 또는 위험에 처한 자산에 대한 통합 보기를 제공할 수 있습니다. Microsoft Defender XDR 사용하여 인시던트 대응을 참조하세요. 인시던트에서 경고 및 증거 목록을 사용하여 다음을 확인할 수 있습니다.

  • 어떤 사용자 계정이 손상될 수 있나요?
    • 페이로드를 제공하는 데 사용된 계정은 무엇입니까?
  • 어떤 온보딩 및검색된 디바이스가 영향을 받으며 어떻게 합니까?
    • 원래 디바이스
    • 영향을 받은 디바이스
    • 의심스러운 디바이스
  • 인시던트 관련 네트워크 통신을 식별합니다.
  • 영향을 받는 애플리케이션은 무엇입니까?
  • 어떤 페이로드가 분산되었나요?
  • 공격자가 손상된 디바이스와 통신하는 방법은 무엇인가요? (네트워크 보호를 사용하도록 설정해야 함):
    • 표시기 페이지로 이동하여 IP 및 URL에 대한 블록을 추가합니다(해당 정보가 있는 경우).
  • 페이로드 배달 매체는 무엇이었나요?

2단계: 기존 시스템 보존

이 작업 및 질문 목록을 실행하여 기존 시스템을 공격으로부터 보호합니다.

DeviceLogonEvents | where DeviceName  contains (AccountDomain) | take 10
  • 아직 격리되지 않고 중요한 인프라의 일부가 아닌 디바이스의 경우:
    • 네트워크에서 손상된 디바이스를 격리하지만 차단하지는 않습니다.
    • 원래 또는 분산 장치 디바이스를 식별하는 경우 먼저 격리합니다.
  • 분석을 위해 손상된 시스템을 보존합니다.

3단계: 확산 방지

이 목록을 사용하여 공격이 추가 엔터티로 확산하지 않도록 합니다.

DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false
  • 비 RDP 로그온에 대한 Kusto 쿼리(대부분의 네트워크에서 더 사실적):
DeviceLogonEvents
| where IsLocalAdmin == true and AccountDomain == DeviceName and LogonType != 'RemoteInteractive'
| extend IsLocalLogon = tobool(todynamic(AdditionalFields).IsLocalLogon)
| where IsLocalLogon==false

조사

이 섹션을 사용하여 공격을 조사하고 대응을 계획합니다.

현재 상황 평가

  • 랜섬웨어 공격을 처음 알게 된 것은 무엇인가요?
    • IT 직원이 초기 위협(예: 삭제되는 백업 검색, 바이러스 백신 경고, EDR(엔드포인트 검색 및 대응) 경고 또는 의심스러운 시스템 변경)을 식별한 경우 일반적으로 이 문서에 설명된 포함 작업으로 공격을 저지하기 위한 신속한 결정적인 조치를 취할 수 있습니다.
  • 이 사건에 대해 처음 알게 된 날짜와 시간은 언제인가요?
    • 해당 날짜에 디바이스에 설치되지 않은 시스템 및 보안 업데이트는 무엇인가요? 이는 다른 디바이스에서 해결할 수 있도록 어떤 취약성이 활용되었을 수 있는지 이해하는 데 중요합니다.
    • 해당 날짜에 사용된 사용자 계정은 무엇인가요?
    • 해당 날짜 이후 생성된 새 사용자 계정은 무엇인가요?
    • 인시던트가 발생한 시간 전후에 자동으로 시작되도록 추가된 프로그램은 무엇인가요?
  • 공격자가 현재 시스템에 액세스하고 있다는 표시가 있나요?
    • 비정상적인 활동을 경험하는 손상된 것으로 의심되는 시스템이 있나요?
    • 악의적 사용자가 적극적으로 사용하는 것으로 보이는 손상된 것으로 의심되는 계정이 있나요?
    • EDR, 방화벽, VPN, 웹 프록시 및 기타 로그에 활성 C2(명령 및 제어) 서버의 증거가 있나요?

랜섬웨어 프로세스 식별

  • 고급 헌팅을 사용하여 다른 디바이스의 프로세스 생성 이벤트에서 식별된 프로세스를 검색합니다.

감염된 디바이스에서 노출된 자격 증명 찾기

  • 자격 증명이 손상될 가능성이 있는 사용자 계정의 경우 계정 암호를 재설정하고 사용자가 다시 로그인하도록 요구합니다.
  • 다음 IOA는 횡적 이동을 나타낼 수 있습니다.
클릭하여 확장
  • SuspiciousExploratoryCommands
  • MLFileBasedAlert
  • IfeoDebuggerPersistence
  • SuspiciousRemoteFileDropAndExecution
  • ExploratoryWindowsCommands
  • IoaStickyKeys
  • Mimikatz Defender 증폭기
  • PARINACOTA에서 사용하는 네트워크 검사 도구
  • DefenderServerAlertMSSQLServer
  • SuspiciousLowReputationFileDrop
  • SuspiciousServiceExecution
  • AdminUserAddition
  • MimikatzArtifactsDetector
  • Scuba-WdigestEnabledToAccessCredentials
  • DefenderMalware
  • MLSuspCmdBehavior
  • MLSuspiciousRemoteInvocation
  • SuspiciousRemoteComponentInvocation
  • SuspiciousWmiProcessCreation
  • MLCmdBasedWithRemoting
  • 프로세스 액세스 Lsass
  • 의심스러운 Rundll32 프로세스 실행
  • BitsAdmin
  • DefenderCobaltStrikeDetection
  • DefenderHacktool
  • IoaSuspPSCommandline
  • Metasploit
  • MLSuspToolBehavior
  • RegistryQueryForPasswords
  • SuspiciousWdavExclusion
  • ASEPRegKey
  • CobaltStrikeExecutionDetection
  • DefenderBackdoor
  • DefenderBehaviorSuspiciousActivity
  • DefenderMalwareExecuted
  • DefenderServerAlertDomainController
  • DupTokenPrivilegeEscalationDetector
  • FakeWindowsBinary
  • IoaMaliciousCmdlets
  • LivingOffTheLandBinary
  • MicrosoftSignedBinaryAbuse
  • MicrosoftSignedBinaryScriptletAbuse
  • MLFileBasedWithRemoting
  • MLSuspSvchostBehavior
  • ReadSensitiveMemory
  • RemoteCodeInjection-IREnabled
  • Scuba-EchoSeenOverPipeOnLocalhost
  • Scuba-SuspiciousWebScriptFileDrop
  • odbcconf의 의심스러운 DLL 등록
  • 의심스러운 DPAPI 활동
  • 의심스러운 Exchange 프로세스 실행
  • 의심스러운 예약된 작업 시작
  • SuspiciousLdapQueryDetector
  • SuspiciousScheduledTaskRegistration
  • 신뢰할 수 없는 애플리케이션이 RDP 연결을 엽니다.

인시던트로 인해 사용할 수 없는 LOB(기간 업무) 앱 식별

  • 앱에 ID가 필요한가요?
    • 인증은 어떻게 수행되는가?
    • 인증서 또는 비밀과 같은 자격 증명은 어떻게 저장 및 관리합니까?
  • 애플리케이션, 해당 구성 및 해당 데이터의 평가된 백업을 사용할 수 있나요?
  • 손상 복구 프로세스를 확인합니다.

근절 및 복구

이러한 단계를 사용하여 위협을 근절하고 손상된 리소스를 복구합니다.

1단계: 백업 확인

오프라인 백업이 있는 경우 환경에서 랜섬웨어 페이로드(맬웨어)를 제거한 후 Microsoft 365 테넌트에서 무단 액세스가 없음을 확인한 후 암호화된 데이터를 복원할 수 있습니다.

2단계: 표시기 추가

알려진 공격자 통신 채널을 방화벽, 프록시 서버 및 엔드포인트에서 차단된 지표로 추가합니다.

3단계: 손상된 사용자 다시 설정

알려진 손상된 사용자 계정의 암호를 재설정하고 새 로그인이 필요합니다.

  • 도메인 관리자 그룹의 구성원과 같은 광범위한 관리 권한이 있는 모든 권한 있는 계정의 암호를 재설정하는 것이 좋습니다.
  • 공격자가 사용자 계정을 만들었을 수 있는 경우 계정을 사용하지 않도록 설정합니다. 인시던트에 대한 보안 포렌식 수행 계획이 없는 한 계정을 삭제하지 마세요.

4단계: 공격자 제어 지점 격리

인터넷에서 엔터프라이즈 내부의 알려진 공격자 제어 지점을 격리합니다.

5단계: 맬웨어 제거

영향을 받는 디바이스에서 맬웨어를 제거합니다.

  • 모든 의심되는 컴퓨터 및 디바이스에서 현재 바이러스 백신 검사를 실행하여 랜섬웨어와 연결된 페이로드를 검색하고 제거합니다.
  • 데이터를 동기화하는 디바이스 또는 매핑된 네트워크 드라이브의 대상을 검사하는 것을 잊지 마세요.

6단계: 정리된 디바이스에서 파일 복구

정리된 디바이스에서 파일을 복구합니다.

  • Windows 7의 Windows 11, Windows 10, Windows 8.1 및 시스템 보호에서 파일 기록을 사용하여 로컬 파일 및 폴더를 복구할 수 있습니다.

7단계: 비즈니스용 OneDrive 파일 복구

비즈니스용 OneDrive 파일을 복구합니다.

  • 비즈니스용 OneDrive 파일 복원을 사용하면 지난 30일 이내에 전체 OneDrive를 이전 시점으로 복원할 수 있습니다. 자세한 내용은 OneDrive 복구를 참조하세요.

8단계: 삭제된 전자 메일 복구

삭제된 전자 메일을 복구합니다.

9단계: Exchange ActiveSync 다시 사용하도록 설정하고 OneDrive 동기화

  • 컴퓨터와 디바이스를 정리하고 데이터를 복구한 후에는 이전에 포함 3단계에서 사용하지 않도록 설정한 Exchange ActiveSync 및 OneDrive 동기화 다시 사용하도록 설정할 수 있습니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.