요점:
정부 부처, 기관 및 금융 부문은 2023년 상반기입니다.사이버 보안긴급 대응 사고 발생률이 가장 높은 분야입니다. 이는 중요한 부문에 대한 사이버 보안 문제의 중요성을 강조합니다.데이터 보안는 심각한 위협이 됩니다.
대다수의 정부 및 기업 조직은 사이버 보안 인프라와 운영 역량에 심각한 결함이 있습니다. 소수의 정부 및 기업 조직만이 보안 순찰을 통해 문제를 사전에 감지하고 손실을 방지할 수 있는 반면, 대부분의 조직은 큰 손실이 발생한 후 또는 제3자로부터 통보를 받은 후에야 보안 문제를 감지할 수 있습니다. 사고의 상당 부분은 공격자가 호스트와 서버를 공격하기 위해 취약한 비밀번호와 일반적인 취약점을 사용하는 것과 관련이 있습니다.
내부 직원의 위반으로 인한 긴급 대응 사고가 전체의 약 4분의 1을 차지했습니다. 보안 인식이 부족하면 공용 네트워크의 중요 정보 유출, 공용 네트워크에 대한 고위험 포트 개방, 불법 복제 소프트웨어 다운로드 등 인트라넷 서버 감염으로 이어져 랜섬웨어 확산, 데이터 유출, 서버 침해 사고까지 유발할 수 있습니다. 따라서 중대형 정부 및 기업 조직은 내부 직원들의 네트워크 보안 의식을 강화해야 합니다.
실시간 공격 및 방어 훈련 활동은 기업이 잠재적인 보안 취약점을 발견 및 식별하고, 위협을 조기에 해결하고, 실제 공격을 예방하고, 손실을 줄이는 데 도움이 될 수 있습니다. 2023년 상반기에 접수된 보안 인시던트 중 일부는 정부 및 기업 조직 내 실시간 공격 및 방어 훈련 활동에서 발생했습니다.
요약하면, 사이버 보안 문제는 정부 부처, 기관, 금융 산업 등 주요 산업에서 데이터 보안에 심각한 위협이 되고 있습니다. 대부분의 정부 및 기업 조직은 네트워크 보안 인프라 구축 및 운영 능력에 결함이 있으며, 내부 직원들의 네트워크 보안 예방에 대한 인식이 시급히 개선되어야 합니다. 실제와 같은 공격 및 방어 연습 활동을 통해 기업은 잠재적인 보안 취약점을 더 잘 식별하고 수정하여 잠재적인 손실을 줄일 수 있습니다.
이벤트:
2023년 상반기에 95015 서비스 플랫폼은 국가 정부 및 기업 조직으로부터 총 376건의 사이버 보안 긴급 상황을 접수했습니다. 첸신 보안 서비스 팀은 관련 사고를 처리하는 데 3,157.1시간(394.6인일)을 투자했으며, 평균 시간은 8.4시간이 소요되었습니다.
산업별 분포를 보면 정부 부처가 총 70건으로 가장 많은 사고를 보고했으며, 기관이 총 51건으로 2위, 금융 기관이 총 50건으로 3위를 차지했습니다. 또한 제조, 의료기관, 운송 등의 산업도 사이버 보안 긴급 대응 사고 발생률이 높은 것으로 나타났습니다.
정부 및 기업 조직의 47.61%는 시스템 침입의 명백한 징후가 나타난 후에야 도움을 요청했고, 33.81%는 공격자의 협박을 받은 후에 95015에 전화했습니다. 보안 운영 패트롤을 통해 문제를 사전에 감지할 수 있었던 조직은 12.7%에 불과했습니다.
사고의 영향 범위로 보면, 63.61 TP3T가 주로 업무용 개인 네트워크에 영향을 미쳤고, 36.41 TP3T가 주로 업무용 네트워크에 영향을 미쳤습니다. 영향을 받은 디바이스 수 중 서버는 5,481대, 사무용 단말기는 3,817대가 침해당했습니다. 기업 사설 네트워크와 서버가 공격자들의 주요 표적이었습니다.
피해 규모를 보면 생산성 비효율이 40.41조 원, 데이터 손실이 22.91조 원, 데이터 유출이 11.41조 원으로 나타났습니다. 또한 평판에 영향을 미치는 인시던트는 22건, 데이터 변조 인시던트는 18건이 발생했습니다.
98건의 사이버 보안 사고가 업무 편의 등의 이유로 내부자에 의한 침해로 인해 발생했으며, 이는 협박 활동(106건)에 이어 중요 데이터 탈취(71건)와 갈취(68건)를 목적으로 한 외부 사이버 공격에 이어 두 번째로 많은 수치입니다.
악성 프로그램을 주요 수단으로 하는 네트워크 공격이 34.31 TP3T로 가장 많았고, 취약점 익스플로잇(31.91 TP3T)과 피싱 이메일(7.21 TP3T)이 그 뒤를 이었습니다. 네트워크 도청 공격, 웹 페이지 변조, 웹 애플리케이션 CC 공격, 서비스 거부 공격도 더 많이 발생했습니다.
긴급 대응 사고로 처리된 랜섬웨어 중 포보스 랜섬웨어가 가장 많이 사용되었으며, 중대형 정부 및 기업 조직에서 12건의 사이버 보안 긴급 대응 사고를 유발했습니다. 그다음으로 락빗 랜섬웨어(10회), 워너크라이 랜섬웨어, 마캅 랜섬웨어(각 6회)가 뒤를 이었습니다. 이러한 인기 랜섬웨어 바이러스는 주의가 필요합니다.
취약한 비밀번호는 공격자들이 가장 많이 악용하는 사이버 보안 취약점으로, 133건의 관련 익스플로잇이 발생하여 35.41 TP3T를 차지했습니다. 이터널 블루 취약점은 84건의 관련 익스플로잇이 발생하여 22.31 TP3T를 차지하며 그 뒤를 이었습니다.
I. 사이버 보안 긴급 대응 상황 개요
2023년 1월부터 6월까지 95015 서비스 플랫폼은 전국적으로 총 376건의 사이버 보안 긴급 대응 사고를 접수했으며, 첸신 보안 서비스 팀은 정부 및 기업 조직이 보안 사고를 초기에 처리하도록 지원하여 정부 및 기업 조직의 포털, 데이터베이스, 중요 비즈니스 시스템을 지속적으로 안전하고 안정적으로 운영할 수 있도록 했습니다.
종합적인 통계에 따르면 2023년 상반기에 처리된 376건의 사이버 보안 긴급 대응 사고 중 치치(Chi-Chi-)
Axiomtek 팀은 총 3,157.1시간, 즉 394.6일을 투자했으며, 한 건의 긴급 사고를 처리하는 데 평균 8.4시간이 걸렸습니다. 1월에는 구정 연휴로 인해 긴급 상황 대응량이 다소 감소했습니다.
II. 긴급 대응 사고의 피해자 분석
이 장에서는 사이버 보안 긴급 대응 사고의 피해자 관점에서 산업별 분포, 사고 발견 방식, 영향력 범위, 공격으로 인한 영향 등을 살펴보고, 2023년 상반기 중 95015 서비스 플랫폼이
보고된 376건의 사이버 보안 긴급 대응 사고를 분석했습니다.
2.1 산업 분포
산업별 분포를 보면 2023년 상반기 95015 서비스 플랫폼에 보고된 사이버보안 긴급대응 사고 중 정부 부처가 70건으로 18.6%를 차지해 가장 많았고, 기관이 51건으로 13.6%로 2위, 금융기관이 50건으로 13.3%로 3위를 차지했습니다. 그 외 제조업도 사이버보안 긴급대응 사고 발생률이 높은 것으로 나타났습니다, 이 외에도 제조, 의료기관, 운송 등의 산업에서도 사이버 보안 긴급 대응 사고 발생률이 높은 것으로 나타났습니다.
다음 표는 산업별로 보고된 사이버 보안 긴급 대응 사고의 상위 10위 순위를 보여줍니다.
2.2. 인시던트 발견
보안 사고가 발견되는 과정을 보면, 47.61%에 해당하는 정부 및 기업 조직이 시스템에 이미 명백한 침입 징후가 나타난 후에 도움을 요청했고, 33.81%에 해당하는 정부 및 기업 조직이 공격자의 협박을 받은 후에 95015 네트워크에 신고했습니다.보안 서비스핫라인. 이 둘의 합은 81.41 TP3T입니다.
즉, 약 80%의 대기업 및 중견 정부 기관과 기업 조직은 시스템이 이미 큰 손실을 입거나 돌이킬 수 없는 손상을 입은 후에야 전문 기관의 도움을 요청합니다. 보안 운영 점검을 통해 손실이 발생하기 전에 실제로 문제를 발견하고 도움을 요청하여 손실을 방지할 수 있는 정부 및 기업 조직의 비율은 12.71%에 불과합니다.
또한, 정부 및 기업 조직의 약 5.91%는 관할 부서, 규제 기관 및 타사 플랫폼으로부터 알림을 받은 후 긴급 대응을 시작했습니다. 이러한 조직은 효과적인 사이버 보안 운영이 심각하게 부족할 뿐만 아니라 필요한 정보도 심각하게 부족합니다.
(c) 관할 부서 또는 감독 기관이 보안 문제나 공격에 대해 항상 자신들보다 먼저 알아낸다는 사실을 뒷받침하기 위해 강압적인 정보 기능을 사용하는 행위. 이러한 통지 중 일부는 관련 부서가 법적 책임 및 행정적 처벌에 노출될 수도 있습니다. 이러한 통보를 받은 정부 및 기업 조직은 언제 터질지 모르는 잠재적 시한폭탄과 같습니다.
2.3 영향 범위
사이버 보안 사고는 종종 IT 및 비즈니스 시스템에 중대한 영향을 미칩니다. 2023년 상반기 95015 서비스 플랫폼에 신고되어 처리된 사이버 보안 긴급 대응 사고 중 업무 네트워크에 주로 영향을 미친 사고는 63.6%, 사무실 네트워크에 주로 영향을 미친 사고의 비율은 36.4%였습니다. 사이버 보안 사고의 영향을 받은 장비 수로는 5,481대의 서버가 침해되었고 3,817대의 사무실 단말기가 침해당했습니다.
2023년 상반기 중대형 정부 및 기업 조직을 대상으로 한 사이버 공격의 범위는 아래 그래프에 나와 있습니다.
이 보고서에서 오피스 네트워크는 기업 내 직원들이 사용하는 데스크톱, 노트북, 프린터 등의 디바이스로 구성된 기본적인 사무용 네트워크를 의미하며, 비즈니스 네트워크는 조직 운영 전반과 외부 지원에 필요한 모든 종류의 네트워크 시스템을 의미합니다.
피해 범위와 영향을 받은 디바이스 수로 볼 때, 대기업과 중견 정부 및 기업 조직의 업무 전용 네트워크와 서버가 사이버 공격자의 주요 표적이 되고 있음을 알 수 있습니다.
중대형 정부 및 기업 조직도 내부 직원의 보안 인식을 개선하고 업무망의 보안 보호 구축을 진행하면서 데이터 보안 관리뿐만 아니라 인트라넷의 업무용 단말기 및 중요 서버의 보안 보호를 강화해야 합니다.
2.4 사고로 인한 손실
사이버 보안 사고는 일반적으로 정부 및 기업 조직에 다양한 정도와 유형의 손실을 초래합니다. 긴급 대응 현장 상황을 분석한 결과, 2023년 상반기 95015 서비스 플랫폼에 접수된 376건의 신고 중 관련 조직의 생산성 저하를 초래한 사고가 152건으로 40.41 TP3T를 차지해 손실 유형 1위, 데이터 손실을 초래한 사고가 86건으로 22.91 TP3T로 2위, 데이터 유출을 초래한 사고가 43건으로 43 TP3T로 2위를 차지한 것으로 나타났습니다. 43건의 사고로 다음을 차지했습니다.
11.4%로 3위를 차지했으며, 정부 및 기업 조직에 평판에 영향을 미친 사건은 22건, 데이터 변조를 일으킨 사건은 22건이 발생했습니다.
18 위로.
참고로 위 통계에서는 동일한 사건은 한 번만 집계되며, 각 사건에서 발생한 가장 심각한 피해 유형만 집계합니다.
생산성 저하의 주된 이유는 채굴, 웜, 트로이 목마 및 기타 공격 수단으로 인해 서버 CPU 점유율이 너무 높아져 생산성이 저하되기 때문입니다. 또한 랜섬웨어 공격으로 인해 일부 생산 시스템이 중단된 기업도 있습니다.
데이터 손실에는 여러 가지 이유가 있지만, 그 중 랜섬웨어 암호화로 인한 복구 불가능한 데이터가 가장 큰 이유입니다. 데이터 유출의 주요 원인은 다음과 같습니다.해커내부자에 의한 침입 및 유출을 방지할 수 있습니다.
III. 긴급 대응 사고의 공격자 분석
이 장에서는 2023년 상반기 95015 서비스 플랫폼에 신고된 376건의 사이버 보안 긴급 대응 사고를 공격자 관점에서 공격 의도, 공격 유형, 악성 프로그램, 취약점 악용 등의 측면에서 분석합니다.
3.1 공격 의도
공격자들은 어떤 목적으로 사이버 공격을 시작했을까요? 긴급 대응팀은 사이버 보안 사고를 소급하여 분석하는 과정에서 2023년 상반기에 98건의 사이버 보안 사고가 내부자가 업무 편의 등의 이유로 불규칙한 작업을 수행하여 시스템 장애 또는 침입으로 이어져 긴급 대응을 촉발한 것으로 나타났습니다. 이는 협박 활동(106건)에 이어 두 번째로 많은 수치이며, 중요 데이터 탈취(71건)와 금품 갈취(68건)를 목적으로 한 외부 사이버 공격 건수보다 많은 수치입니다.
여기서 블랙 생산 활동은 주로 국내 조직폭력배가 주도하는 것으로, 블랙 워드 및 블랙 체인, 피싱 페이지, 채굴 프로그램 및 기타 공격 수단을 통해 수익을 창출하기 위한 블랙 생산 활동을 말합니다.
중요한 데이터를 훔치기 위한 공격은 일반적으로 두 가지 유형으로 분류되는데, 하나는 개인 해커가 정부 및 기업 조직의 내부 시스템에 불법적으로 침입하여 개인 정보 및 계정 비밀번호와 같은 민감하고 중요한 데이터를 훔치는 것이고, 다른 하나는 상업적 스파이 활동 또는 APT 활동입니다. 현실적인 관점에서 볼 때 첫 번째 상황이 더 흔하고 두 번째 상황은 가끔 발생합니다.
갈취는 주로 공격자가 랜섬웨어를 사용하여 정치 및 비즈니스 조직의 터미널과 서버를 공격한 후 갈취를 수행하는 것을 말합니다. 이러한 공격은 거의 전적으로 해외 공격자에 의해 시작되며 대응하기가 매우 어렵습니다.
3.2 공격 수단
공격자가 사용하는 공격 방법은 보안 이벤트마다 다릅니다. 2023년 상반기에는 사이버
보안 긴급 대응 사고를 분석한 결과 악성 프로그램을 주 수단으로 하는 네트워크 공격이 34.3%로 가장 많았고, 취약점 악용이 31.9%로 2위, 피싱 이메일이 7.2%로 3위를 차지했습니다. 그 외 네트워크 도청 공격, 웹 페이지 변조, 웹 애플리케이션에 대한 CC 공격, 서비스 거부 공격 등도 비교적 많이 발생했습니다. 최종적으로 공격이 아닌 것으로 판정된 보안 사고도 약 21.8%에 달했습니다. 즉, 내부 비리나 사고로 인한 시스템 침입이 아니더라도 네트워크 보안 긴급 대응을 촉발한 사건도 적지 않아 경각심을 가져야 할 필요가 있습니다.
3.3 악성 프로그램
긴급 사고를 분석한 결과 랜섬웨어, 채굴 트로이목마, 웜이 공격자들이 가장 많이 사용하는 악성 프로그램 유형으로 각각 20.7%, 12.0%, 7.2%의 악성 프로그램 공격을 차지했습니다. 이 외에도 웹사이트 트로이목마, 이터널 블루 다운로더 트로이목마, DDOS 트로이목마, APT 전용 트로이목마도 자주 발견되는 악성 프로그램 유형으로 나타났습니다. 11.4% 악성 프로그램 공격은 일반 인터넷 사용자를 대상으로 하는 인터넷 트로이 목마가 더 흔하고 널리 퍼진 것과 관련이 있습니다.
표 1은 2023년 상반기 95015 서비스 플랫폼에 신고된 사이버보안 긴급대응 사고 중 발생 빈도가 가장 높은 상위 10개 랜섬웨어를 나타낸 것으로, 1위는 2023년 상반기 12건의 중대형 정부 및 기업 기관의 사이버보안 긴급대응 사고를 유발한 포보스 랜섬웨어이며, 다음으로 락빗 랜섬웨어가 10건, 워너크라이 랜섬웨어와 마캅 랜섬웨어가 각각 6건으로 뒤를 잇고 있는 것을 확인할 수 있습니다. 워너크라이 랜섬웨어와 마콥 랜섬웨어는 각각 6회씩 발생했습니다. 이러한 인기 있는 랜섬웨어 바이러스는 경각심을 불러일으킬 수 있는 큰 원인입니다.
표 1 공격받은 상위 10개 랜섬웨어 유형
랜섬웨어 이름 | 응급 상황 발생 횟수 |
포보스 랜섬웨어 | 12 |
LockBit 랜섬웨어 | 10 |
워너크라이 랜섬웨어 | 6 |
Makop 랜섬웨어 | 6 |
텔레아웃패스 랜섬웨어 | 4 |
Mallox 랜섬웨어 | 3 |
베이징크립트 랜섬웨어 | 3 |
고타크리 랜섬웨어 | 2 |
Devos 랜섬웨어 | 2 |
엘비 랜섬웨어 | 2 |
3.4 취약점 악용
2023년 상반기에 공격자들이 가장 많이 악용한 사이버 보안 취약점은 취약한 비밀번호인 것으로 나타났다.
두 번째는 이터널 블루 취약점으로, 84건의 익스플로잇 이벤트가 발생하여 22.3%를 차지했습니다. 반면, 다른 개별 유형의 취약점은 훨씬 적은 비율의 익스플로잇을 차지했으며, 피싱 이메일은 19건의 이벤트만 발생하여 5.1%로 3위를 차지했습니다. 피싱 이메일은 19건에 불과한 5.1%로 3위를 차지했습니다.
취약한 비밀번호가 널리 퍼져 있다는 것은 보안에 대한 인식이 약하고 보안 관리가 허술하다는 것을 반증하는 것입니다. 2017년 워너크라이 바이러스가 발생한 이후, 이터널 블루 취약점은 반드시 패치해야 하는 보안 취약점으로 널리 알려졌습니다. 현재까지도 이터널 블루의 총알받이가 된 정부 및 기업 조직이 다수 존재하며, 이는 이들 정부 및 기업 조직이 가장 기본적인 네트워크 보안 인프라 구축과 가장 기본적인 네트워크 보안 운영 능력이 심각하게 부족하다는 것을 나타냅니다. 취약한 비밀번호와 이터널 블루 취약점은 앞으로도 상당 기간 동안 국내 정부 및 기업 조직의 근본적인 네트워크 보안 문제로 남을 것으로 예상됩니다.
IV. 비상 대응에 대한 일반적인 사례 연구
2023년 상반기 95015 사이버보안 서비스 핫라인은 31개 성, 시, 자치구, 중앙정부 직속 직할시, 2개 특별행정구 등 전국 각지에서 총 376건의 사이버보안 긴급 대응 요청을 접수했으며 정부 부처, 공공기관, 금융, 제조, 의료, 교통 등 20개 이상의 산업을 대상으로 서비스를 제공했습니다. 이 장에서는 2023년 상반기 사이버 보안 비상 대응을 실제 상황과 결합하여 설명합니다.
정부 및 기업 조직의 네트워크 보안 구축과 운영에 유용한 참고 자료가 되기를 바라며 대표적인 사례 5가지를 소개합니다.
4.1 기업 데이터베이스 서버의 Mallox 랜섬웨어 감염
사건 개요
2023년 1월, 첸손 보안 서비스 긴급 대응팀은 서버가 랜섬웨어에 감염되어 파일이 암호화된 기업으로부터 침입 경로를 추적하고 싶다는 긴급 지원 요청을 받았습니다.
현장에 도착한 긴급 대응팀은 피해 데이터베이스 서버(x.x.x.31)를 확인한 결과, 기업 서버가 랜섬노트와 암호화된 접미사를 조합해 당분간 복호화할 수 없는 Mallox 랜섬웨어 바이러스에 감염된 것을 확인했습니다. 피해 데이터베이스 서버(x.x.x.31)의 애플리케이션 로그와 현장 보안 보호 소프트웨어의 클라우드 로그를 조사한 결과, 외부 네트워크(92.63.196.x)의 공격자가 데이터베이스 서버(x.x.x.31)에서 대량의 무차별 암호 대입 행위를 하고 서버(x.x.x.31)를 성공적으로 해킹하여 원격 데스크톱 도구 Anydesk를 다운로드하여 설치한 후, 업로드한 해킹 도구 hrsword_v5.0.1.1.exe를 업로드하고 보안 보호 소프트웨어를 해제했습니다. 긴급 요원이 엑스트라넷 공격자(92.63.196.x)에 대한 위협 인텔리전스 쿼리를 수행한 결과, 해당 IP가 악성 C2 서버이며 일반적인 수단은 포트 1433을 스캔하고 침입하는 것임을 확인했습니다. 비상 요원은 기업 직원들과 소통하여 비즈니스 운영을 원활하게 하기 위해 데이터베이스 서버의 1433 포트(x.x.x.31)가 공용 네트워크에 개방되어 있다는 사실을 파악했습니다. 그 후 긴급 대응팀은 서버(x.x.x.31)의 최근 액세스 파일과 의심스러운 프로그램을 조사한 결과 무차별 암호 대입 사전과 무차별 암호 해독 도구 NLBrute1.2.exe가 다수 존재한다는 사실을 발견했습니다.
이 시점에서 비상 요원은 외부 세계 1433 포트에 개방된 서버(x.x.x.31)와 서버 계정의 취약한 비밀번호로 인해 공격자가 서버(x.x.x.31) 권한을 성공적으로 획득한 다음 서버(x.x.x.31)를 인트라넷의 다른 호스트로의 발판으로 사용하여 폭풍을 일으킨 다음 Mallox 랜섬웨어 바이러스를 배치하여 호스트를 암호화하는 데 성공했다고 추론했습니다. 파일.
보호 권장 사항
1) 시스템 및 애플리케이션 관련 사용자는 취약한 비밀번호 사용을 지양하고 복잡도와 강도가 높은 비밀번호를 사용해야 하며, 대문자와 소문자, 숫자, 특수기호 등을 혼합한 비밀번호를 사용하도록 하여 관리자의 보안의식을 강화하고 비밀번호 재사용을 금지해야 합니다;
2) 필요한 방화벽을 구성하고 방화벽 정책을 활성화하여 해커가 악용할 수 있는 불필요한 서비스 노출을 방지합니다;
3) 악성 네트워크 트래픽을 적시에 탐지하기 위해 전체 흐름 모니터링 장비를 배치하는 것이 좋으며, 동시에 추적 및 추적 기능을 더욱 강화하여 보안 사고 발생시 신뢰할 수있는 추적 기반을 제공 할 수 있습니다;
4) 액세스 제어 ACL 정책을 효과적으로 강화하고, 정책의 세분화를 세분화하고, 지역 및 업무에 따라 각 네트워크 영역 및 서버 간 액세스를 엄격하게 제한하고, 화이트리스트 메커니즘을 채택하여 특정 업무에 필요한 포트의 개방 만 허용하고, 다른 포트에 대한 액세스를 금지하여 관리자 IP 만 FTP, 데이터베이스 서비스, 원격 데스크톱 등의 관리 포트에 액세스 할 수 있도록합니다.
4.2. 부대 공식 웹사이트가 블랙 체인에 연결된 사건에 대한 긴급 대응.
사건 개요
2023년 2월, 첸셴의 긴급 대응팀은 공식 웹사이트가 공격자에게 해킹당했다는 사실을 패치데이로부터 통보받은 한 부대로부터 사건을 분석 및 조사하고 침입 경로를 역추적해 달라는 도움을 요청받았습니다.
현장에 도착한 긴급 요원들은 확인을 통해 해당 기관의 공식 웹사이트가 실제로 검은색 체인으로 묶여 있음을 확인했습니다. 이후 해당 서버(x.x.x.117)의 웹 로그를 확인한 결과 웹쉘 백도어 파일 123123123.aspx를 업로드한 기록과 해당 백도어 파일에 대한 다수의 접속 기록이 있었고, 파일 검색을 통해 템플릿 디렉토리에서 12312 3123.aspx 파일을 발견했습니다. 긴급 요원들은 업로드 지점 t.aspx를 테스트한 결과 이 위치에 임의 파일 업로드 취약점이 존재한다는 사실을 발견했습니다. 긴급 대응 요원이 업로드 지점 https://x.x.edu.cn/xx/admin/settings/ttemplet_file_edi t.aspx를 테스트한 결과 이 위치에 임의 파일 업로드 취약점이 존재한다는 사실을 발견했습니다.
서버의 사용자 프로필(x.x.x.117)을 확인한 결과 Guest 사용자가 복제되어 관리자 권한이 부여되었으며, 의심스러운 로그인이 여러 건 확인되었습니다. 서버의 iis 구성 파일(x.x.x.117)을 확인한 결과, 검색 엔진 seo와 관련된 문자와 관련 점프 코드가 포함된 의심스러운 dll 파일이 있는 것으로 확인되었습니다.
지금까지 긴급 요원은 부대 공식 웹 사이트에 임의 파일 업로드 취약점이 존재하기 때문에 공격자가 취약점을 사용하여 권한이 있는 게스트 사용자를 복제하여 서버 권한을 획득하고 iis 구성을 변조하여 부대 공식 웹 사이트에 블랙 체인의 악성 dll 파일 임베딩을로드하여 블랙 체인을 중단하는 데 사용했음을 확인했습니다.
보호 권장 사항
1) 필요한 방화벽을 구성하고 방화벽 정책을 활성화하여 해커가 악용할 수 있는 불필요한 서비스 노출을 방지합니다;
2) 권한 관리 강화, 민감한 디렉터리에 대한 권한 설정, 업로드된 디렉터리에 대한 스크립트 실행 권한 제한, 실행 권한 구성 비활성화 등 권한 관리를 강화합니다;
3) 경계 WAF 보호에 사이트를 포함시키면 HTTPS 유형 사이트는 인증서를 로드해야 합니다;
4) 시스템, 애플리케이션 및 네트워크 수준에서 보안 평가, 침투 테스트 및 코드 감사를 수행하여 현재 시스템 및 애플리케이션의 잠재적 보안 위험을 사전에 식별합니다;
5) 일일 보안 점검 시스템을 강화하고 시스템 구성, 네트워크 장비 조정, 보안 로그 및 보안 정책의 구현을 정기적으로 점검하고 정상화합니다.정보 보안Work.
4.3. 통신사 가입자의 라우터 하이재킹 긴급 사고 처리
사건 개요
2023년 3월, 첸손 긴급 대응팀은 한 사업자로부터 정상적인 TV 시청을 위해 해당 사업자의 광대역을 사용하던 중 페이지 하이재킹으로 인해 가입자의 불만이 접수되었다는 긴급 지원 요청을 받았습니다. 이 사업자는 이 사건의 원인을 파악하기를 원했습니다.
하이재킹 페이지 조사 현장에 도착한 긴급 요원은 하이재킹 현상이 특정 페이지에 접속할 때만 발생하며, 106.14.x.x, 139.196.x.x 두 주소로 처음 점프하면 사용자의 페이지가 하이재킹된다는 사실을 발견했습니다. 이 두 주소를 방문하라는 요청을 통해 응급 요원은 방문시 많은 수의 광고, 음란물 주소 및 점프 코드가 포함 된 악성 js 파일이 자동으로로드되는 것을 발견했습니다. 그 후 응급 요원은 동일한 모델의 TV 박스를 테스트했지만 하이재킹 상황을 찾지 못해 라우터에 문제가있을 수 있다고 추측했습니다.
긴급 대응팀은 사용자의 동의를 받은 후 공격자의 관점에서 라우터 디바이스를 테스트했고, 라우터에 라우터 시스템 권한을 직접 획득할 수 있는 명령 실행 취약점이 있다는 것을 발견했습니다. 라우터 시스템 권한, 라우터 시스템 프로세스, 파일 등을 얻기 위해 긴급 인력이 장치에서 실행되는 nginx 프로세스의 존재를 발견하면 포트 8080에서 수신 대기하기 시작합니다. 그 후 nginx 프로세스의 구성 파일을 조사한 결과 nginx.conf 파일에 하이재킹 코드가 이식된 것을 발견했습니다.
라우터는 가정용 라우터이고 운영자의 네트워크에 액세스 할 때 사용자에게 공용 주소가 할당되지 않기 때문에 공격자는 라우터에 직접 액세스 할 수 없습니다. 따라서 긴급 요원은 사용자가 라우터를 구매할 때 이미 하이재킹 코드가 존재했을 것으로 추측했습니다. 라우터 제조업체의 공식 웹 사이트에 액세스 할 수 없기 때문에 긴급 요원은 공식 펌웨어를 얻을 수 없었고 라우터에서 사용하는 펌웨어가 공식 버전인지 여부를 확인할 수 없었습니다. 현재 응급 요원은 운영자에게 사용자의 네트워크 콘센트에서 관련 악성 주소를 차단할 것을 권장했으며 응급 상황은 종료되었습니다.
보호 권장 사항
1) 운영자는 사용자의 네트워크 이그레스에서 관련 악성 주소를 차단하는 것이 좋습니다;
2) 제품을 구매할 때는 항상 공식 채널에서 구매하고 비공식적이거나 의심스러운 타사 채널에서 구매하지 않도록 하여 위조품, 불법 복제품 또는 저품질 제품에 노출될 위험을 방지하세요.
4.4. 워치독스 채굴 바이러스에 감염된 기업의 긴급 사고 발생
사건 개요
2023년 5월, 첸손의 긴급 대응팀은 인트라넷의 여러 서버가 채굴 바이러스에 감염되어 서버 시스템 리소스 점유율이 높아져 정상적인 업무 운영에 영향을 미치고 있다는 한 기업의 긴급 지원 요청을 받고 피해 서버를 조사하고 침입 경로를 역추적하고자 했습니다.
현장에 도착한 긴급 요원은 기업의 운영 및 유지보수 담당자가 제공한 아웃리치 악성 채굴 도메인 이름을 분석하여 해당 서버가 WatchDogs 채굴 바이러스에 감염된 것을 확인했습니다. 피해 서버(x.x.x.80)의 시스템 프로세스와 예약된 작업을 조사한 결과, 워치독스 채굴 바이러스의 특징과 일치하는 악성 프로세스와 악성 예약 작업이 발견되었습니다. 긴급 인력이 악성 예약 작업을 삭제하고 악성 프로세스를 명령어로 종료한 후 서버(x.x.x.80)의 프로세서 리소스 사용량이 정상으로 돌아왔습니다.
그 후 긴급 대응팀이 피해 서버(x.x.x.80)의 로그를 조사한 결과 인트라넷의 수많은 서버가 다음과 같은 사실을 발견했습니다.
(x.x.x.81), (x.x.x.22), (x.x.x.82), (x.x.x.187) 서버 로그 4개를 조사한 결과, 기업 하위 단위 서버(x.x.x.81)에서 가장 먼저 공격이 시작된 것으로 확인되었습니다. 서버의 긴급 인력
(조사 결과, 해당 서버는 시로 컴포넌트를 사용하는 자바 애플리케이션을 배포했으며, 사이트 트래픽 모니터링 장비가 악성 IP에 대한 위협 인텔리전스 쿼리 IP(x.x.x.69) 이후 시로 역직렬화 취약점 공격에 의해 서버에 존재하는 IP(x.x.x.69)로 경보에 성공한 것으로 확인되었습니다.
따라서 긴급 대응팀은 기업 서버(x.x.x.81)의 하위 유닛이 시로 역직렬화 취약점 패치로 업데이트되지 않아 공격자가 해당 서버를 성공적으로 익스플로잇하여 서버 권한에 접근했고, 기업의 인트라넷 서버가 동일한 비밀번호와 낮은 강도를 사용하고 있어 공격자가 해당 서버(x.x.x.81)를 사용하여 일괄 비밀번호 파열을 통해 기업 인트라넷 내 다수의 서버의 서버 권한을 성공적으로 획득한 것으로 판단하고, 이 서버를 통해 워치가드 채굴 바이러스를 실행했습니다. 공격자는 서버(x.x.x.81)를 사용하여 일괄 암호 유출을 통해 기업 인트라넷에 있는 많은 수의 서버에 액세스하여 워치독스 채굴 바이러스를 실행했습니다.
그런 다음 긴급 요원이 파이썬 스크립트를 작성하고 실행하여 기업이 악성 예약 작업을 삭제하고, 악성 프로세스를 종료하고, 인트라넷의 수많은 피해 서버를 정상으로 복구할 수 있도록 지원한 후 긴급 대응이 종료되었습니다.
보호 권장 사항
1) 시스템 및 애플리케이션 관련 사용자는 취약한 비밀번호 사용을 지양하고 복잡도와 강도가 높은 비밀번호를 사용해야 하며, 대문자와 소문자, 숫자, 특수기호 등을 혼합한 비밀번호를 사용하도록 하여 관리자의 보안의식을 강화하고 비밀번호 재사용을 금지해야 합니다;
2) 서버의 정기적인 유지보수, 서버 보안 보호 시스템 배포, 시스템 애플리케이션 취약점, 미들웨어 취약점, 구성 요소, 플러그인 및 기타 관련 취약점을 수리하여 서버 보안을 보장합니다;
3) 서버의 바이러스 예방, 억제 및 제거 기능을 강화하기 위해 바이러스 백신 소프트웨어를 설치하고, 바이러스 데이터베이스를 적시에 업데이트하며, 정기적으로 포괄적인 검사를 실시하는 것이 좋습니다;
4) 서버가 외부 연결 요청을 시작하는 것을 금지합니다. 공유 데이터를 외부 서버로 푸시해야 하는 경우, 화이트리스트를 사용하고 송신 방화벽에 관련 정책을 추가하여 활성 연결의 IP 범위를 제한해야 합니다.
4.5. 한 기업에서 50대 이상의 사무용 PC에서 비공식 KMS 활성화 도구를 사용하여 모든 PC가 웜에 감염되었습니다.
사건 개요
2023년 5월, 첸셴의 보안 서비스 긴급 대응팀은 규제 기관으로부터 인트라넷에 있는 50대 이상의 사무실 PC가 웜에 감염되었다는 통보를 받은 기업으로부터 이 사건의 침입 경로를 조사하고 추적하고 싶다는 도움 요청을 받았습니다.
현장에 도착한 긴급 요원들은 현장의 사무실 PC가 인터넷에 연결할 수 없고 보안 경보 장치가 없다는 사실을 알게 되었습니다. 즉시 신고된 PC를 조사한 결과, 신고된 모든 PC의 Windows 디렉터리에 동일한 바이러스 샘플 파일 tasksche.exe가 C 디스크에 존재한다는 사실을 확인했고, 바이러스 샘플 tasksche.exe를 분석한 결과 이터널 블루 웜임을 확인했습니다.
긴급 대응팀이 바이러스 샘플 파일이 있는 디렉토리를 조사한 결과, 알림을 받은 모든 PC에 KMS 활성화 도구의 잔여 파일이 있는 것을 발견했습니다. 긴급 대응팀은 기업 직원과 연락을 취해 현장의 모든 알림 PC가 직원이 타사 웹 사이트에서 다운로드한 KMS 활성화 도구를 사용하여 활성화되었다는 사실을 알게 되었습니다.
긴급 대응팀이 현장에서 호스트 시스템의 정보를 확인했지만 의심스러운 계정은 발견하지 못했습니다. 호스트 컴퓨터의 패치 적용 상태를 검토한 결과 MS17010 취약점 패치의 존재는 확인되었지만 패치가 언제 적용되었는지는 확인할 수 없었습니다.
위의 정보를 바탕으로 긴급 대응팀은 처음에는 기업 직원의 보안 인식 부족으로 인해 타사 웹 사이트에서 다운로드한 KMS 활성화 도구가 바이러스 샘플을 운반하여 이 보안 사고를 일으켰다고 추론했습니다. 현장의 일부 로그가 누락되어 공격의 세부 사항을 추적하는 것은 불가능합니다. 현재 긴급 요원이 기업의 바이러스 샘플 제거를 지원하고 보안 보호 제안을 제시했으며 긴급 대응은 끝났습니다.
보호 권장 사항
1) 직원 보안 인식 교육을 강화하고, 네트워크 보안의 중요성을 강조하며, 비공식적인 경로를 통한 애플리케이션 소프트웨어 다운로드를 금지합니다. 이메일 첨부 파일과 업로드된 파일 등 출처가 불분명한 파일은 먼저 바이러스 백신으로 치료해야 합니다;
2) 서버의 바이러스 예방, 억제 및 제거 기능을 강화하기 위해 바이러스 백신 소프트웨어를 설치하고, 바이러스 데이터베이스를 적시에 업데이트하며, 정기적으로 종합 검사를 실시하는 것이 좋습니다;
3) 고급 위협 모니터링 장비를 배포하여 악성 네트워크 트래픽을 적시에 탐지하는 동시에 추적성을 더욱 향상시키고 보안 사고를 추적할 수 있는 신뢰할 수 있는 기반을 제공합니다;
4) 공격 발생 시 공격 경로와 행위를 추적할 수 없도록 관련 주요 시스템 및 애플리케이션 로그를 구성 및 개방하고, 시스템 로그를 정기적으로 오프사이트 보관 및 백업을 수행하여 보안 추적성을 강화합니다;
5) 일일 보안 점검 시스템을 강화하고 시스템 구성, 네트워크 장비 조정, 보안 로그 및 보안 정책 구현을 정기적으로 점검하고 정보 보안 업무를 정상화합니다.
Chianson의 원본 기사, 전재 시 출처 표시: https://cncso.com/kr/network-security-analysis-report-the-first-half-of-2023.html