동일한 패스워드가 설정된 Local Administrator 계정을 사용하는 기업의 랜섬웨어 감염 사례

 

ASEC 분석팀은 최근 Lockis 랜섬웨어 감염 피해를 입은 업체의 피해 시스템들을 분석한 결과, 공격자가 피해 시스템들에 로컬 Administrator 계정으로 RDP 접속 후 랜섬웨어를 실행시킨 것을 확인했다. 

피해 시스템들의 로컬 Administrator 정보를 조사한 결과, 1~2년동안 패스워드를 변경하지 않았으며, 모두 동일한 패스워드가 설정돼 있는 것으로 확인됐다. 

[그림 1] 피해 시스템들의 로컬 Administrator 계정 정보 (동일 패스워드)

 

게다가 해당 NTLM 해시를 복호화한 결과 Administrator 계정의 평문 패스워드는 `1qazxcv 인 것으로 확인됐다.

[그림 2] NTLM 해시 크랙 결과 (`1qazxcv)

이 패스워드 문자열은 영문자, 숫자, 특수문자가 모두 포함돼 복잡도 기준은 만족시키는 패스워드지만, 자주 사용되는 패스워드 패턴이라, 추측이 쉬운 안전하지 않은 패스워드였다.

[그림 3] `1qazxcv 의 키보드 패턴

해당 업체는 Microsoft ActiveDirctory를 운영 중이었으나, 피해 시스템들은 모두 로컬 Administrator 계정이 활성화돼 있어, 공격자가 로컬 Administrator 계정으로 RDP 접속이 가능한 상황이었다. 

아쉽게도 이 업체는 침해된 시스템을 보관하지 않고 즉시 포맷 후 재사용했기 때문에, 이번 사건에서는 피해 범위, 공격자의 침해 경로,  로컬 Administrator 계정 획득 방법 등을 명확히 파악할 수는 없었으나, 침해 흔적 및 정황으로 미루어 보아 공격자는 내부 시스템 해킹에 성공 후 로컬 Administrator의 계정을 확보했을 것으로 보이며, Network Scanner 툴을 이용해 내부 네트워크 상에서 로컬 Administrator 계정으로 RDP 접속이 가능한 시스템을 스캔하고, RDP 접속 후 랜섬웨어를 실행한 것으로 추정된다.

다양한 침해 사고를 분석 경험에 비추어보면 이 업체외에도 많은 조직들이 관리의 편의성을 위해 조직 내에서 운영되는 서버들이나, 직원들에게 배포되는 IT 기기들의 패스워드를 동일하게 설정하고, 이를 변경없이 사용하고 있는 경우를 많이 접하게 된다. 이번 사건과 같은 피해를 줄이기 위해서는 관리자 계정의 패스워드를 기기별로 다르게 설정하고, 주기적으로 변경하는 것이 필요하다. 또한 관리자 계정의 인증 이력은 모니터링을 통해 의심스러운 접근이 없는지 항상 모니터링하는 것이 중요하다. 

결론

• 로컬 Administrator 계정은 비활성화 하는 것이 안전하다.
• 각 시스템의 관리자 계정 패스워드는 동일하지 않게 설정해야 한다.
• 패스워드의 최대 사용 기간을 3개월 이하로 설정하고, 복잡도 설정을 강화해야 한다.
• 관리자 권한의 계정의 인증 이력은 반드시 모니터링해야 한다.
• 침해된 시스템의 디스크 및 메모리는 별도로 보관하거나, 포맷 전에 이미징해두어야 한다.

[파일 진단]

• Trojan/Win32.FileCoder
• HackTool/Win.ProcHack
• HackTool/Win.NetScan
• HackTool/Win.Disabler
• Trojan/BAT.Delete

 

관련글

기업의 백신 잠금 정책 미사용으로 인한 Lockis 랜섬웨어 감염 사례 – ASEC BLOG

지난 11월경 안랩의 한 고객사에서 다수의 서버가 Lockis 랜섬웨어에 감염된 사고가 발생했다. 피해 업체는 V3 백신을 사용하고 있었음에도 불구하고 랜섬웨어에 감염되어 감염 원인을 파악하기 위해 안랩 A-FIRST가 투입돼 포렌식 분석을 수행했다. Lockis 랜섬웨어는 “ASEC 블로그 : Lockis 랜섬웨어와 함께 사용된 해킹 툴” 포스팅에서 언급한 바와 같이 GlobImposter 랜섬웨어의 변종으로, 9월 16일에 최초 발견됐다. 안랩에서는 2018년 5월경부터 GlobImposter 류의 랜섬웨어를 진단명 Troja…

Lockis 랜섬웨어와 함께 사용된 해킹 툴 – ASEC BLOG

안랩 A-FIRST는 지난 11월경 Lockis 랜섬웨어에 감염된 피해 시스템을 대상으로 포렌식 분석을 수행했다. Lockis 랜섬웨어는 러시아 공격 그룹인 TA505가 사용하는 GlobeImposter 랜섬웨어의 변종으로, 지난 9월 16일 처음 등장했다. GlobeImposter 랜섬웨어는 2017년 2월에 처음 등장한 이래로 꾸준히 변종이 증가해 현재까지 총 192개의 변종이 발견됐다. 공격자는 랜섬웨어 감염을 위해 악성 스팸 메일 발송, 익스플로잇 공격, RDP 접속 등의 공격 기법을 사용하는 것으로 알려져 있다. 현재 Lo…

 

MD5

0a50081a6cd37aea0945c91de91c5d97

116e1e7a0c8d3ff9175b87927d188835

230c143d283842061b14967d4df972d0

48755f2d10f7ff1050fbd081f630aaa3

58c8c8c3038a5fbca2202248a1101da0