ASEC 분석팀은 최근 Lockis 랜섬웨어 감염 피해를 입은 업체의 피해 시스템들을 분석한 결과, 공격자가 피해 시스템들에 로컬 Administrator 계정으로 RDP 접속 후 랜섬웨어를 실행시킨 것을 확인했다.
피해 시스템들의 로컬 Administrator 정보를 조사한 결과, 1~2년동안 패스워드를 변경하지 않았으며, 모두 동일한 패스워드가 설정돼 있는 것으로 확인됐다.
게다가 해당 NTLM 해시를 복호화한 결과 Administrator 계정의 평문 패스워드는 `1qazxcv 인 것으로 확인됐다.
이 패스워드 문자열은 영문자, 숫자, 특수문자가 모두 포함돼 복잡도 기준은 만족시키는 패스워드지만, 자주 사용되는 패스워드 패턴이라, 추측이 쉬운 안전하지 않은 패스워드였다.
해당 업체는 Microsoft ActiveDirctory를 운영 중이었으나, 피해 시스템들은 모두 로컬 Administrator 계정이 활성화돼 있어, 공격자가 로컬 Administrator 계정으로 RDP 접속이 가능한 상황이었다.
아쉽게도 이 업체는 침해된 시스템을 보관하지 않고 즉시 포맷 후 재사용했기 때문에, 이번 사건에서는 피해 범위, 공격자의 침해 경로, 로컬 Administrator 계정 획득 방법 등을 명확히 파악할 수는 없었으나, 침해 흔적 및 정황으로 미루어 보아 공격자는 내부 시스템 해킹에 성공 후 로컬 Administrator의 계정을 확보했을 것으로 보이며, Network Scanner 툴을 이용해 내부 네트워크 상에서 로컬 Administrator 계정으로 RDP 접속이 가능한 시스템을 스캔하고, RDP 접속 후 랜섬웨어를 실행한 것으로 추정된다.
다양한 침해 사고를 분석 경험에 비추어보면 이 업체외에도 많은 조직들이 관리의 편의성을 위해 조직 내에서 운영되는 서버들이나, 직원들에게 배포되는 IT 기기들의 패스워드를 동일하게 설정하고, 이를 변경없이 사용하고 있는 경우를 많이 접하게 된다. 이번 사건과 같은 피해를 줄이기 위해서는 관리자 계정의 패스워드를 기기별로 다르게 설정하고, 주기적으로 변경하는 것이 필요하다. 또한 관리자 계정의 인증 이력은 모니터링을 통해 의심스러운 접근이 없는지 항상 모니터링하는 것이 중요하다.
결론
- 로컬 Administrator 계정은 비활성화 하는 것이 안전하다.
- 각 시스템의 관리자 계정 패스워드는 동일하지 않게 설정해야 한다.
- 패스워드의 최대 사용 기간을 3개월 이하로 설정하고, 복잡도 설정을 강화해야 한다.
- 관리자 권한의 계정의 인증 이력은 반드시 모니터링해야 한다.
- 침해된 시스템의 디스크 및 메모리는 별도로 보관하거나, 포맷 전에 이미징해두어야 한다.
[파일 진단]
- Trojan/Win32.FileCoder
- HackTool/Win.ProcHack
- HackTool/Win.NetScan
- HackTool/Win.Disabler
- Trojan/BAT.Delete
[관련 IOC 정보]
- 58c8c8c3038a5fbca2202248a1101da0
- 48755f2d10f7ff1050fbd081f630aaa3
- 230c143d283842061b14967d4df972d0
- 0a50081a6cd37aea0945c91de91c5d97
- 116e1e7a0c8d3ff9175b87927d188835
관련글
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보, 침해사고 분석 사례
[…] RDP를 이용하는 공격 사례는 특히 APT 그룹에서 자주 확인된다. ASEC 블로그 “동일한 패스워드가 설정된 Local Administrator 계정을 사용하는 기업의 랜섬웨어 감염 사례”에서는 공격자가 피해 시스템의 로컬 administrator 자격 증명 정보를 획득한 이후 RDP로 접속하여 Lockis 랜섬웨어를 설치한 사례를 다루었다.[2] […]