오늘 날짜로 오전에 VM에 올려둔 가상PC 한 대가 랜섬웨어에 감염되었습니다.
해당 PC는 네트워크를 끊었고 연결되어 있던 망에 있는 관련된 서버들의 감염여부와 공격여부를 확인하기 위해 로그를 분석하고 있습니다.
1.Windows 로그 - 보안
해당 로그를 확인하는데 3초에 한 번 꼴로 "감사 실패"라는 로그가 있습니다.
이벤트 ID는 4625이며 제가 이해하는 걸로는 해당 서버에 로그인을 시도했고 로그인이 실패한 것으로 이해했는데 이게 맞나요??
2. 응용 프로그램 및 서비스 로그 - Microsoft - Windows - 터미널서비스 리모트커넥트매니저
해당 로그에는 1시간에 한 번 꼴로 " RD 세션 호스트 서버가 불완전한 연결을 많이 받았습니다. 시스템이 공격을 받을 수 있습니다. " 라는 로그를 확인했는데 이는 지속적으로 공격을 시도하고 있는 것으로 이해했는데 맞나요??
국가코드가 RU, NY로 뜨는 모르는 IP의 " 원격 데스크톱 서비스에서 IP주소 ----의 연결을 허용했습니다."라는 로그가 확인되었는데 이는 접속에 성공한 것이 맞나요 ?
2023-05-22(월) 16:35:19에 작성 되었습니다. 2023-05-22(월) 17:38:11에 수정 되었습니다
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
9개의 답변이 있습니다.
솔루션상담실을 통해서 전문업체의 진단을 받아 보시길 바랍니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입죄송하지만 질문의 내용은 그냥 해커가 해당 VM에 접속을 했는가? 라는 질문의 확인 밖에 되지 않습니다.
결과적으로 랜섬웨어에 감염이 되었다는것은 해커가 접속을 한것이겠죠.
추가 피해나 재발 방지를 힘쓰시는게 좋을듯 합니다.
문의하신 내용은 외부망에 MSTSC 서비스를 오픈해두면 일상적으로 발생하는 내용들이며
언제든 침해 사고를 당할수 있습니다.
찾아 보시면 접속에 성공한 로그가 있을거에요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입랜섬웨어는 데이터를 암호화 시키고 암호화된 데이터를 담보로 돈을 요구하는 악성 코드에 해당합니다.
랜섬웨어가 작동되고 있는 상태로 컴퓨터를 계속 켜 두게 된다면 피해 규모가 계속 증가할 수 있게 됩니다.
로컬 컴퓨터 디스크에 있는 자료들을 모두 암호화하고, 접속 가능한 네트워크들을 검색해서 추가적인 암호화가 가능한 대상을 찾아서 암호화가 계속하게 되는 악성 코드이기 때문에...
가능한 빨리 컴퓨터를 작동 중지시키고 네트워크를 분리시켜서 네트워크에 접속하지 못하도록 차단시키는것이 중요합니다.
랜섬웨어에 감염된 컴퓨터는 다시 켜서 확인하는 것보다는 디스크를 분리시켜서 깨끗한 컴퓨터에 연결해서 디스크의 상태를 조사하는게 바람직하겠고요.
가상 컴퓨터라면 가상 컴퓨터를 최단시간내에 강제 중단 시킨 후에 랜섬웨어 영향을 받지 않은 최신 가상 컴퓨터를 가동시켜서 최신 패치 적용부터 우선 적용한 후에 업무를 정상화 시켜 주는게 좋을걸로 보이고요.
랜섬웨어에 대한 조사를 하려면 이전 사용하던 가상 컴퓨터를 따로 복사해서 네트워크를 차단된 상태로 구동 시켜서 점검하거나 랜섬웨어에 감염된 가상 디스크를 다른 가상 컴퓨터에 마운트 시켜서 점검해 보는 것이 좋을 것으로 보이고요.
윈도 컴퓨터에서 랜섬웨어에 감염되었된 가상 디스크라면, 같은 윈도 가상 컴퓨터보다는 리눅스 가상 컴퓨터에 마운트 시켜서 조사하는 것이 좀 더 안전한 방법이 될 수 있겠고요.
로긴 실패 이벤트 로그가 계속 발생한다는 것은 랜섬웨어에 감염된 컴퓨터를 인터넷에 노출되는 공임 IP를 할당해서 계속 구동하고 있다는 의미인걸로 보이는데... 안전 불감증 수준의 위험한 행위를 하고 있는 것으로 보여지네요.
랜섬웨어 또는 악성 코드에 감염되었다면 가상 컴퓨터를 재부팅해서 점검해야하는 상황이더라도 네트워크 부터 우선 차단 시킨 후에 점검하는것이 추가적인 피해를 막을 수 있는 방법이 되겠습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입문의하신 내용에 대해 답변...
1. Windows 로그 - 보안
해당 로그를 확인하는데 3초에 한 번 꼴로 "감사 실패"라는 로그가 있습니다.
이벤트 ID는 4625이며 제가 이해하는 걸로는 해당 서버에 로그인을 시도했고 로그인이 실패한 것으로 이해했는데 이게 맞나요??
=> 이벤트 ID 4625는 로그인실패 시 뜨는 메시지 맞습니다.
보안 위협을 식별할 때 도움을 줍니다.
이벤트 ID에 있는 계정, 시간 등을 체크하셔서 분석하시면 될것 같습니다.
2. 응용 프로그램 및 서비스 로그 - Microsoft - Windows - 터미널서비스 리모트커넥트매니저
해당 로그에는 1시간에 한 번 꼴로 " RD 세션 호스트 서버가 불완전한 연결을 많이 받았습니다. 시스템이 공격을 받을 수 있습니다. " 라는 로그를 확인했는데 이는 지속적으로 공격을 시도하고 있는 것으로 이해했는데 맞나요??
=> 맞습니다. 이 메시지는 원격 데스크톱 서비스에 대한 악의적인 시도가 감지되었거나,
접속했다 끊었다와 같이 불완전한 연결이 과도하게 발생했을 때 기록됩니다.
시스템에 대한 외부 공격이나 악성 행위의 조짐일 수 있으니 전반적인 체크가 필요해 보입니다.
국가코드가 RU, NY로 뜨는 모르는 IP의 " 원격 데스크톱 서비스에서 IP주소 ----의 연결을 허용했습니다."라는 로그가 확인되었는데 이는 접속에 성공한 것이 맞나요 ?
=> 맞습니다. 원격 데스크톱 서비스에서 ---- IP주소로부터 연결을 허용했다는 의미입니다.
최근 주위에서 비트락커 램섬웨어 감염되었다는 내용이 많습니다. 주의가 필요할 것 같습니다.
이미 감염되었다고 하시니 방화벽 등 보안설정 점검, 불필요한 ID 제거, PWD 변경,
원격데이터톱 제한 등 보완조치가 필요해 보입니다.
chat GPT에게 문의해보았는데 원격 데스크톱 서비스 연결을 허용했다는 로그가 로그인 성공까지는 아니라고 답변이 왔는데 맞나요 ??
로그인보다는 특정 IP주소로부터의 연결을 허용했다는 의미입니다.
원격 데이터톱 설정 관리에 IP 관련된 설정을 체크해보세요.
국가코드 RU는 러시아인데.. 국가코드에 NY가 어딘지 모르겠네요.
New York(NY)은 주라서 국가코드는 아닌데... 어디지???
NY는 확인해보니 국가코드가 US이고 city에 NY라고 되어 있습니다 뉴욕이 맞는 것 같습니다 ㅎ ㄷ 관련된 설정은 어디서 확인할 수 있나요 ..??
win+r에서 tsconfig.msc 해보세요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입