주메뉴바로가기 본문바로가기

분석 보고서 - 정보보호

Home > 보고서 > 분석보고서
facebook 공유하기 twitter 공유하기
제목
AD서버 악용 내부망 랜섬웨어 유포 사례 분석
출처
한국인터넷진흥원
발행일
2019-04-17
분야분류
정보보호, 정보보호 , 해외동향, 유관기관웹정보,
원문정보
원문 바로가기
1. 개요
2. 공격 개요
3. 공격 기법 및 절차
4. 악성코드 상세 분석 정보
5. IoC
6. 참고자료
o 최근 AD(Active Directory)1) (Clop) 서버를 악용하여 랜섬웨어 를 감염시키는 사례가 발생하였다. 랜섬웨어 의 (Clop) 랜섬노트는 가상화폐 지갑 주소 대신 협상 할 메일 주소만 남겨 놓았으며, 감염 사실을 알리는 내용의 문구 및 악성코드의 행위로 보아 기업만을 대상으로 한 랜섬웨어 유포 공격으로 보고 있다.
o 랜섬웨어 침해사고 분석과정에서 악성 메일이 발견되었다 (Clop) . 악성 메일에 첨부된 악성코드는 서버의 유무를 확인 하고 서버에 연결된 AD AD 시스템에만 추가 악성코드를 유포했으며 추가 다운로드 된 악성코드는 내부 확산 및 전파를 통해 , 서버 관리자계정 AD 정보를 가지고 있는 시스템을 탈취한다 .
o ( KISA) 한국인터넷진흥원 이하 은 이번 공격에 사용되었던 ‘ (Clop) 랜섬웨어 의 코드가 악성메일에 첨부되어 있었던 악성코드와 유사’한 것과 내부 확산 과정에서 ‘코발트스트라이크(CobaltStrike)2) ’ 사용 흔적 을 확인한 내용을 토대로 ‘ (Clop) 랜섬웨어 감염 사고는 악성메일 열람으로 인한 악성코드 감염 및 탈취 AD ’ , 로 일어난 사고로 추정하고 있으며 코발트 스트라이크를 이용해 사고 상황을 재구성하고 분석하여 이 보고서를 작성하였다.