[Windows] 최근 확산 중인 GPT 랜섬웨어 악성코드 주의
안녕하세요. 주식회사 서버몬입니다.
오늘은 최근 확산 중인 신종 GPT 랜섬웨어에 대해 알아보도록 하겠습니다.
해당 랜섬웨어로 인해 운영 중인 서버에 큰 피해를 입는 사례가 증가하고 있습니다.
본 포스팅 참고하시어 소중한 데이터에 대한 피해가 없으시도록 보안 점검 부탁 드립니다.
랜섬웨어 공격 대상 및 감염 증상
해당 랜섬웨어는 2023년 8월부터 확산되고 있는 것으로 예상되며
아래와 같은 감염 사례가 확인되고 있습니다.
1. 대상
- 주로 외부 통신이 가능한 환경의 윈도우 서버들을 대상으로 공격 중
- 보안 업데이트 미진행, OS 계정 및 암호의 지속적 관리가 소홀한 환경일수록 감염 가능성이 높음
2. 증상
- 랜섬웨어에 감염 시 우선 악성코드 동작에 방해되는 백신 등을 삭제, 중지
- OS 동작에 필요한 파일 및 일부 파일을 제외한 모든 파일을 암호화 (.gpt 확장자)
- 각 폴더 내 AI_SARA.txt 라는 랜섬노트를 생성하고 시작 프로그램에 ai라는
실행 파일을 추가하여 Hello, human이라는 문구로 시작하는 랜섬노트를 실행
- 시스템의 여러 부분을 변경하여 일반적인 사용을 어렵게 함
- 정보 탈취 등을 노리고 추가적인 악성코드나 툴을 설치하는 경우도 있음
- 이벤트 로그 등 로그 삭제와 랜섬웨어 파일도 삭제하여 추적을 회피하는 동작을 수행
감염 경로
해당 랜섬웨어 공격자는 시스템을 암호화한 이후 공격에 사용된 악성코드와 이벤트 로그를
삭제하기 때문에 정확한 정보를 확인하는 데 어려움이 있습니다.
하지만 동작하는 형태가 일반적인 랜섬웨어 악성코드의 동작에 비해 상당히 다양하게 확인되고 있어
여러 가지 정황으로 보아 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)이 최초의
공격 방법으로 사용됐을 것으로 추정되고 있습니다.
일반적으로 공격자는 외부에서 접근 가능한, RDP가 활성화된 시스템을 검색한 후 그 과정에서
확인된 시스템에 대해 무차별 대입 공격 또는 사전 공격을 수행하게 됩니다.
만일 시스템의 계정 정보를 보안성 낮은 수준의 정보로 사용하고 있을 경우,
좀 더 빠르고 쉬운 접근이 가능할 것입니다.
실제 감염된 시스템은 RDP 기능이 활성화된 상태로 외부에서 RDP 접근이 가능하도록 설정된 상태였습니다.
해당 시스템에서는 랜섬웨어에 감염된 이후에도 지속적으로 로그인 실패 로그(윈도우 보안 이벤트 ID: 4625)들이
확인되었으며 이와 같은 무차별 대입 공격에 성공할 경우, 공격자는 획득한 계정 정보를 이용해 원격 데스크톱으로
시스템에 로그인할 수 있으며, 이는 곧 공격자가 해당 시스템에 대한 제어 권한을 탈취한 것을 의미합니다.
대비 방안
해당 랜섬웨어 감염에 대비하기 위해서는 아래와 같은 방안 확인이 필요합니다.
1. RDP 기능 OFF
- 원격 데스크톱 기능이 반드시 필요한 경우가 아니라면 해당 기능을 OFF로 변경합니다.
2. 방화벽 점검
- 네트워크 방화벽을 점검하여 RDP 포트(기본 3389)가 불필요하게 open된 설정이 있는지 확인합니다.
- 그 외 외부 통신 open 설정들도 재점검 합니다.
3. 계정 관리
- 윈도우 로그인 계정을 전체적으로 점검하여 불필요한 계정은 삭제하고 사용 중인 계정은
암호를 영문, 숫자, 특수문자를 포함한 최소 9글자 이상으로 변경합니다.
4. 보안 업데이트
- 윈도우 보안 업데이트를 최신으로 유지하고 그 외 사용 중인 솔루션들도
가급적 최신 버전으로 업데이트를 진행합니다.
5. 백신 관리
- 백신이 없을 경우 반드시 백신을 설치하고 주기적인 확인으로 백신을 최신 버전으로
유지하며 관리자가 아닐 경우 중지, 삭제가 불가능하도록 기능을 제한합니다.
6. 데이터 백업
- 시스템 내 중요 데이터는 백업 솔루션 등을 이용하여 주기적으로 백업하여야 합니다.
백업본은 별도 시스템, 클라우드, 오프라인 미디어 등으로 분산 보관할수록 좋습니다.
마치며
현재 신종 GPT 랜섬웨어가 확산되어 소중한 데이터가 암호화되는 피해가 발생되는 기업이
증가하고 있으므로 본 내용을 참고하시어 운영 중인 시스템을 점검하여 혹시 모를 피해를
방지하시는 데에 도움이 되었으면 좋겠습니다
읽어주신 모든 분들께 감사드리며 항상 좀 더 유용한 주제로 손쉽게 정리된 내용을 보여드릴 수 있도록 노력하겠습니다.
이상 [해커를 싫어하는 몬스터!!!] 서버몬이었습니다. 감사합니다.
1u서버 / APC / DB / defog / DEFOG랙 / dell5820 / dell5820t / dell7920 / dellpoweredge / dellr240 / dellr340 / dellr350 / dellr450 / dellr540 / dellr630 / dellr640 / dellr740 / dellr750 / dellserver / dellt40 / dellt440 / dellt5820 / dell서버 / DELL서버CPU / DELL서버RAID컨트롤러 / DELL서버SAS하드디스크 / DELL서버가격비교 / DELL서버가격비교견적 / DELL서버견적 / DELL서버구매 / DELL서버디스크교체 / DELL서버메모리 / DELL서버펌웨어 / DELL서버하드디스크구매 / dell워크스테이션 / dl20 / dl20gen10 / dl360 / dl360gen10 / dl380 / dl380g10 / dl380gen10 / ECC메모리 / EDFOG랙가격 / ESTSOFT / FIRMWARE / gpu서버 / gpu타워형서버 / HA솔루션 / hpdl20 / hpdl360 / hpdl360gen10 / hpdl380 / hpdl380g10 / HPE / HPE Service Pack for Proliant / HPE SPP / hpedl20 / hpedl20gen10 / hpedl360gen10 / hpe서버 / HPE서버CPU / HPE서버RAID컨트롤러 / HPE서버SAS하드디스크 / HPE서버가격비교 / HPE서버가격비교견적 / HPE서버견적 / HPE서버구매 / HPE서버드라이버설치 / HPE서버디스크교체 / HPE서버메모리 / HPE서버비용 / HPE서버펌웨어 / HPE서버하드디스크구매 / hpgen10 / hpml30 / hpserver / hpz2 / hpz4 / hpz420 / hpz440 / hpz4g4 / hpz640 / hpz6g4 / hpz8g4 / hp마이크로서버 / hp서버 / hp서버800 / hp서버800w / hp서버cto / hp서버pc / HP서버메모리 / hp서버컴퓨터 / HP서버펌웨어 / HP서버하드디스크 / hp워크스테이션 / hp프로라이언트 / HYPER BACKUP / ibm서버 / Intelligent Provisioning / KVM / KVM 기술지원비(비용) / KVM 설치비 / L2스위치 / L3스위치 / LENONO서버SAS하드디스크 / lenovop620 / lenovor650 / LENOVO서버 / LENOVO서버CPU / LENOVO서버RAID컨트롤러 / LENOVO서버가격비교 / LENOVO서버가격비교견적 / LENOVO서버견적 / LENOVO서버구매 / LENOVO서버디스크교체 / LENOVO서버메모리 / LENOVO서버하드디스크구매 / LENOVO펌웨어업데이트 / Linux / ML30 / ml30gen10 / ML350GEN10 / ML360 / MSSQL / MSSQL 기술지원비(비용) / MSSQL 설치비 / MYSQL / MySQL 기술지원비(비용) / MySQL 설치비 / OS설치 / p17079-b21 / poweredger740 / poweredger750 / precision5820 / QUADRO / QUADRO그래픽카드 / r240 / r340 / r440 / r740 / RHEL설치 / RMS랙 / server / serverpc / SOPHOS / SPP / sr250 / sr650 / SYNOLOGY / SYNOLOGY나스 / UPS / UPS기술지원 / UPS납품 / UPS설치 / V3 / Windows서버설치 / z420 / z620 / z840 / z8g4 / 기술지원비(비용) / 나스기술지원 / 나스설치지원 / 네트워크스위치 / 네트워크장비 / 더블테이크 / 데이터베이스 / 델5820 / 델서버 / 델서버비용 / 델서버펌웨어업데이트 / 델워크스테이션 / 델컴퓨터워크스테이션 / 디포그 / 디포그랙 / 디포그랙가격 / 딥러닝pc / 딥러닝서버 / 랙 / 랙(RACK) 기술지원비(비용) / 랙(RACK) 설치비 / 랙납품설치 / 랙설치 / 레노버p620 / 레노버서버 / 레노버워크스테이션 / 레노보서버 / 레노보서버펌웨어 / 레드헷설치 / 리눅스 기술지원비(비용) / 리눅스 설치비 / 리눅스서버 / 리눅스서버설치 / 리눅스서버트러블슈팅 / 리눅스트러블슈팅 / 리욱스 / 미니서버 / 미니서버랙 / 방화벽 / 방화벽 기술지원비(비용) / 방화벽 설치비 / 방화벽엔지니어 / 백업 / 보안솔루션 / 보안솔루션구매 / 보안솔루션설치 / 서버 / 서버 기술지원비(비용) / 서버 랙마운트비용 / 서버 설치비 / 서버 장애조치비용 / 서버CPU / 서버MEMORY / 서버OS설치 / 서버pc / 서버가격 / 서버구매 / 서버기술지원 / 서버납품 / 서버디스크장애처리 / 서버랙 / 서버렉마운트 / 서버메모리 / 서버몬 / 서버몬기술지원 / 서버백업 / 서버보안 / 서버엔지니어 / 서버용pc / 서버용그래픽카드 / 서버용메모리 / 서버용컴퓨터 / 서버용하드디스크 / 서버컴 / 서버컴퓨터 / 서버트러블슈팅 / 서버호스팅 / 소포스 / 스위치 / 스위치 기술지원비(비용) / 스위치 설치비 / 스토리지 / 스토리지 기술지원비(비용) / 스토리지 랙마운트비용 / 스토리지 설치비 / 스토리지 장애조치비용 / 스토리지납품설치 / 스토리지서버 / 시놀로지DS918 / 시놀로지HyperBackup / 시놀로지나스 / 시놀로지나스백업 / 시놀로지하이퍼백업 / 시큐어디스크 / 안랩 / 알약 / 왼도우서버설치 / 우분투설치 / 워크스테이션 / 워크스테이션pc / 워크스테이션컴퓨터 / 윈도우서버 / 윈도우서버2016 / 윈도우서버2019 / 윈도우서버트러블슈팅 / 윈도우즈 기술지원비(비용) / 윈도우즈 설치비 / 이스트소프트 / 이중화솔루션 / 이중화솔루션구매 / 이중화솔루션설치 / 인터넷디스크 / 작업장컴퓨터 / 제온서버 / 젠서버 / 중고서버 / 중고워크스테이션 / 카보나이트 / 카스퍼스키 / 컴퓨터서버 / 쿼드로P400 / 타워형서버 / 페도라설치 / 프로라이언트 / GPU서버 / 미니서버렉 / 서버용PC / 젠서버 / AI서버 / 제온서버 / 서버가격 / 1U서버 / HPDL20Gen10 / HP서버8SFF800W / 가상서버 / 타워형서버 / HPDL360 / HPDL380Gen10 / 컴퓨터서버 / 미디어서버 / 타워서버 / DB서버 / HP서버580 / HP서버파워 / HPDL360Gen10 / 윈도우서버컴퓨터 / XEON서버 / 881457-B21