랜섬웨어가 발생하면 본능적으로 시스템을 최대한 빨리 온라인 상태로 되돌리려고 합니다. 그러나 공격이 Active Directory 인프라에 대한 것이라면 주의해서 진행해야 합니다.
영향을 완전히 파악하지 못한 채 복구 모드로 돌진하면 맬웨어가 다시 유입되거나, 손상된 구성을 복원하거나, 초기 공격보다 더 많은 피해를 입힐 수 있습니다.
Cayosoft의 수석 엔지니어.
AD(Active Directory)는 전 세계 대기업 환경의 90%의 기반입니다. 이는 신원을 제어하고 권한을 시행하며 액세스에 대한 문지기 역할을 합니다.
손상되면 강력한 비즈니스 운영 리소스가 공격자의 손에 들어가게 되고, 공격자는 보안 제어를 비활성화하고 권한을 확대하며 조직 전체에 위협 기반을 강화할 수 있습니다.
최근 우리는 Microsoft SharePoint에 대한 대규모 제로데이 공격을 통해 AD에 대한 위협 규모가 커지고 있다는 증거를 확인했습니다.
SharePoint의 심각한 버그는 해커가 서버에 침입하여 보안 키를 훔치고 숨겨진 백도어를 설치하는 데 사용되고 있어 Microsoft의 긴급 수정이 필요합니다.
이것은 단지 SharePoint 문제가 아닙니다. 기본 사이트 액세스 권한이 있는 공격자가 원격으로 코드를 실행할 수 있으므로 이는 위장된 신원 위협입니다. 사용자가 클릭하지 않습니다. 고급 권한이 없습니다. 그냥 서버로 직접가세요.
그리고 거기에서? SharePoint가 AD 또는 Entra ID와 통합되는 경우(흔히 그렇듯이) RCE(원격 코드 실행)는 인프라 중단의 중심점이 됩니다.
랜섬웨어가 도메인 컨트롤러를 손상시키는 경우 조직에서 따라야 할 플레이북은 다음과 같습니다.
보유가 먼저, 반응이 두 번째
통제가 최우선입니다. 회복을 시도하기 전에 추가 피해를 막는 가장 빠른 방법은 접촉 공격자에 따라 절단하는 것입니다.
이는 내부 확산 및 측면 이동을 제한하기 위해 네트워크 수준을 즉시 차단하는 동시에 명령 및 제어 서버와의 통신을 중지하기 위해 나가는 모든 트래픽을 차단하는 것을 의미합니다.
다음 우선 순위 목록은 사이트 간 복제를 일시 중지한 다음 악의적인 변경 사항을 전파할 수 있는 자동화를 비활성화하는 것입니다.
봉쇄는 수동적인 조치가 아니라 추가 피해를 막고 접근한 내용, 변경된 내용, 공격이 얼마나 멀리 도달했는지 평가하는 데 필요한 시간을 벌기 위한 적극적인 프로세스입니다.
특히 확인되지 않은 백업에서 너무 빨리 복원하면 공격자가 처음에 악용했던 것과 동일한 취약점이 다시 나타날 수 있습니다.
지금 구입하면 그 시간이 나중에 모든 변화를 가져올 것입니다.
실제 영향 조사
랜섬웨어 운영자는 거의 침입하지 않습니다. 유효한 자격 증명을 가지고 들어갑니다. 피싱, 비밀번호 스프레이, 도난당한 토큰은 일반적인 진입점입니다.
거기에서 취약한 서비스 계정, 레거시 신뢰 경로 또는 잘못 구성된 권한을 사용하여 권한을 승격하는 방법을 찾습니다.
랜섬웨어가 폭발했을 때 그들은 이미 로깅을 비활성화하고 그룹 정책을 변경했으며 Active Directory에 백도어를 설치했습니다.
여기서는 명확성이 중요합니다. 무엇이 바뀌었는지 추측하지 마세요. AD 환경에서 공격자는 다음을 수행할 수 있습니다.
- 권한 있는 계정 생성 또는 수정
- 방어력을 약화시키기 위해 그룹 정책 변경
- 활동을 숨기기 위해 복제기의 동작을 변경합니다.
- 보안 로깅 또는 설정 비활성화
AD 관련 포렌식 도구를 사용하여 변경 사항을 정확하게 감지합니다. 무엇이 생성, 변경, 제거되었는지 조사하세요. 타협이 얼마나 깊은지 확신할 수 없다면 생각보다 깊이가 있다고 가정하십시오.
시스템뿐만 아니라 신뢰를 재구축하세요
손상된 백업을 사용하거나 원래 서비스를 확인하지 않고 Active Directory를 재구축하는 경우 환경은 여전히 불안정하고 취약합니다.
가장 좋은 접근 방식은 이러한 순간에 사용할 준비가 되어 있는 격리된 복구 환경을 이미 대기 상태로 유지하는 것입니다.
즉각적인 Active Directory 복구. 그러나 이미 갖고 있는 것이 아닌 경우 복구할 수 있는 격리된 환경에 직면하게 됩니다.
공격에 앞서 백업을 확인하려면 광범위한 테스트가 필요합니다. 연결을 복원하기 전에 스키마 무결성을 확인하고 정상적인 복제 및 정책 일관성을 확인하세요.
Active Directory 복원은 단순한 기술적 이정표가 아니라 신뢰 재설정입니다. 사용자와 시스템이 보안 인증을 위해 AD에 의존할 수 없다면 서비스가 얼마나 빨리 온라인 상태로 전환되는지에 관계없이 비즈니스 운영은 계속 중단될 것입니다.
복잡성과 위험을 줄이기 위해 많은 조직에서는 Cayosoft와 같은 공급업체가 제공하는 것과 같은 즉각적이고 깨끗한 AD 포리스트 복구를 위한 내장 솔루션을 사용합니다.
이러한 도구는 추측을 없애고 모범 사례를 시행하며 보안 재통합을 가속화하도록 설계되었습니다. 목표는 속도 자체가 아니라 검색하는 내용이 깨끗하고 안정적이며 신뢰할 수 있다는 확신입니다.
핵심까지 단단함
랜섬웨어 사고가 발생하면 AD 상태에 대한 전체적인 검토가 이루어져야 합니다. 예방은 환경이 적절하게 보호되는 경우에만 효과적입니다.
위험을 줄이는 방법은 다음과 같습니다.
- 최소 권한 적용: 누구도 필요한 것보다 더 많은 액세스 권한을 얻지 못합니다. 사용자도, 서비스도, 관리자도 아닙니다.
- 기존 계정 정리: 비활성 사용자 및 컴퓨터 비활성화 또는 제거 서비스 계정 자격 증명 교체
- 그룹 감사: 높은 권한의 멤버십을 검토하고 불필요한 액세스를 차단합니다.
- 계층화된 관리 구조를 사용하여 일상적인 작업을 고위험 변경 사항과 분리합니다.
- MFA(다단계 인증)를 활성화합니다(특히 ID 인프라에 접근하는 모든 사람을 위해 전반적으로).
동시에 표준으로 가시성을 향상시킵니다. 이벤트 로깅만으로는 충분하지 않습니다. 미묘한 권한 상승, 무단 복제, 비정상적인 로그인 패턴을 실시간으로 탐지하는 도구를 찾아보세요.
도메인 컨트롤러의 오프라인 백업은 정기적으로 유지 관리되고 테스트되어야 합니다. 완전한 조화를 이루면 그들은 최후의 방어선이 됩니다.
약속한 회복을 실천하세요
모든 행사에는 누군가가 “우리 계획이 있지, 그렇지?”라고 말하는 순간이 있습니다.
그리고 종종 대답은 “우리는 그렇게 생각했습니다.”입니다. 종종 조직에서는 복구가 작동할 것이라고 가정하지만 스트레스로 인해 프로세스가 중단되는 것을 발견하게 됩니다. 모든 백업은 변경할 수 없고 암호화되어야 하며 매일 검증 및 맬웨어 검사를 거쳐야 합니다.
정기적인 복구 테스트를 수행하고, 도메인 컨트롤러 재구축을 시뮬레이션하고, 백업이 완전할 뿐만 아니라 복구 가능한지 확인하고, 시간 제약 하에서 프로세스를 실행하도록 팀을 교육하십시오.
복구는 손상된 시스템 상태 데이터의 재감염이나 재도입을 방지하기 위해 깨끗하고 격리된 환경에서 이루어져야 합니다. 그리고 중요한 점은 모든 복구 단계를 문서화하고 검증 및 반복 가능해야 한다는 것입니다.
AD가 관련되면 회복은 단지 기술적인 연습이 될 수 없습니다. 이는 명확한 리더십, 부서 간 조정 및 규율을 요구하는 조정된 노력이어야 합니다.
제로 트러스트를 단순한 구조가 아닌 문화로 만들기
복구가 완료되면 보다 탄력적인 환경을 조성하는 작업으로 전환됩니다.
기준을 제로 트러스트하고 지속적인 신원 확인, 기본적으로 제한된 액세스, 경계에서 멈추지 않는 모니터링이라는 원칙을 고수합니다.
또한 중요한 시스템에 액세스할 수 있는 사람과 대상에 대한 오랜 가정에 의문을 제기해야 합니다.
정책과 도구의 사각지대를 노출시키는 시뮬레이션 공격인 레드팀을 통해 이러한 노력을 지원할 수 있습니다.
이러한 관행에서는 눈에 띄지 않는 구성 드리프트, MFA 예외 또는 레거시 계정이 표면화되는 경우가 많습니다.
테스트되지 않은 복구 계획은 책임입니다. 도전받지 않은 제로 트러스트 모델은 여전히 현실적이지 않습니다.
공격이 발생하기 전에 복구가 시작됩니다.
랜섬웨어는 운영, 리더십, 공격 속에서도 효율성을 유지하는 조직의 능력에 대한 스트레스 테스트입니다. AD가 거부되면 액세스를 조정하고, 통신하고, 제어하는 능력도 거부됩니다.
효과적인 회복은 공격이 발생하기 오래 전에 시작됩니다. 이는 자신의 약점이 어디에 있는지 파악하고, 환경을 간결하고 눈에 띄게 유지하고, 통제된 상황에서 반응을 연습하는 것부터 시작됩니다. 계획을 세우는 것에서부터 시작됩니다.
가장 탄력적인 팀은 빠르게 캡처하고, 철저히 조사하고, 정확하게 복구하고, 지속적으로 발전합니다. 랜섬웨어는 귀하의 미래를 결정하지 않습니다. 이는 탄력성을 높이고 통제력을 회복하는 촉매제가 될 수 있습니다.
우리는 최고의 암호화 소프트웨어를 선보였습니다.
이 기사는 오늘날 기술 업계에서 가장 뛰어난 인재를 조명하는 TechRadarPro의 Expert Insights 채널의 일부로 작성되었습니다. 여기에 표현된 견해는 저자의 견해이며 반드시 TechRadarPro 또는 Future plc의 견해는 아닙니다. 기여하고 싶다면 여기에서 자세히 알아보세요.
