윈도우 Workstation

• Active Directoy 관련 공격 없었음.
• 대부분 미리 설치된 Backdoor 관련 공격

  • Well Known 악성코드 : Cobalt Strike 관련 악성코드 다수

  • Proxy DLL 공격 : 정상 DLL인 batmeter.dll, dwminit.dll을 악성 DLL인 batmeter32.dll, dwminit32.dll으로 변경하는 공격

    • dwminit32.dll은 Winlogon.exe라는 윈도우 로그인 프로세스에 삽입되어 있어서 삭제 후 재부팅해야 조치 완료됨.

  • 악성코드 조치 Powershell 명령어

  • 추가

    • xdr로 beg에서 탐지 된 악성코드 :

    C:\\Users\\Gilbert.Weaver\\AppData\\Local\\Microsoft\\OneDrive\\OneDriveUpdater.exe
    C:\\Users\\Gilbert.Weaver\\AppData\\Local\\Microsoft\\OneDrive\\OneDriveUpdater1.exe
    C:\\Users\\Gilbert.Weaver\\AppData\\Local\\Microsoft\\OneDrive\\44veUp1231.exe
    (MD5 : fbd6728cc3bbe89055f4b12bd46827b5)
    (SHA1 : f570bca6d670350414811a9427d4a00e8b76dfc6)
    

    • bgp workstation에서 발견되지 않았지만 MISP에 보고되었던 악성 dll (커버로스 인증 관련 악성코드) : C:\\Windows\\System32\\KerbClientFun.dll

  • 악성코드 모음

• 윈도우 WS에 수상한 사용자 접속 : [email protected]으로 Workstation에 로그인 시도를 해서 계속 세션 끊음.
• 아쉬웠던점
  1. thor 결과가 Day0 때 안나 옴
     • Day0 Workstation 자체가 느려져서 6시간 넘게 thor결과가 제대로 나오지 않았음 (txt만 존재)
     • 추가 조치후 결과가 나와서 악성코드 파일이 없어서 일부는 악성 여부 식별 불가 (virustotal 등에 직접 업로드가 x 군 측에서 샌드박스 x → 따로 금보원에 요청해야 했음)
     • 금보원 공유 해준 게 더 많아 악성코드 정보로 조치해야 했음.
  2. Edr 관련
     • AAR 때도 일부 국가에서 사용한 성능 좋은 edr이 악성코드를 막았다고 함. 좋은 edr이 사전에 준비되면 좋을거 같음.

Azure

• 이번에 처음 도입되어 어떤 준비와 어떤 공격이 오는지 예상할 수 없었음. 그래서 사용자들도 질문을 많이 했는지 Handbook에 계속 자료 및 QnA가 추가되어서 최신 문서 확인 필요
• 주체 측도 Azure를 처음 도입 하면서 MFA 인증 문제로 Linux 워크스테이션은 Azure에 등록 되지 않고 local workstation에만 계정 존재 → 내년에는 리눅스도 Azure 등록될 예정이므로 준비가 필요해 보임.
• Azure는 공격 보다는 가용성 측면과 관련 되어 있었음.
  • UST 사용자가 Azure 계정으로 로그인 잘되는지 여부
  • SSO 서비스
    • SSO 연동 서비스
    • SSO는 여러 웹 서비스들과 연동 되어 있고, 웹 서비스 담당자, cs담당자들이 다 달라서 조치시 3자대면이 필요했음.
      • Nextcloud - 단순히 MS SSO 접속해서 서비스 바로 사용 가능.
      • Whistleblowhub - 담당자가 필요 없는 서비스인 줄 알고 플러그인 제거. 재실행 후 조치
      • Keycloak - Whitleblowhub, MCS 모두가 keycloak에서 인증 받고 MS SSO로 넘어가면서 작동. Keycloak 으로 넘어갈때 계속 504에러 발생. 문제 파악 못하다가 gt에 티켓 요청 후 Keycloak 서버 docker 인증서 문제로 판명되어 해당 자산 담당자가 해결 (Day1 초기에 발생했지만 Day2에 조치 완료)
• Azure는 설정 값 복구가 어려워서 FAM DAY때 RO 권한만 주어서 Entra/Intune 관련해 테스트 해볼 수 있던 게 없음. 대신 Day0때 설정한 값들이 유지 되었음.
  • Azure Day0 조치 사항 : 필요 없는 계정, 필요 없는 권한, 필요 없는 그룹에 설정되어 있는 유저 조치 → 관련해서 따로 공격은 없었음.
  • 참고 : 주체 측에서 제공한 Azure 라이센스 20개 中 라이센스 사용하는 계정은 19개이기 때문에 남은 라이센스 1개를 신규 계정 생성 후 할당하여 테스트 할 수 있으나 Day0 때 테스트하기에는 시간이 부족해 보임.

UST 관련 이슈

• UST가 Azure 계정으로 Workstation에 접속 후에 서비스를 이용하기 때문에 관련 티켓이 많이 오는 옴.
• 윈도우의 경우 RDP 접속이 안되는 문제 (아일랜드)
• 우분투의 경우 xrdp 접속 문제 발생
  • 1. xrdp로는 접속하면 비번이 안 맞는다고 뜨는 경우(shell은 해당 비번이 맞음)
  • 2. xrdp로 접속하면 Login failed
  • 3. xrdp로 접속하면 검정화면만 뜨고 조치가 안되는 경우
• UST가 Workstation 내에 원격 접속 후 MCS 웹페이지 SSO 로그인 시 접속 안된다고 티켓을 여러번 보냄. → 앞에 언급했던 웹 서비스 SSO 문제 (SSO 클릭하면 504 에러가 뜨면서 사이트가 안 열리는 문제 - Keycloak 조치 후 접속 가능)