해킹사고... 어찌해야할까요? :: 2cpu, 지름이 시작되는 곳!

쓰기

해킹사고... 어찌해야할까요?

찬이

2022-07

2022-07-16 15:15:34

조회 2164 추천 0

안녕하세요.

어제 해킹사고가 있었는데.. 어찌 추적해야할지 고민입니다.

업무망(사설IP)에 있는 PC가 외부(인터넷망)에 직접 연결된 포트도 하나 없는데 당했습니다.

그 PC외 추가 피해는 없지만, 단순 랜섬웨어도 아닌게.. 로그도 삭제하는 치밀함을 보여 걱정이 됩니다.

사용자 계정은 사라지고 Administrator 계정을 활성화 시키고 비번을 바꾸어 놓았습니다.

그리고 별 의미없는 "window.vbs" 스크립트가 숨겨져서 실행되고 있었습니다.

(net use Administrator pw) 실제로는 이게 반복해서 실행됩니다.

그 외 의심되는 프로그램이 실행중이진 않았습니다. (하나하나 다 확인함. 루트킷이 아닌 이상 없었습니다.)

이벤트 로그 중 보안로그도 모두 삭제되어있었습니다.

무엇을 봐야 할까요...ㅠㅠ

짧은글 일수록 신중하게.



Qsup 2022-07 CCTV를 봐야죠. CCTV를 봐야죠.



찬이 2022-07 소잃고 외양간 고친다구.. 업무망엔 CCTV가 없었습니다ㅠㅠ 어제 달았습니다.. 소잃고 외양간 고친다구.. 업무망엔 CCTV가 없었습니다ㅠㅠ 어제 달았습니다..



술이 2022-07 흠 진짜 해킹 맞아요? 대부분 관리자들이 정기적으로 패스워드 바꾼다고 저 방식을 많이 이용하긴 하는데 그게 제대로 작업이 멈추지 않고 무한루프 도는 증상이 아닐까 싶기도 하고... 둘째는 로그가 싹 다 지워졌다고는 하는데 이것도 관리자들이 로그를 주기적으로 백업받고 백업받은 부분까지는 다 날리는 배치를 걸기는 하는데... 저게 과연 해킹인지 업무 인수인계를 안받은건지 확인이 필요해 보이네요. CCTV를 까보든가요 ㅋㅋㅋ 흠 진짜 해킹 맞아요? 대부분 관리자들이 정기적으로 패스워드 바꾼다고 저 방식을 많이 이용하긴 하는데 그게 제대로 작업이 멈추지 않고 무한루프 도는 증상이 아닐까 싶기도 하고... 둘째는 로그가 싹 다 지워졌다고는 하는데 이것도 관리자들이 로그를 주기적으로 백업받고 백업받은 부분까지는 다 날리는 배치를 걸기는 하는데... 저게 과연 해킹인지 업무 인수인계를 안받은건지 확인이 필요해 보이네요. CCTV를 까보든가요 ㅋㅋㅋ



찬이 2022-07 해킹은 확실합니다. 테스트용 장비라 중요한건 아니었지만, 제가 관리하던거였습니다ㅠㅠ 해킹은 확실합니다. 테스트용 장비라 중요한건 아니었지만, 제가 관리하던거였습니다ㅠㅠ



maronet 2022-07 KISA에 신고하고 도움요청하세요. KISA에 신고하고 도움요청하세요.



술이 2022-07 내부망이 확실한가요? USB 전부 차단한건지... 요즘 USB 안막으면 USB로도 인터넷이 가능합니다. USB 와이파이 USB 테더링 안될건 없죠. USB 차단 안했으면 외부와 통신이 가능해지고 뭐 그냥 쉽게 뚤리는거죠. 내부망중 한대만 열려 있어도 내부 서브넷 모든 컴퓨터는 쉽게 장악됩니다. 대부분 계정 동일하게 했거나 AD같은 도메인에 조인 안되었을거니... 내부망이 확실한가요? USB 전부 차단한건지... 요즘 USB 안막으면 USB로도 인터넷이 가능합니다. USB 와이파이 USB 테더링 안될건 없죠. USB 차단 안했으면 외부와 통신이 가능해지고 뭐 그냥 쉽게 뚤리는거죠. 내부망중 한대만 열려 있어도 내부 서브넷 모든 컴퓨터는 쉽게 장악됩니다. 대부분 계정 동일하게 했거나 AD같은 도메인에 조인 안되었을거니...



찬이 2022-07 망분리는 아니구 인터넷 되는 상황입니다. 테스트PC라 그냥 윈도우만 설치되어있고 거의 설치된것도 없었습니당.. 망분리는 아니구 인터넷 되는 상황입니다. 테스트PC라 그냥 윈도우만 설치되어있고 거의 설치된것도 없었습니당..



제온프로 2022-07 다시 옵니다. 자기가 직접 오던지 DeepWeb 에 팔던지.. 이 정보를 얻는자.. 랜섬웨어로 승부보러 다시 올겁니다. 다시 옵니다. 자기가 직접 오던지 DeepWeb 에 팔던지.. 이 정보를 얻는자.. 랜섬웨어로 승부보러 다시 올겁니다.



epowergate 2022-07 해킹 프로그램이 제일 먼저 하는게 LOG 부터 지우는 겁니다. LOG도 지우는게 아니구요 구멍이 >수백가지인데 어떻게 찾겠어요 해킹 프로그램이 제일 먼저 하는게 LOG 부터 지우는 겁니다. LOG도 지우는게 아니구요 구멍이 >수백가지인데 어떻게 찾겠어요



제온프로 2022-07 윈도우 10 (업무용 PC) 가 여러대 해킹 당했다는 의미 같군요.. IP의 흔적을 찾아내서 일단 어디서 왔는데. 무슨 행동들을 했는지. 무엇을 원한 것인지. 어떤 시간에 왔는지.. 차근 차근 모으셔야 겠습니다.. 윈도우 10 (업무용 PC) 가 여러대 해킹 당했다는 의미 같군요.. IP의 흔적을 찾아내서 일단 어디서 왔는데. 무슨 행동들을 했는지. 무엇을 원한 것인지. 어떤 시간에 왔는지.. 차근 차근 모으셔야 겠습니다..



찬이 2022-07 직접적인 업무용은 아니고 테스트용으로 쓴거라 자료는 없었습니다. 다른 PC들은 모두 해킹 흔적은 없었구요. 테스트장비라 비번이 쉽긴 했습니다..ㅠㅠ 근데 어디로 들어온건지..ㅠㅠ 직접적인 업무용은 아니고 테스트용으로 쓴거라 자료는 없었습니다. 다른 PC들은 모두 해킹 흔적은 없었구요. 테스트장비라 비번이 쉽긴 했습니다..ㅠㅠ 근데 어디로 들어온건지..ㅠㅠ



박문형 2022-07 회사에 보고는 하셨는지요?? 위에서는 모라고 하는가요?? 어쩔수 없지만 방화벽이나 침입 방지 시스템이 없어서 그랬다면 구축해두시는 편이 좋아 보입니다.. 절대 100% 막는 방화벽이란 없습니다.. 보안이라는 것은 계속 보완해나갈 뿐 회사에 보고는 하셨는지요?? 위에서는 모라고 하는가요?? 어쩔수 없지만 방화벽이나 침입 방지 시스템이 없어서 그랬다면 구축해두시는 편이 좋아 보입니다.. 절대 100% 막는 방화벽이란 없습니다.. 보안이라는 것은 계속 보완해나갈 뿐



찬이 2022-07 저희 회사가 작아서.. 는 핑계지만 어찌되었든 보안에 관심있는게 저밖에 없다시피 하네요..ㅠㅠ 열심히 야근하며 IDS 구축했습니다. 당연히 모두에게 알리고, 일단 대표님 포함해서 모든 직원 비밀번호 바꾸게 했습니다. 저희 회사가 작아서.. 는 핑계지만 어찌되었든 보안에 관심있는게 저밖에 없다시피 하네요..ㅠㅠ 열심히 야근하며 IDS 구축했습니다. 당연히 모두에게 알리고, 일단 대표님 포함해서 모든 직원 비밀번호 바꾸게 했습니다.



김은호 2022-07 과연 각 피시 및 서버가 비밀번호만 바꿔서 해결될 사안인지.. 업무중단시키고 한번에 다 포멧하는 건 어렵겠다면 적어도 순차적으로 각 피시 및 서버도 포멧재설치가 답 아닐까 생각되네요. 과연 각 피시 및 서버가 비밀번호만 바꿔서 해결될 사안인지.. 업무중단시키고 한번에 다 포멧하는 건 어렵겠다면 적어도 순차적으로 각 피시 및 서버도 포멧재설치가 답 아닐까 생각되네요.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

442/5715

번호	제목Page 442/5715	글쓴이	날짜	조회	추천
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234)	백메가	2015-12	1730261	25
(광고) 단통법 시대의 인터넷가입 가이드(… (234) 2015-12 1730261 1 백메가
	[필독] 처음 오시는 분을 위한 안내 (736)	정은준1	2014-05	5197506	0
[필독] 처음 오시는 분을 위한 안내 (736) 2014-05 5197506 1 정은준1
105471	PCIe NVM SSD 카드인것 같은데요....??? (16)	최재정2cpu	2022-11	2160	0
PCIe NVM SSD 카드인것 같은데요....??? (16) 2022-11 2160 1 최재정2cpu
105470	대지 변경해보신분 계실까요? (10)	행복하세	2021-10	2160	0
대지 변경해보신분 계실까요? (10) 2021-10 2160 1 행복하세
105469	amd 그래픽 카드 절전모드 복귀 후 노이즈 현상 (5)	김제연	2023-07	2160	0
amd 그래픽 카드 절전모드 복귀 후 노이즈… (5) 2023-07 2160 1 김제연
105468	사진의 파일들을 다운로드 하고싶어요 (2)	전진	2019-10	2160	0
사진의 파일들을 다운로드 하고싶어요 (2) 2019-10 2160 1 전진
105467	휴대폰의 사진이나 일정 폴더를 nas에 씽크해주는 프로그램이 있나요? (4)	걸인신홍철	2021-02	2160	0
휴대폰의 사진이나 일정 폴더를 nas에 씽… (4) 2021-02 2160 1 걸인신홍철
105466	판매중인 LTE 라우터 관련 (6)	백룡	2021-08	2160	0
판매중인 LTE 라우터 관련 (6) 2021-08 2160 1 백룡
105465	장터 파워 사용 후기 요청 (3)	술이	2023-04	2160	0
장터 파워 사용 후기 요청 (3) 2023-04 2160 1 술이
105464	AMD 9004 최대 메모리 슬롯 시스템 / INTEL 4th Xeon 8way system (4)	박문형	2023-10	2160	0
AMD 9004 최대 메모리 슬롯 시스템 / INTE… (4) 2023-10 2160 1 박문형
105463	HP 마이크로서버 Gen8 Raid관련 질문좀 받아주세요. (6)	이뻔한세상	2022-08	2160	0
HP 마이크로서버 Gen8 Raid관련 질문좀 받… (6) 2022-08 2160 1 이뻔한세상
105462	컴퓨터 수거 업체 질문 (12)	cho609495	2021-11	2160	0
컴퓨터 수거 업체 질문 (12) 2021-11 2160 1 cho609495
105461	RDIMM 메모리 호환성 (4)	cjsrbc	2023-07	2160	0
RDIMM 메모리 호환성 (4) 2023-07 2160 1 cjsrbc
105460	장터 미니 망분리 pc (2)	삐돌이슬픔이	2023-01	2160	0
장터 미니 망분리 pc (2) 2023-01 2160 1 삐돌이슬픔이
105459	우분투에서 하드디스크 SATA포트 번호(위치) 정확하게 알 수 있는 방법이 있을까요? (1)	zestyus	2021-06	2161	0
우분투에서 하드디스크 SATA포트 번호(위… (1) 2021-06 2161 1 zestyus
105458	Managed Switch에 순간적으로 uplink가 2개가 생기면 어떻게 되나요? (7)	민호양	2023-08	2161	0
Managed Switch에 순간적으로 uplink가 2… (7) 2023-08 2161 1 민호양
105457	허브랙에 들어 갈만한 서버 규격이 있을까요? (18)	푸치코	2023-03	2161	0
허브랙에 들어 갈만한 서버 규격이 있을까… (18) 2023-03 2161 1 푸치코
105456	윈도우 10 업데이트를 완료할수 없습니다. 변경사항 취소중... 해결착 있을까요. (12)	pilsuni	2024-07	2161	0
윈도우 10 업데이트를 완료할수 없습니다… (12) 2024-07 2161 1 pilsuni
105455	윈도우 종료후 자동재부팅 현상 (8)	박문형	2024-07	2161	0
윈도우 종료후 자동재부팅 현상 (8) 2024-07 2161 1 박문형
105454	구형컴 IDE 연장선을 사용해도 문제가 없나요? (8)	jake	2023-01	2161	0
구형컴 IDE 연장선을 사용해도 문제가 없… (8) 2023-01 2161 1 jake
105453	라즈베리차파이로 nas 제작할때 os는 어떻게 설정하시나요? (4)	이매망량2	2023-07	2161	0
라즈베리차파이로 nas 제작할때 os는 어떻… (4) 2023-07 2161 1 이매망량2
105452	오래된 맥북프로하나 얻어왔는데...브라우저 글씨가 깨져여~~~ (4)	워니님	2023-03	2161	0
오래된 맥북프로하나 얻어왔는데...브라우… (4) 2023-03 2161 1 워니님