해킹사고... 어찌해야할까요? :: 2cpu, 지름이 시작되는 곳!

쓰기

해킹사고... 어찌해야할까요?

찬이

2022-07

2022-07-16 15:15:34

조회 2348 추천 0

안녕하세요.

어제 해킹사고가 있었는데.. 어찌 추적해야할지 고민입니다.

업무망(사설IP)에 있는 PC가 외부(인터넷망)에 직접 연결된 포트도 하나 없는데 당했습니다.

그 PC외 추가 피해는 없지만, 단순 랜섬웨어도 아닌게.. 로그도 삭제하는 치밀함을 보여 걱정이 됩니다.

사용자 계정은 사라지고 Administrator 계정을 활성화 시키고 비번을 바꾸어 놓았습니다.

그리고 별 의미없는 "window.vbs" 스크립트가 숨겨져서 실행되고 있었습니다.

(net use Administrator pw) 실제로는 이게 반복해서 실행됩니다.

그 외 의심되는 프로그램이 실행중이진 않았습니다. (하나하나 다 확인함. 루트킷이 아닌 이상 없었습니다.)

이벤트 로그 중 보안로그도 모두 삭제되어있었습니다.

무엇을 봐야 할까요...ㅠㅠ

짧은글 일수록 신중하게.



Qsup 2022-07 CCTV를 봐야죠. CCTV를 봐야죠.



찬이 2022-07 소잃고 외양간 고친다구.. 업무망엔 CCTV가 없었습니다ㅠㅠ 어제 달았습니다.. 소잃고 외양간 고친다구.. 업무망엔 CCTV가 없었습니다ㅠㅠ 어제 달았습니다..



술이 2022-07 흠 진짜 해킹 맞아요? 대부분 관리자들이 정기적으로 패스워드 바꾼다고 저 방식을 많이 이용하긴 하는데 그게 제대로 작업이 멈추지 않고 무한루프 도는 증상이 아닐까 싶기도 하고... 둘째는 로그가 싹 다 지워졌다고는 하는데 이것도 관리자들이 로그를 주기적으로 백업받고 백업받은 부분까지는 다 날리는 배치를 걸기는 하는데... 저게 과연 해킹인지 업무 인수인계를 안받은건지 확인이 필요해 보이네요. CCTV를 까보든가요 ㅋㅋㅋ 흠 진짜 해킹 맞아요? 대부분 관리자들이 정기적으로 패스워드 바꾼다고 저 방식을 많이 이용하긴 하는데 그게 제대로 작업이 멈추지 않고 무한루프 도는 증상이 아닐까 싶기도 하고... 둘째는 로그가 싹 다 지워졌다고는 하는데 이것도 관리자들이 로그를 주기적으로 백업받고 백업받은 부분까지는 다 날리는 배치를 걸기는 하는데... 저게 과연 해킹인지 업무 인수인계를 안받은건지 확인이 필요해 보이네요. CCTV를 까보든가요 ㅋㅋㅋ



찬이 2022-07 해킹은 확실합니다. 테스트용 장비라 중요한건 아니었지만, 제가 관리하던거였습니다ㅠㅠ 해킹은 확실합니다. 테스트용 장비라 중요한건 아니었지만, 제가 관리하던거였습니다ㅠㅠ



maronet 2022-07 KISA에 신고하고 도움요청하세요. KISA에 신고하고 도움요청하세요.



술이 2022-07 내부망이 확실한가요? USB 전부 차단한건지... 요즘 USB 안막으면 USB로도 인터넷이 가능합니다. USB 와이파이 USB 테더링 안될건 없죠. USB 차단 안했으면 외부와 통신이 가능해지고 뭐 그냥 쉽게 뚤리는거죠. 내부망중 한대만 열려 있어도 내부 서브넷 모든 컴퓨터는 쉽게 장악됩니다. 대부분 계정 동일하게 했거나 AD같은 도메인에 조인 안되었을거니... 내부망이 확실한가요? USB 전부 차단한건지... 요즘 USB 안막으면 USB로도 인터넷이 가능합니다. USB 와이파이 USB 테더링 안될건 없죠. USB 차단 안했으면 외부와 통신이 가능해지고 뭐 그냥 쉽게 뚤리는거죠. 내부망중 한대만 열려 있어도 내부 서브넷 모든 컴퓨터는 쉽게 장악됩니다. 대부분 계정 동일하게 했거나 AD같은 도메인에 조인 안되었을거니...



찬이 2022-07 망분리는 아니구 인터넷 되는 상황입니다. 테스트PC라 그냥 윈도우만 설치되어있고 거의 설치된것도 없었습니당.. 망분리는 아니구 인터넷 되는 상황입니다. 테스트PC라 그냥 윈도우만 설치되어있고 거의 설치된것도 없었습니당..



제온프로 2022-07 다시 옵니다. 자기가 직접 오던지 DeepWeb 에 팔던지.. 이 정보를 얻는자.. 랜섬웨어로 승부보러 다시 올겁니다. 다시 옵니다. 자기가 직접 오던지 DeepWeb 에 팔던지.. 이 정보를 얻는자.. 랜섬웨어로 승부보러 다시 올겁니다.



epowergate 2022-07 해킹 프로그램이 제일 먼저 하는게 LOG 부터 지우는 겁니다. LOG도 지우는게 아니구요 구멍이 >수백가지인데 어떻게 찾겠어요 해킹 프로그램이 제일 먼저 하는게 LOG 부터 지우는 겁니다. LOG도 지우는게 아니구요 구멍이 >수백가지인데 어떻게 찾겠어요



제온프로 2022-07 윈도우 10 (업무용 PC) 가 여러대 해킹 당했다는 의미 같군요.. IP의 흔적을 찾아내서 일단 어디서 왔는데. 무슨 행동들을 했는지. 무엇을 원한 것인지. 어떤 시간에 왔는지.. 차근 차근 모으셔야 겠습니다.. 윈도우 10 (업무용 PC) 가 여러대 해킹 당했다는 의미 같군요.. IP의 흔적을 찾아내서 일단 어디서 왔는데. 무슨 행동들을 했는지. 무엇을 원한 것인지. 어떤 시간에 왔는지.. 차근 차근 모으셔야 겠습니다..



찬이 2022-07 직접적인 업무용은 아니고 테스트용으로 쓴거라 자료는 없었습니다. 다른 PC들은 모두 해킹 흔적은 없었구요. 테스트장비라 비번이 쉽긴 했습니다..ㅠㅠ 근데 어디로 들어온건지..ㅠㅠ 직접적인 업무용은 아니고 테스트용으로 쓴거라 자료는 없었습니다. 다른 PC들은 모두 해킹 흔적은 없었구요. 테스트장비라 비번이 쉽긴 했습니다..ㅠㅠ 근데 어디로 들어온건지..ㅠㅠ



박문형 2022-07 회사에 보고는 하셨는지요?? 위에서는 모라고 하는가요?? 어쩔수 없지만 방화벽이나 침입 방지 시스템이 없어서 그랬다면 구축해두시는 편이 좋아 보입니다.. 절대 100% 막는 방화벽이란 없습니다.. 보안이라는 것은 계속 보완해나갈 뿐 회사에 보고는 하셨는지요?? 위에서는 모라고 하는가요?? 어쩔수 없지만 방화벽이나 침입 방지 시스템이 없어서 그랬다면 구축해두시는 편이 좋아 보입니다.. 절대 100% 막는 방화벽이란 없습니다.. 보안이라는 것은 계속 보완해나갈 뿐



찬이 2022-07 저희 회사가 작아서.. 는 핑계지만 어찌되었든 보안에 관심있는게 저밖에 없다시피 하네요..ㅠㅠ 열심히 야근하며 IDS 구축했습니다. 당연히 모두에게 알리고, 일단 대표님 포함해서 모든 직원 비밀번호 바꾸게 했습니다. 저희 회사가 작아서.. 는 핑계지만 어찌되었든 보안에 관심있는게 저밖에 없다시피 하네요..ㅠㅠ 열심히 야근하며 IDS 구축했습니다. 당연히 모두에게 알리고, 일단 대표님 포함해서 모든 직원 비밀번호 바꾸게 했습니다.



김은호 2022-07 과연 각 피시 및 서버가 비밀번호만 바꿔서 해결될 사안인지.. 업무중단시키고 한번에 다 포멧하는 건 어렵겠다면 적어도 순차적으로 각 피시 및 서버도 포멧재설치가 답 아닐까 생각되네요. 과연 각 피시 및 서버가 비밀번호만 바꿔서 해결될 사안인지.. 업무중단시키고 한번에 다 포멧하는 건 어렵겠다면 적어도 순차적으로 각 피시 및 서버도 포멧재설치가 답 아닐까 생각되네요.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

524/5731

번호	제목Page 524/5731	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (737)	정은준1	2014-05	5267596	0
[필독] 처음 오시는 분을 위한 안내 (737) 2014-05 5267596 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234)	백메가	2015-12	1792582	25
(광고) 단통법 시대의 인터넷가입 가이드(… (234) 2015-12 1792582 1 백메가
104143	[질문]스마트 워치 질문입니다. (2)	monan	2019-02	2500	0
[질문]스마트 워치 질문입니다. (2) 2019-02 2500 1 monan
104142	노트북에 웹캠이 없네요.. 웹캠 추천 부탁드립니다. ㅠ (5)	고양시	2021-09	2501	0
노트북에 웹캠이 없네요.. 웹캠 추천 부탁… (5) 2021-09 2501 1 고양시
104141	프로그램 개발 문의 (8)	skzj	2021-01	2501	0
프로그램 개발 문의 (8) 2021-01 2501 1 skzj
104140	메모앱은 어떤것을사용하시나요 (20)	slowcity	2022-08	2501	0
메모앱은 어떤것을사용하시나요 (20) 2022-08 2501 1 slowcity
104139	기구 설계가 필요하면 어디에 맡기면 될까요? (6)	백만스물하나	2019-06	2501	0
기구 설계가 필요하면 어디에 맡기면 될까… (6) 2019-06 2501 1 백만스물하나
104138	5.25인치 2베이 자리에 3.5인치 3베이 트레이로 쓸수 있는 제품인데요. 국내 구입가… (9)	화정큐삼	2022-01	2501	0
5.25인치 2베이 자리에 3.5인치 3베이 트… (9) 2022-01 2501 1 화정큐삼
104137	솔라리스 8 HDD 교체후 자동부팅이 안되요 (2)	오소리	2021-03	2501	0
솔라리스 8 HDD 교체후 자동부팅이 안되요 (2) 2021-03 2501 1 오소리
104136	포티게이트 방화벽 NAT 질문 드립니다 (2)	슬레이어	2023-08	2501	0
포티게이트 방화벽 NAT 질문 드립니다 (2) 2023-08 2501 1 슬레이어
104135	국가재난지원금-다른가족의카드로 보내줄수없나요 (3)	pumkin	2020-05	2501	0
국가재난지원금-다른가족의카드로 보내줄… (3) 2020-05 2501 1 pumkin
104134	Philips 제품 Data Export Protocol 아시는 분 있을까요? (4)	트니아빠	2021-09	2501	0
Philips 제품 Data Export Protocol 아시… (4) 2021-09 2501 1 트니아빠
104133	CPU소켓핀에 써멀이 묻은거 어떻게 � (9)	천마건빵	2024-07	2501	0
CPU소켓핀에 써멀이 묻은거 어떻게 � (9) 2024-07 2501 1 천마건빵
104132	공유기 질문 하나 드립니다. (9)	대길	2020-01	2501	0
공유기 질문 하나 드립니다. (9) 2020-01 2501 1 대길
104131	레이드 케이블달라도 되나요? (4)	행복하세	2019-08	2501	1
레이드 케이블달라도 되나요? (4) 2019-08 2501 1 행복하세
104130	드럼 건조기는 완전밀폐 구조가 아닐까요? (4)	김영기	2021-04	2502	0
드럼 건조기는 완전밀폐 구조가 아닐까요? (4) 2021-04 2502 1 김영기
104129	아래 PC업글레이드 이어서 한가지더 질문이 있습니다! (4)	머리감자	2019-08	2502	0
아래 PC업글레이드 이어서 한가지더 질문… (4) 2019-08 2502 1 머리감자
104128	이런 체어인데 턱있는 욕실도 가능할지...흠 (6)	늘파란	2021-08	2502	0
이런 체어인데 턱있는 욕실도 가능할지...흠 (6) 2021-08 2502 1 늘파란
104127	사내 전산 감사중에 해당 항목들이 뭘 말하는걸까요? (7)	어드민플레이	2023-05	2502	0
사내 전산 감사중에 해당 항목들이 뭘 말… (7) 2023-05 2502 1 어드민플레이
104126	Usb 접속부분 열나는데요 (5)	Whitesun	2019-09	2502	0
Usb 접속부분 열나는데요 (5) 2019-09 2502 1 Whitesun
104125	딥러닝 돌리시는 분들 GPU 온도는 몇도정도로..? (8)	검은콩	2024-01	2502	0
딥러닝 돌리시는 분들 GPU 온도는 몇도정… (8) 2024-01 2502 1 검은콩
104124	30m HDMI CABLE방향성 바꾸기 (15)	김준유	2021-06	2502	0
30m HDMI CABLE방향성 바꾸기 (15) 2021-06 2502 1 김준유