해킹사고... 어찌해야할까요? :: 2cpu, 지름이 시작되는 곳!

판매 more

쓰기

해킹사고... 어찌해야할까요?

찬이

2022-07

2022-07-16 15:15:34

조회 1714 추천 0

안녕하세요.

어제 해킹사고가 있었는데.. 어찌 추적해야할지 고민입니다.

업무망(사설IP)에 있는 PC가 외부(인터넷망)에 직접 연결된 포트도 하나 없는데 당했습니다.

그 PC외 추가 피해는 없지만, 단순 랜섬웨어도 아닌게.. 로그도 삭제하는 치밀함을 보여 걱정이 됩니다.

사용자 계정은 사라지고 Administrator 계정을 활성화 시키고 비번을 바꾸어 놓았습니다.

그리고 별 의미없는 "window.vbs" 스크립트가 숨겨져서 실행되고 있었습니다.

(net use Administrator pw) 실제로는 이게 반복해서 실행됩니다.

그 외 의심되는 프로그램이 실행중이진 않았습니다. (하나하나 다 확인함. 루트킷이 아닌 이상 없었습니다.)

이벤트 로그 중 보안로그도 모두 삭제되어있었습니다.

무엇을 봐야 할까요...ㅠㅠ

짧은글 일수록 신중하게.



Qsup 2022-07 CCTV를 봐야죠. CCTV를 봐야죠.



찬이 2022-07 소잃고 외양간 고친다구.. 업무망엔 CCTV가 없었습니다ㅠㅠ 어제 달았습니다.. 소잃고 외양간 고친다구.. 업무망엔 CCTV가 없었습니다ㅠㅠ 어제 달았습니다..



술이 2022-07 흠 진짜 해킹 맞아요? 대부분 관리자들이 정기적으로 패스워드 바꾼다고 저 방식을 많이 이용하긴 하는데 그게 제대로 작업이 멈추지 않고 무한루프 도는 증상이 아닐까 싶기도 하고... 둘째는 로그가 싹 다 지워졌다고는 하는데 이것도 관리자들이 로그를 주기적으로 백업받고 백업받은 부분까지는 다 날리는 배치를 걸기는 하는데... 저게 과연 해킹인지 업무 인수인계를 안받은건지 확인이 필요해 보이네요. CCTV를 까보든가요 ㅋㅋㅋ 흠 진짜 해킹 맞아요? 대부분 관리자들이 정기적으로 패스워드 바꾼다고 저 방식을 많이 이용하긴 하는데 그게 제대로 작업이 멈추지 않고 무한루프 도는 증상이 아닐까 싶기도 하고... 둘째는 로그가 싹 다 지워졌다고는 하는데 이것도 관리자들이 로그를 주기적으로 백업받고 백업받은 부분까지는 다 날리는 배치를 걸기는 하는데... 저게 과연 해킹인지 업무 인수인계를 안받은건지 확인이 필요해 보이네요. CCTV를 까보든가요 ㅋㅋㅋ



찬이 2022-07 해킹은 확실합니다. 테스트용 장비라 중요한건 아니었지만, 제가 관리하던거였습니다ㅠㅠ 해킹은 확실합니다. 테스트용 장비라 중요한건 아니었지만, 제가 관리하던거였습니다ㅠㅠ



maronet 2022-07 KISA에 신고하고 도움요청하세요. KISA에 신고하고 도움요청하세요.



술이 2022-07 내부망이 확실한가요? USB 전부 차단한건지... 요즘 USB 안막으면 USB로도 인터넷이 가능합니다. USB 와이파이 USB 테더링 안될건 없죠. USB 차단 안했으면 외부와 통신이 가능해지고 뭐 그냥 쉽게 뚤리는거죠. 내부망중 한대만 열려 있어도 내부 서브넷 모든 컴퓨터는 쉽게 장악됩니다. 대부분 계정 동일하게 했거나 AD같은 도메인에 조인 안되었을거니... 내부망이 확실한가요? USB 전부 차단한건지... 요즘 USB 안막으면 USB로도 인터넷이 가능합니다. USB 와이파이 USB 테더링 안될건 없죠. USB 차단 안했으면 외부와 통신이 가능해지고 뭐 그냥 쉽게 뚤리는거죠. 내부망중 한대만 열려 있어도 내부 서브넷 모든 컴퓨터는 쉽게 장악됩니다. 대부분 계정 동일하게 했거나 AD같은 도메인에 조인 안되었을거니...



찬이 2022-07 망분리는 아니구 인터넷 되는 상황입니다. 테스트PC라 그냥 윈도우만 설치되어있고 거의 설치된것도 없었습니당.. 망분리는 아니구 인터넷 되는 상황입니다. 테스트PC라 그냥 윈도우만 설치되어있고 거의 설치된것도 없었습니당..



제온프로 2022-07 다시 옵니다. 자기가 직접 오던지 DeepWeb 에 팔던지.. 이 정보를 얻는자.. 랜섬웨어로 승부보러 다시 올겁니다. 다시 옵니다. 자기가 직접 오던지 DeepWeb 에 팔던지.. 이 정보를 얻는자.. 랜섬웨어로 승부보러 다시 올겁니다.



epowergate 2022-07 해킹 프로그램이 제일 먼저 하는게 LOG 부터 지우는 겁니다. LOG도 지우는게 아니구요 구멍이 >수백가지인데 어떻게 찾겠어요 해킹 프로그램이 제일 먼저 하는게 LOG 부터 지우는 겁니다. LOG도 지우는게 아니구요 구멍이 >수백가지인데 어떻게 찾겠어요



제온프로 2022-07 윈도우 10 (업무용 PC) 가 여러대 해킹 당했다는 의미 같군요.. IP의 흔적을 찾아내서 일단 어디서 왔는데. 무슨 행동들을 했는지. 무엇을 원한 것인지. 어떤 시간에 왔는지.. 차근 차근 모으셔야 겠습니다.. 윈도우 10 (업무용 PC) 가 여러대 해킹 당했다는 의미 같군요.. IP의 흔적을 찾아내서 일단 어디서 왔는데. 무슨 행동들을 했는지. 무엇을 원한 것인지. 어떤 시간에 왔는지.. 차근 차근 모으셔야 겠습니다..



찬이 2022-07 직접적인 업무용은 아니고 테스트용으로 쓴거라 자료는 없었습니다. 다른 PC들은 모두 해킹 흔적은 없었구요. 테스트장비라 비번이 쉽긴 했습니다..ㅠㅠ 근데 어디로 들어온건지..ㅠㅠ 직접적인 업무용은 아니고 테스트용으로 쓴거라 자료는 없었습니다. 다른 PC들은 모두 해킹 흔적은 없었구요. 테스트장비라 비번이 쉽긴 했습니다..ㅠㅠ 근데 어디로 들어온건지..ㅠㅠ



박문형 2022-07 회사에 보고는 하셨는지요?? 위에서는 모라고 하는가요?? 어쩔수 없지만 방화벽이나 침입 방지 시스템이 없어서 그랬다면 구축해두시는 편이 좋아 보입니다.. 절대 100% 막는 방화벽이란 없습니다.. 보안이라는 것은 계속 보완해나갈 뿐 회사에 보고는 하셨는지요?? 위에서는 모라고 하는가요?? 어쩔수 없지만 방화벽이나 침입 방지 시스템이 없어서 그랬다면 구축해두시는 편이 좋아 보입니다.. 절대 100% 막는 방화벽이란 없습니다.. 보안이라는 것은 계속 보완해나갈 뿐



찬이 2022-07 저희 회사가 작아서.. 는 핑계지만 어찌되었든 보안에 관심있는게 저밖에 없다시피 하네요..ㅠㅠ 열심히 야근하며 IDS 구축했습니다. 당연히 모두에게 알리고, 일단 대표님 포함해서 모든 직원 비밀번호 바꾸게 했습니다. 저희 회사가 작아서.. 는 핑계지만 어찌되었든 보안에 관심있는게 저밖에 없다시피 하네요..ㅠㅠ 열심히 야근하며 IDS 구축했습니다. 당연히 모두에게 알리고, 일단 대표님 포함해서 모든 직원 비밀번호 바꾸게 했습니다.



김은호 2022-07 과연 각 피시 및 서버가 비밀번호만 바꿔서 해결될 사안인지.. 업무중단시키고 한번에 다 포멧하는 건 어렵겠다면 적어도 순차적으로 각 피시 및 서버도 포멧재설치가 답 아닐까 생각되네요. 과연 각 피시 및 서버가 비밀번호만 바꿔서 해결될 사안인지.. 업무중단시키고 한번에 다 포멧하는 건 어렵겠다면 적어도 순차적으로 각 피시 및 서버도 포멧재설치가 답 아닐까 생각되네요.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

5539/5677

번호	제목Page 5539/5677	글쓴이	날짜	조회	추천
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1475032	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1475032 1 백메가
	[필독] 처음 오시는 분을 위한 안내 (726)	정은준1	2014-05	4938024	0
[필독] 처음 오시는 분을 위한 안내 (726) 2014-05 4938024 1 정은준1
2771	내장 스카시 케이블에 320/160 아무거나 써도 되나요? (5)	이상목	2003-01	9970	13
내장 스카시 케이블에 320/160 아무거나 … (5) 2003-01 9970 1 이상목
2770	(질문) 2466보드 bios 리셋문제 (5)	심장현	2003-01	11309	20
(질문) 2466보드 bios 리셋문제 (5) 2003-01 11309 1 심장현
2769	[질문]한 시스템에 두개의 랜카드를 각각 Up,Down 설정하는 방법??	정원웅	2003-01	11714	78
[질문]한 시스템에 두개의 랜카드를 각각 … 2003-01 11714 1 정원웅
2768	[re] [질문]한 시스템에 두개의 랜카드를 각각 Up,Down 설정하는 방법?? (7)	강희민	2003-01	11345	10
[re] [질문]한 시스템에 두개의 랜카드를 … (7) 2003-01 11345 1 강희민
2767	윈도우즈 2000의 소프트 레이드 (3)	김규원	2003-01	11706	21
윈도우즈 2000의 소프트 레이드 (3) 2003-01 11706 1 김규원
2766	[질문]중고 가격문의를 좀 해도 될까요? (3)	최재동	2003-01	11490	16
[질문]중고 가격문의를 좀 해도 될까요? (3) 2003-01 11490 1 최재동
2765	영상편집용으로 mpx2보드는..... (4)	김재식	2003-01	10038	8
영상편집용으로 mpx2보드는..... (4) 2003-01 10038 1 김재식
2764	DVIX가 끊기면서 나오기도 하고 느리게 나오기도 한다면.. (6)	김찬호	2003-01	11268	44
DVIX가 끊기면서 나오기도 하고 느리게 나… (6) 2003-01 11268 1 김찬호
2763	스왑 전용 하드에 관한 질문입니다.	민경섭	2003-01	12079	53
스왑 전용 하드에 관한 질문입니다. 2003-01 12079 1 민경섭
2762	AMD와 하드웨어제어 (5)	한제희	2003-01	10897	13
AMD와 하드웨어제어 (5) 2003-01 10897 1 한제희
2761	네트웍 상에서 .. (3)	홍동권	2003-01	13168	77
네트웍 상에서 .. (3) 2003-01 13168 1 홍동권
2760	제가 영상쪽에 관심을 갖게 됐는데요... (1)	김주원	2003-01	12596	91
제가 영상쪽에 관심을 갖게 됐는데요... (1) 2003-01 12596 1 김주원
2759	[re] 제가 영상쪽에 관심을 갖게 됐는데요... (3)	김재식	2003-01	11258	72
[re] 제가 영상쪽에 관심을 갖게 됐는데요… (3) 2003-01 11258 1 김재식
2758	오늘 2000어드밴스에 apm설치 후.. (2)	이경진	2003-01	10716	15
오늘 2000어드밴스에 apm설치 후.. (2) 2003-01 10716 1 이경진
2757	구형SCSI하드 붙이기(ST19171WC) 는 다른가요? (2)	이병일	2003-01	12217	64
구형SCSI하드 붙이기(ST19171WC) 는 다른… (2) 2003-01 12217 1 이병일
2756	자꾸 메모리 에러가 나서 질문드립니다. (4)	윤명호	2003-01	11818	68
자꾸 메모리 에러가 나서 질문드립니다. (4) 2003-01 11818 1 윤명호
2755	음악용으로 쓰려면 어떤 보드가 좋은지 추천좀 해주세요	김동균	2003-01	11671	87
음악용으로 쓰려면 어떤 보드가 좋은지 추… 2003-01 11671 1 김동균
2754	[re] 음악용으로 쓰려면 어떤 보드가 좋은지 추천좀 해주세요	김선종	2003-01	11743	37
[re] 음악용으로 쓰려면 어떤 보드가 좋은… 2003-01 11743 1 김선종
2753	ide확장용으로 Raid카드를 사용할 수 있나요? (5)	김학영	2003-01	11370	16
ide확장용으로 Raid카드를 사용할 수 있나… (5) 2003-01 11370 1 김학영
2752	Tyan 2466과 메트록스 G550의 궁합 문의 (5)	박인호	2003-01	10659	43
Tyan 2466과 메트록스 G550의 궁합 문의 (5) 2003-01 10659 1 박인호