AD(Active Directory)와 클롭 랜섬웨어(CLOP Ransomware)

AD(Active Directory)

Active Directory는 윈도우에서 사용하는 기능이다. 주로 기업에서 사용하는데 윈도우에 인증 기능을 추가해준다. 즉, 기업의 각각의 PC에 권한을 설정하고 인증하는 기능이다. 동일한 데이터베이스에서 중앙 집중식으로 관리할 수 있는 것이다. 새로운 업데이트를 배포하고 권한에 따른 정책을 설정하고 인증을 할 수 있는 것이다.

각 계정에 비밀번호 정책설정도 가능하다. 예를 들어 비밀번호의 최소 자리수, 변경 주기 등을 설정할 수 있다. 만약 AD를 사용하지 않는 다면 패치를 하거나 여러 정책을 설정할 때 기업내의 모든 PC에 직접 찾아가 설정을 해야하는 번거러움이 있는데 AD가 이를 해결해주는 것이다.

AD 설정 시 PC 로그인 시 로컬 계정명으로 로그인 하는 것이 아닌 계정 이름이 도매인명으로 바뀐다. 해당 도매인은 중앙에 있는 서버의 도매인으로 연결되고 해당 서버에서 어떤 권한의 정당한 사용자인지 인증 후 로그인을 허용하는 것이다.

 

클롭 랜섬웨어(CLOP Ransomware)

클롭 랜섬웨어는 2020년 11월 쯤 발견된 랜섬웨어이다. AD를 사용하는 기업을 대상으로 만들어진 랜섬웨어로 메일의 첨부파일 문서 메크로형 악성코드로 부터 시작된다. 메일에 포함된 문서를 열람 시 매크로가 실행되며 파일 다운로더가 실행된다. 이때, 해당 시스템이 AD를 사용 중일 경우 원격 제어 악성코드 파일을 다운로드한다. 이후 AD 시스템 장악 프로그램을 설치하고 시스템을 장악한다. 도매인 구성 정보를 확인 후 취약점을 이용한 권한 상승을 노린다. 이어서 관리자 권한 까지 탈취를 성공하면 클롭 랜섬웨어를 퍼트릴 준비를 한다. AD 시스템의 스캐줄러에 클롭 랜섬웨어를 올려서 기업 내의 AD를 사용하는 PC에 랜섬웨어가 걸리게 만든다.

* 자세한 과정은 다음 링크를 참고.

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=29823

유통 대기업 A사 공격 클롭 랜섬웨어 분석보고서 공개

이처럼 시작은 작은 메일이었지만 기업 전체에 큰 영향을 끼칠 수 있다. 점점 진화하는 보안 위협에 대비하여 외부로부터 접근한 데이터에 대해서는 경계하고 조심해야할 필요가 있다. 특히 의심되는 메일의 경우 열어보지 않거나 가상의 환경에서 확인하는 것을 권장하며 스피어 피싱 등 각종 피싱 행위도 급증하고 있으니 조심해야 한다.