ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • Microsoft는 악몽 이야기를 공유합니다 : 고객 네트워크에 해커 6 조
      건강과 과학/과학기술 2020. 3. 11. 08:44

      Microsoft는 악몽 이야기를 공유합니다 : 고객 네트워크에 해커 6 조
      Microsoft는 DART (Detection and Response Team)에서 수행 한 사고 대응 작업에 대한 첫 번째 보고서를 공개합니다.

      심층적 인 사이버 문제를 겪고있는 고객을 지원하는 DART (Detection and Response Team)의 첫 번째 보고서는 데이터를 훔친 주정부 후원 해커 그룹을 포함하여 동시에 네트워크에 위협 행위자가 6 명인 대규모 고객의 사례를 자세히 설명합니다. 243 일 동안 이메일을 보내십시오.

      이 회사는 2017 년 3 월 Satya Nadella CEO가 발표 한 엔터프라이즈 사이버 보안에 대한 연간 10 억 달러의 추진의 일환으로 2019 년 3 월 DART를 발표했습니다 .   

      고객 이름을 밝히지 않고 Microsoft는 해커의 작동 방식을 보여주기 위해 DART 활동에 대한 정기 업데이트 를 게시 하려고합니다 .

      첫 번째 보고서 는 관리자 자격 증명을 훔쳐 대상 네트워크에 침투하여 중요한 데이터와 전자 메일을 훔치는 고급 APT (고급 위협) 공격자에 대해 자세히 설명 합니다.

      특히 고객이 MFA (다단계 인증)를 사용하지 않아 위반을 막을 수있었습니다. Microsoft는 지난 주 에 손상된 계정의 99.9 %가 MFA를 사용하지 않았으며 엔터프라이즈 계정의 11 %만이 MFA를 사용 한다고 밝혔습니다 .

      DART는 고객이 7 개월 전에 사고 대응 공급 업체에 참여 했음에도 불구하고 243 일 후에 APT 공격자가 네트워크에서 한 명의 APT 공격자를 쫓아 내지 못한 후에 시작되었습니다. 마이크로 소프트 팀이 도착한 날에 침입자가 퇴장당했습니다. 또한 네트워크 내에 5 개의 다른 위협 그룹이 있음을 발견했습니다.

      이 경우 주 공격자는 암호 스프레이 공격 을 사용하여 고객의 Office 365 관리자 자격 증명을 가져와 검색된 사서함에서 전자 메일을 통해 직원간에 더 많은 자격 증명을 공유했습니다. DART는 공격자가 특정 시장에서 지적 재산을 찾고 있음을 발견했습니다.

      침입자는 고객의 전자 검색 및 규정 준수 도구를 사용하여 관련 전자 메일 검색을 자동화했습니다.      

      마이크로 소프트에 따르면, 공격 첫 달에이 회사는 손상된 Office 365 계정 자체를 처리하려고 시도한 후 사고 대응 공급 업체를 불러와 긴 조사 결과를 도출했습니다.

      "이 조사는 7 개월 이상 지속되었으며 피해자 및 피해자 고객과 관련된 민감한 정보가 Office 365 사서함에 저장되어있을 가능성이있는 것으로 밝혀졌습니다. 최초 손상 후 243 일 후 DART는 사건과 함께 업무에 착수했습니다. 응답 공급 업체와 회사의 사내 팀 "이라고 Microsoft는 말합니다.

      "DART는 공격자 명령 및 제어 채널뿐만 아니라 대상 사서함 검색 및 손상된 계정을 신속하게 식별했습니다. 또한 DART는 초기 사고와 관련이없는 환경에서 지속되는 5 개의 추가 공격 캠페인을 식별했습니다. "필요에 따라 나중에 사용하기 위해 액세스 채널 (예 : 백도어)을 설정하기 위해 훨씬 이전 환경"

      Microsoft는 MFA 활성화, 레거시 인증 제거, 최초 대응 자 교육, 보안, 정보 및 이벤트 관리 제품을 사용하여 이벤트를 올바르게 기록, 공격자가 합법적으로 사용하는 것을 인식하는 등 조직이 APT 공격자에 대한 노출을 최소화하기 위해 사용할 수있는 5 가지 기본 단계를 설명합니다. 대상을 조사하는 관리 및 보안 도구.

      이 게시물은 지난주 주요 랜섬웨어 그룹의 피해자 인 고객에게 제공 한 것과 동일한 메시지를 제공합니다 . 고객은 사용 가능한 보안 도구를 활성화하고 보안 이벤트 로깅에 집중해야합니다.

      Microsoft는 REvil, Samas 또는 SamSam, Doppelpaymer, Bitpaymer 및 Ryuk 랜섬웨어 운영자의 작업을 다루었습니다. 또한 공격자들이 보안 소프트웨어를 비활성화하는 방법을 자세히 설명하고 일부 고객은 보안 소프트웨어를 비활성화하여 성능을 향상시켜 사이버 범죄자들이 몇 달 동안 네트워크를 로밍 할 수 있다고 언급했습니다.    

      저작자표시 비영리 변경금지 (새창열림)

      '건강과 과학 > 과학기술' 카테고리의 다른 글

      애플은 마이크로 소프트처럼 더 튼튼한 폴딩 아이폰이나 아이 패드 아이디어를 특허하고 싶어한다  (0) 2020.03.11
      Microsoft, 9 백만 대의 컴퓨터를 감염시킨 봇넷 중단  (0) 2020.03.11
      Microsoft 패치 화요일 snafu의 새로운 SMB 웜 버그에 대한 세부 정보  (0) 2020.03.11
      인텔 SGX는 암호화 키 등을 훔칠 수있는 수정 불가능한 결함에 취약합니다.  (0) 2020.03.11
      이란 정부는이란을위한 공식 코로나 바이러스 앱을 출시했지만 Google은 앱 스토어에서 앱을 가져 왔습니다.  (0) 2020.03.11

      관련글 관련글 더보기

    Designed by Tistory.

    티스토리툴바