ITEASY

닫기

추천 검색어
# 클라우드
# VPN
# 무료서비스
# 호스팅
# 이벤트

침해사고 조사

공격 및 행위를 분석하고 보안대책과 방어책을 제시하여
사고를 예방하는 서비스입니다.

  • iTEASY 이용 고객 (IDC /CLOUD)
    별도 이용문의

    결과 리포트 : 발송

    후속 조치 : 컨설팅 및 보완조치

    이용문의
  • 타사 이용 고객
    별도 이용문의

    결과 리포트 : 발송

    후속 조치 : 컨설팅

    이용문의

침해사고 조사의 필요성

침해사고 조사

취약점 통계분석 사이트 CVE Details 에 따르면 약 12만 여개의 취약점이 존재하며, 공격자는 이러한
다양한 취약점을 악용하여 공격이 이루어지기 때문에 방어가 어렵습니다. 또한, 한 번 공격을 당한 시스템은
해커들의 표적이 되어 2차 사고의 위험에 노출됩니다.
침해사고 조사 서비스는 Cyber kill, Time Line 분석을 통해 최초 공격 및 행위를 분석하고,
보안대책과 방어책을 제시하여 2차 사고를 예방하는 가장 근본적인 방법입니다.

시스템 전체 권한 탈취 흐름도 이미지

* 해커는 취약점을 이용하여 서버 1대 해킹 후 백도어를 확산 시키고, 측면 공격을 통하여 인프라 시스템 전체 권한을 탈취할 수 있습니다.

침해사고 조사 대응과정

이미지

침해사고 조사 사례(샘플)

이미지

침해사고 타임라인

  • 2018. 12. 19
    PSEXEC.EXE 생성 (원격 접속, 명령어 전송 프로그램)
  • 2019. 01. 08
    • 01.08 18:50
    • 01.09 09:20
    원격 접속 및 파일 다운로드
    • 21x.xxx.x.xx (KR)에서 defaultes 계정으로 RCP 접속 성공 (3회 접속)
    • archive.zip (이터널 블루 Tool 및 다수의 해킹 프로그램 다운로드)
  • 2019. 04. 05
    • 04.05 11:33
    • 04.05 11:41
    • 04.05 11:45
    • 04.05 16:38
    1차 이터널 블루 취약점 공격
    • winlogon.exe, 악성파일 Dropper 생성 (연결 : 11x.xxx.xxx.xx (KR):xxxx)
    • 22x.xxx.xxx.xxx(KR)에서 dnsadmin 계정을 통하여 RDP, SMB 접속 (2회 접속)
    • 22x.xxx.xxx.xxx(KR)에서 Netuser 계정을 생성 및 접속 RDP, SMB 접속 (6회 접속)
    • EternalBlue 취약점 프로그램 실행, 내부 네트워크 대역 공격 시도(1차, 취약한 PC정보수집)
  • 2019. 04. 06
    • 04.06 11:03
    • 04.08 10:34
    • 04.08 10:58
    2차 이터널 블루 취약점 공격
    • svchost.exe 생성 (IP 스캐너)
    • DiskCryptor console 파일 생성
    • EternalBlue 취약점 프로그램 실행, 내부 네트워크 대역 공격 시도(2차, 취약한 PC정보수집)
  • 2019. 04. 09
    • 04.09 10:39
    • 04.09 15:09
    • 04.12 15:32
    • 04.15 09:50
    • 04.15 15:20
    악성파일 다운로드 및 DiskCrytor 서비스 등록
    • extemDC.zip (DiskCryptor 프로그램, PSEXEC 등 다운로드)
      (ftp://158.50.33.20(HK)/downloads/tmp/4/newfolder/extemDC.zip)
    • 취약점이 존재하는 PC에 대하여 PSEXEC 및 DiskCryptor 서비스 등록 진행
    • EternalBlue 취약점 프로그램 실행, 내부 네트워크 대역 공격 시도(3차, 취약한 PC정보수집)
    • EternalBlue 취약점 프로그램 실행, 내부 네트워크 대역 공격 시도(4차, 취약한 PC정보수집)
    • 대상 PC에 대한 Disk 암호화 및 shutdown 스케줄 등록 진행
  • 2019. 04. 15
    • 04.15 19:50
    스케줄에 의한 시스템 종료

함께 쓰면 좋으니까! 직접 추천 드리는 보안 서비스


시스템 보안 관제

ESM, SIEM 기반 A.I 보안관제로
보안 걱정 해결하세요!
  • 침해사고 CARE 서비스
  • 안티랜섬웨어/차세대 백신
  • 웹 방화벽
  • 웹쉘 탐지/복원

무엇이든 물어보세요

아이티이지 전문가가 궁금하신 점을 쉽고 빠르게 해결해 드리겠습니다.

고객센터 1600-8324
내선번호
  • 내선 1 서버 / IDC

  • 내선 2 클라우드

  • 내선 3 관리대행 / ITO

  • 내선 4 도메인

  • 내선 5 보안 서비스 문의

  • 내선 6 문자 / 카카오비즈메시지

  • 내선 7 Microsoft365

  • 내선 8 마케팅/서비스 제휴

  • 내선 9 홈페이지 제작

  • 내선 0 기타서비스

  • 내선 11 긴급 장애


휴일 긴급 연락처010-3124-8320

평일 9:00~18:00 (IDC 긴급 장애처리 24시간 운영)

FAX 02-6264-8321

문의하기