Ryuk

DarkSide (hacking group)

WannaCry

<p>도메인에서 랜섬웨어로부터 보호하는 강화 조치를 구현하도록 합니다.</p>


<p>랜섬웨어는 오늘날 우리가 직면한 가장 파괴적인 글로벌 사이버 위협입니다. 이 위협은 사실상 모든 산업에 영향을 미치고 있으며 다양한 근본 원인에서 발생하며 보안팀은 방어 전략에서 이것을 고려해야 합니다.</p>


랜섬웨어에 대한 강화 부족

모든 Office 애플리케이션에 영향을 미치는 VBA (매크로) 기본 비활성화 구성을 구성하는 데 사용하는 매개 변수가 예상 값과 일치하지 않습니다.

모든 Office 애플리케이션에 영향을 미치는 VBA(매크로) 기본 비활성화 구성에 대한 안전하지 않은 구성

WSH를 구성하는 데 사용하는 매개 변수가 예상 값과 일치하지 않습니다.

WSH 비활성화에 대한 안전하지 않은 구성

AppLocker 규칙 적용을 구성하는 데 사용하는 매개 변수가 예상 값과 일치하지 않습니다.

AppLocker 규칙 적용에 대한 안전하지 않은 구성

AppLocker 스크립트 규칙 적용을 구성하는 데 사용하는 매개 변수를 환경에서 사용하지 않습니다.

AppLocker 스크립트 규칙 적용을 구성하기 위한 GPO 없음

위험한 확장자에 대해 기본 파일 연결(OpenWith)을 구성하는 데 사용하는 매개 변수를 환경에서 사용하지 않습니다.

위험한 확장자에 대한 기본 파일 연결(OpenWith)을 구성하기 위한 GPO 없음

모든 Office 애플리케이션에 영향을 미치는 VBA(매크로) 기본 비활성화 구성을 구성하는 데 사용하는 매개 변수를 환경에서 사용하지 않습니다.

모든 Office 애플리케이션에 영향을 미치는 VBA(매크로) 기본 비활성화 구성을 구성하기 위한 GPO 없음

강력한 PowerShell 실행 정책을 구성하는 데 사용하는 매개 변수를 환경에서 사용하지 않습니다.

강력한 PowerShell 실행 정책 구성을 위한 GPO가 없음

WSH의 비활성화를 구성하는 데 사용하는 매개 변수를 환경에서 사용하지 않습니다.

WSH의 비활성화를 구성하기 위한 GPO 없음

위험한 확장자에 대한 기본 파일 연결(OpenWith) 구성에 사용하는 매개 변수가 예상 값과 일치하지 않습니다.

위험한 파일 연결에 대한 안전하지 않은 구성

강력한 PowerShell 실행 정책을 구성하는 데 사용되는 매개 변수가 예상 값과 일치하지 않습니다.

안전하지 않은 PowerShell 실행 정책 구성

AppLocker 실행 파일 규칙 적용을 구성하는 데 사용하는 매개 변수를 환경에서 사용하지 않습니다.

AppLocker 실행 파일 규칙 적용을 구성하기 위한 GPO 없음

PowerShell Constrained Language Mode(CLM)은 환경 변수를 통해 적용되며 Microsoft에서 권장하지 않습니다( 내용은 IoE 설명 참조). 이 구성은 공격자가 손쉽게 환경 변수를 변경하여 제약된 언어 모드 적용을 제거할 수 있기 때문에 위험합니다.

PowerShell Constrained Language Mode(CLM)의 안전하지 않은 구성

위험한 확장자에 대한 기본 파일 연결 설정이 사용자가 있는 모든 컨테이너에 적용되지 않았습니다.

위험한 파일 연결에 대한 안전한 구성이 모든 사용자에게 적용되지 않음

모든 Office 애플리케이션에 영향을 미치는 VBA (매크로) 기본 비활성화 구성이 컴퓨터를 포함하는 모든 컨테이너에서 구성되지 않았습니다.

VBA (매크로) 기본 비활성화에 대한 안전한 구성이 모든 컴퓨터에 적용되지 않음

PowerShell 실행 정책 설정이 컴퓨터를 포함한 모든 컨테이너에 적용되지 않았습니다.

PowerShell 실행 정책의 안전한 구성이 모든 컴퓨터에 적용되지 않음

WSH 사용 중지가 컴퓨터를 포함하는 모든 컨테이너에 적용되지 않았습니다.

WSH를 사용 중지하는 설정의 안전한 구성이 모든 컴퓨터에 적용되지 않음

Office 문서에 포함된 매크로가 등록된 AMSI 엔진으로 전송되지 않습니다.

탐지

랜섬웨어에 대한 강화 부족

medium

설명

솔루션

참고 항목

지표 세부 정보

공격자가 알려진 도구