이 기사에서는 Windows Server 2012 R2를 실행하는 파일 서버에서 FSRM(파일 서버 리소스 관리자) 기능을 사용하여 랜섬웨어를 탐지하고 차단하는 방법을 고려할 것입니다. 특히 파일 서버에 FSRM 서비스를 설치하는 방법, 파일 차단을 구성하는 방법, 랜섬웨어 감지가 공유에 대한 사용자 액세스를 차단하는 경우에 대해 설명합니다.
FSRM을 사용하여 랜섬웨어를 탐지하는 방법
파일 서버 리소스 관리자(FSRM) 기능이 파일 서버에 설치되어 있지 않으면 서버 관리자 그래픽 콘솔 또는 PowerShell 명령 프롬프트를 사용하여 설치하세요.
Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools
역할이 설치되었는지 확인하십시오.
Get-WindowsFeature -Name FS-Resource-Manager
기능이 설치된 후 서버를 다시 시작하십시오.
이메일 알림을 보내도록 FSRM의 SMTP 설정을 구성하는 방법
다음 단계는 관리자에게 이메일 알림을 보내기 위해 FSRM의 SMTP 설정을 구성하는 것입니다. 이를 수행하려면 fsrm.msc를 시작하세요. , 파일 서버 리소스 관리자 콘솔의 루트를 마우스 오른쪽 버튼으로 클릭하고 옵션 구성을 선택합니다. .
SMTP 서버 이름 또는 IP 주소, 관리자 및 발신자 이메일 주소를 지정합니다.
팁 . 내부 메일 서버가 없는 경우 SMTP 릴레이를 사용하여 메일 보내기를 구성할 수 있습니다.
SMTP 서버가 올바르게 구성되었는지 확인하려면 테스트 이메일 보내기 버튼을 사용하여 테스트 이메일을 보내십시오.
FSRM의 SMTP 설정은 PowerShell에서도 구성할 수 있습니다.
Set-FsrmSetting -AdminEmailAddress "FileServerAdmins@adatum.com" –smtpserver smtp.adatum.com –FromEmailAddress "FSRM@LON-FS02.adatum.com"
랜섬웨어용 파일 확장자 그룹을 만드는 방법
다음 단계는 작업 중 암호화 맬웨어에 의해 생성된 알려진 확장자와 파일 이름을 포함하는 파일 그룹을 만드는 것입니다.
이 목록은 FSRM 콘솔에서 만들 수 있습니다. 이를 수행하려면 파일 차단 관리 -> 파일 그룹을 확장합니다. 파일 그룹 만들기를 선택합니다. .
그룹 이름을 지정해야 합니다(예:암호화 파일 ) 포함할 파일을 사용하여 알려진 모든 확장자를 목록에 입력합니다. 필드.
랜섬웨어에 의해 생성된 알려진 파일 확장자의 목록은 상당히 길기 때문에 PowerShell을 사용하여 생성하는 것이 더 쉽습니다.
Windows Server 2012에서는 다음과 같이 PowerShell을 사용하여 파일 그룹을 만들 수 있습니다.
New-FsrmFileGroup -Name "Crypto-files" –IncludePattern @("_Locky_recover_instructions.txt","DECRYPT_INSTRUCTIONS.TXT", "DECRYPT_INSTRUCTION.TXT", "HELP_DECRYPT.TXT", "HELP_DECRYPT.HTML", "DecryptAllFiles.txt", "enc_files.txt", "HowDecrypt.txt", "How_Decrypt.txt", "How_Decrypt.html", "HELP_RESTORE_FILES.txt", , "restore_files*.txt", "restore_files.txt", "RECOVERY_KEY.TXT", "how to decrypt aes files.lnk", "HELP_DECRYPT.PNG", "HELP_DECRYPT.lnk", "DecryptAllFiles*.txt", "Decrypt.exe", "AllFilesAreLocked*.bmp", "MESSAGE.txt","*.locky","*.ezz", "*.ecc", "*.exx", "*.7z.encrypted", "*.ctbl", "*.encrypted", "*.aaa", "*.xtbl", "*.abc", "*.JUST", "*.EnCiPhErEd", "*.cryptolocker","*.micro","*.vvv")
Windows Server 2008 R2에서는 filescrn.exe를 사용해야 합니다.
filescrn.exe filegroup add /filegroup:"Crypto-files" /members:"DECRYPT_INSTRUCTIONS.TXT|DECRYPT_INSTRUCTION.TXT| DecryptAllFiles.txt|enc_files.txt|HowDecrypt.txt|How_Decrypt.txt| How_Decrypt.html|HELP_TO_DECRYPT_YOUR_FILES.txt|HELP_RESTORE_FILES.txt| HELP_TO_SAVE_FILES.txt|restore_files*.txt| restore_files.txt|RECOVERY_KEY.TXT|HELP_DECRYPT.PNG|HELP_DECRYPT.lnk| DecryptAllFiles*.txt|Decrypt.exe|ATTENTION!!!.txt|AllFilesAreLocked*.bmp| MESSAGE.txt|*.locky|*.ezz|*.ecc|*.exx|*.7z.encrypted|*.ctbl| *.encrypted|*.aaa|*.xtbl|*.EnCiPhErEd|*.cryptolocker|*.micro|*.vvv| *.ecc|*.ezz|*.exx|*.zzz|*.xyz|*.aaa|*.abc|*.ccc|*.vvv|*.xxx| *.ttt|*.micro|*.encrypted|*.locked|*.crypto|*_crypt|*.crinf| *.r5a|*.XRNT|*.XTBL|*.crypt|*.R16M01D05|*.pzdc|*.good| *.LOL!|*.OMG!|*.RDM|*.RRK|*.encryptedRSA|*.crjoker| *.LeChiffre|*.keybtc@inbox_com|*.0x0|*.bleep|*.1999| *.vault|*.HA3|*.toxcrypt|*.magic|*.SUPERCRYPT|*.CTBL|*.CTB2|*.locky"
https://www.bleib-virenfrei.de/ransomware/
https://fsrm.experiant.ca/api/v1/combined
두 번째 경우에는 Invoke-WebRequest를 사용하여 웹 서버에서 직접 FSRM에 대한 최신 파일 확장자 목록을 다운로드할 수 있습니다.
new-FsrmFileGroup -name "Anti-Ransomware File Groups" -IncludePattern @((Invoke-WebRequest -Uri "https://fsrm.experiant.ca/api/v1/combined").content | convertfrom-json | % {$_.filters})
또는 준비된 파일 crypto_extensions.txt를 사용하십시오. 이 파일을 디스크에 저장하고 생성된 FSRM 파일 그룹을 업데이트할 수 있습니다.
$ext_list = Get-Content .\ransomware_extensions.txt Set-FsrmFileGroup -Name "Crypto-files" -IncludePattern ($ext_list)
파일 차단 템플릿 구성
새 파일 차단 템플릿을 만들어 FSRM이 이러한 파일을 감지하는 경우 수행해야 하는 작업을 결정합니다. 이를 수행하려면 FSRM 콘솔에서 파일 차단 관리 -> 파일 차단 템플릿으로 이동합니다. . 파일 차단 템플릿 만들기를 선택하여 새 템플릿을 만듭니다. .
설정 탭에서 템플릿 이름 "Block_crypto_files를 지정합니다. ', 심사 유형 능동 심사 (이러한 파일 형식을 저장하도록 허용하지 않음) 파일 그룹 목록에서 Crypto-Files를 선택합니다.
이메일 메시지에서 탭에서 이메일 알림 전송을 활성화하고 메시지 제목과 본문의 텍스트를 지정합니다.
이벤트 로그 탭에서 사용자 이름만 지정하는 메모와 함께 시스템 로그에 항목 만들기 확인:[소스 Io 소유자]
명령에서 탭에서 이러한 파일 형식 중 하나가 감지된 경우 수행할 작업을 선택할 수 있습니다. 잠시 후에 다루도록 하겠습니다.
변경 사항을 저장합니다. 목록에 템플릿이 하나 더 표시됩니다.
디스크 또는 폴더에 파일 차단 템플릿을 적용하는 방법
이제 생성된 템플릿을 서버의 디스크 또는 네트워크 공유에 할당하기만 하면 됩니다. FSRM 콘솔에서 새 규칙 Create File Screen을 만듭니다. .
파일 화면 경로 필드에 랜섬웨어로부터 보호할 로컬 디스크 또는 디렉터리 경로를 지정하고 템플릿 목록에서 앞서 생성한 Block_crypto_files 템플릿을 선택합니다.
랜섬웨어에 감염된 사용자 자동 차단
이제 암호화 맬웨어에 의해 생성된 파일이 탐지되는 경우 FSRM이 수행할 작업을 구성해야 합니다. 준비된 스크립트를 사용합니다. FSRM 및 Powershell을 사용하여 랜섬웨어로부터 파일 서버 보호 (https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce). 이 스크립트는 무엇을 합니까? 네트워크 공유에 금지된 파일 형식을 쓰려고 할 때 FSRM은 이벤트 로그를 분석하고 사용자가 공유 폴더에 파일을 쓰는 것을 금지하는 이 스크립트를 실행합니다. 따라서 감염된 사용자의 네트워크 공유 액세스가 차단됩니다.
이 스크립트를 다운로드하고 파일 서버의 C:\ 디렉토리 루트에 압축을 풉니다. SubInACL 복사 (네트워크 공유에 대한 권한을 변경할 수 있는 도구)를 동일한 디렉토리로 이동합니다. 다음 파일은 디렉터리에 있어야 합니다.
- RansomwareBlockSmb.ps1
- RansomwareBlockSmb.cmd 시작
- subinacl.exe
$SubinaclCmd = "C:\subinacl /verbose=1 /share \\127.0.0.1\" + "$SharePart" + " /deny=" + "$BadUser"
그리고
if ($Rule -match "Crypto-Files")
"암호화 파일 차단" 템플릿 설정의 명령 탭에서 StartRansomwareBlockSmb.cmd 인수가 포함된 명령 프롬프트가 시작되어야 함을 지정합니다.
다음 명령 또는 스크립트 실행: c:\windows\system32\cmd.exe
명령 인수 :/c “c:\StartRansomwareBlockSmb.cmd”
명령은 로컬 시스템으로 실행해야 합니다.
FSRM 보호 테스트
랜섬웨어에 대한 FSRM 보호 방법을 테스트해 보겠습니다. 이렇게 하려면 보호된 디렉터리에 확장자가 있는 파일을 만들고 이 확장자를 금지된 확장자 .locky로 변경해 보세요.
금지된 파일을 저장하려고 할 때 FSRM은 로그에 항목을 만듭니다.
Event ID: 8215
Source: SRMSVC
로그의 데이터를 기반으로 RansomwareBlockSmb.ps1 스크립트는 공유 액세스 권한을 변경하여 현재 사용자가 이 디렉터리에 액세스하는 것을 금지합니다.
보호가 작동합니다! 디스크의 루트에 있는 로그에서 랜섬웨어 실행을 시도한 디렉터리와 사용자 계정을 볼 수 있습니다.
더 높은 보호 수준이 필요한 경우 파일의 블랙리스트에서 화이트리스트로 전환하면 허용된 파일 형식만 저장할 수 있습니다.
그래서 컴퓨터가 랜섬웨어에 감염된 사용자의 네트워크 공유 액세스를 자동으로 차단하는 방법을 고려했습니다. 당연히 이런 식으로 FSRM을 사용하면 이러한 종류의 멀웨어로부터 서버의 파일을 완전히 보호할 수 없지만 보호 수준 중 하나로 적합합니다. 다음 기사에서는 암호화 랜섬웨어에 대한 보호의 또 다른 변형을 고려할 것입니다.
- 랜섬웨어에 감염된 후 VSS 스냅샷에서 사용자 파일을 복구하는 방법
- 랜섬웨어 방지를 위한 소프트웨어 제한 정책