악성 CrowdStrike 도메인 분석: 영향을 받는 대상과 향후 발생할 수 있는 문제

편집 및 추가 설명: 트리샤 하워드(Tricia Howard)
카피 편집: 마리아 블라삭(Maria Vlasak)

2024년 7월 19일 금요일, 최근 CrowdStrike Falcon 콘텐츠 업데이트 이후 디바이스 대부분에서 블루스크린이 나타나는 현상으로 전 세계가 떠들썩했습니다. 이 업데이트로 인해 Windows 호스트에서 버그 검사가 트리거되어 전 세계적으로 BSOD(Blue Screens Of Death)가 발생했고, 여러 지역에서 수십억 건의 시스템 중단이 발생했습니다.

전 세계적으로 850만 대의 디바이스 가 영향을 받은 이번 서비스 중단으로 항공, 정부, 헬스케어같은 중요 서비스를 포함한 거의 모든 업계가 타격을 입었으며, 일부는 인시던트 발생 후 며칠이 지난 후에도 실제적인 영향을 미쳤습니다.

뉴스에 보도될 만한 사건의 경우 종종 그렇듯이, 공격자들은 업데이트로 인한 광범위한 혼돈과 혼란에 편승해 상황을 악용하려고 즉시 시도했습니다. 서비스 중단의 규모와 이를 둘러싼 뉴스의 보도 범위로 인해 당황한 많은 사용자가 어디서든 답을 찾을 수 있는 정보를 찾게 되었습니다.

이러한 상위 도메인의 시장 점유율은 거의 비슷했습니다. 이러한 도메인의 대부분은 [.]com 최상위 도메인을 가지고 있으며, 이는 어디에나 있기 때문에 미묘한 정상성을 가지고 있습니다. 여러 도메인에서 ‘bsod’ 및 ‘microsoft’와 같은 일반적인 키워드가 발견되는데, 이러한 키워드는 지식에 굶주린 피해자가 정보 수집을 위해 자주 사용하는 부수적인 검색어입니다.

첨단 기술과 금융 서비스가 제로데이 공격의 가장 큰 피해자가 되는 것은 익숙한  일이지만 29% 이상을 차지하는 비영리 및 교육 부문과 공공 부문이 눈에 띕니다. 이 업계는 문제 해결 측면에서도 큰 영향을 받습니다. 단일 캠퍼스의 학생용 관리 디바이스 수는 교육기관의 규모에 따라 수천 대에 달할 수 있기 때문입니다.

교육 부문은 또한 기술에 전혀 익숙하지 않은 사람들을 포함해 다양한 기술 수준을 가진 사람들에게 의존합니다. IT 예산이 증가함에도 불구하고 교육 기관의 소규모 보안 팀은 이러한 환경을 보호하는 데 있어 시지프스적인 과제를 안고 있는 경우가 많습니다. 소셜 엔지니어링 경험이 있는 공격자는 이러한 취약점을 인지하고 이를 악용할 수 있으며, 이는 많은 양의 트래픽을 유발할 수도 있습니다.

이러한 피싱 캠페인은 기업 환경에 필적하는 기술을 갖춘 전문 공격자가 조율하는 경우 안정적인 인프라 의 일부가 되는 것이 일반적입니다. 이러한 더 정교한 캠페인은 장애 복구 및 난독화 메커니즘을 갖추고 있으며 빠르게 외관을 변경할 수 있습니다. 이 캠페인에서 관찰된 도메인 중 하나는 팬데믹의 어려움을 악용한 알려진 악성 소스와 연결되어 있습니다.

또한 이러한 사이트 중 상당수는 SSL 유효성 검사 또는 IT 지원과 같이 사용자가 보안과 연관시키는 데 익숙한 신뢰 구축 활동 이 내장되어 있습니다. 이 블로그 게시일 현재 180개 이상의 다양한 도메인이 확인되었으며, 모두 7월 19일과 7월 21일 사이에 등록되었습니다. 해결 프로세스가 계속 진행됨에 따라 그 수는 더 늘어날 가능성이 높습니다.

이러한 사이트의 영향력은 놀라울 정도로 크며, 이는 해당 사이트로 향하는 트래픽이 얼마나 많은지를 통해 입증됩니다. 이러한 사이트는 수백만 건의 조회수를 기록했으며 일부는 해당 기간 동안 전 세계 관련 키워드 상위 20만 개 도메인에 랭크되기도 했다고 AkaRank는 밝혔습니다.

Akamai는 가장 많이 트래픽이 발생한 도메인을 분석해 이들의 수법을 살펴본 결과, 가짜 IT 서비스, 가짜 솔루션, 가짜 법률 지원 등 정상성을 가장하는 방식에 따라 몇 가지 사이트를 그룹화했습니다. 참고: 이러한 악성 사이트의 일부 고급 사례에는 ‘전화 지원’ 또는 실제 CrowdStrike 사이트로 리디렉션하는 등의 다른 속임수도 포함되어 있어 의심하지 않는 사용자에게 더 신뢰를 쌓을 수 있습니다.

이러한 종류의 사기 사이트는 빠른 복구를 도와줄 수 있는 IT 전문 인력인 것처럼 가장하고 목소리 톤도 마찬가지로 긴박합니다. 이러한 긴급한 상황은 방문자가 개인정보를 제공하도록 유도할 수 있으며, 이는 피싱의 일반적인 특징입니다. 피싱의 목표는 사용자 입력에서 직접 민감한 정보를 훔치는 것입니다.

지침을 간략히 읽어보면 정상적인 해결 방법인 것처럼 보입니다. 파일 이름은 ‘CrowdStrike’이며, 현재 문제를 언급하고 합리적인 수의 단계를 제공합니다. 업무 복귀를 원하는 순진한 피해자가 스스로 자신의 환경에 멀웨어를 쉽게 도입할 수 있습니다.

이 특정 IOC(crowdstrikeclaim[.]com)는 널리 퍼져 있는 피싱 인프라의 일부일 가능성이 높기 때문에 눈에 띄었습니다. 이 분석에 참여한 Akamai 보안 인텔리전스 대응팀은 이 도메인에 악성인 것으로 알려진 Facebook ID가 내장되어 있는 것을 확인했으며, 이 ID는 covid19-business-help.qualified-case[.]com으로 연결되는 데 사용되었습니다. 해당 사이트에는 약 40개의 다른 웹사이트로 연결되는 또 다른 임베드된 Facebook ID가 있습니다.

서비스 중단의 영향을 받아 정보를 찾고 있는 경우 CrowdStrike 또는 Microsoft와 같은 신뢰할 수 있는 출처를 참조하는 것이 좋습니다. 다른 사이트가 더 최신 정보를 제공하는 것처럼 보일 수 있지만 정확하지 않거나 악의적인 목적을 가진 사이트일 수 있습니다.

CrowdStrike 서비스 중단에 대한 지원을 제공한다고 주장하는 페이지에 접속한 경우, 몇 가지 방법으로 정상성을 확인할 수 있습니다.

• 도메인의 인증서 및 발급자를 확인 (HTTPS를 통해 접속할 때)

• 민감한 정보를 요청하는 도메인은 불법 도메인일 가능성이 높으므로 주의(신용카드 번호, 주민등록번호, 은행 정보 등의 정보) 

• 오직 CrowdStrike에서 직접 제공하는 복구 정보만 따르기

• 문제를 해결할 수 있다고 주장하는 이메일 첨부 파일을 열지 말 것(CrowdStrike와 유사한 도메인에서 보낸 것이라도 마찬가지)

이 인시던트의 영향을 처리하는 보안 전문가도 문제를 해결하고 추가 노출을 제한하는 데 도움이 되는 몇 가지 방법이 있습니다.

• 측면 이동 간극 분석 또는 공격자 에뮬레이션을 수행하세요. 금전적 이득을 노리는 공격자는 랜섬웨어를 환경에 유포할 기회를 더 많이 찾을 것입니다. 악용할 CVE는 아니지만 보안 스택의 중요한 부분을 알고 있는 공격자로부터 잠재적인 기술적 영향을 받을 수 있습니다. 위협 환경에 대한 현재 상황을 파악하기 위해 간극 분석 또는 적대적 에뮬레이션 을 권장합니다.

• 알려진 IOC와 관련 IOC를 차단하세요. 이 캠페인과 관련된 알려진 IOC에 대한 신뢰할 수 있는 정보 출처는 Akamai가 구축한 목록을 포함하여 여러 가지가 있습니다. 이 목록이 자체 리스크 관리 분석과 일치하는 경우 해당 도메인을 완전히 차단하거나 DNS 싱크홀을 통해 악성 도메인과의 통신을 차단하세요. 

모든 디바이스가 수정되는 시점 이후에도 이 문제와 관련된 피싱 시도가 더 많이 발생할 가능성이 높습니다. 공격자는 소셜 미디어를 간단히 스크롤하는 것만으로도  어떤 브랜드가 가장 사람들의 감정을 자극하고 어떤 브랜드가 악의적인 이득을 위해 사칭하기에 적합한지 파악할 수 있습니다.

이것이 바로 공격자가 하는 일이며, 이를 기억하는 것이 중요합니다. 악성 캠페인 운영은 정상적인 기업에서 하는 것과 똑같이 작동합니다. 피해자는 공격자의 ‘고객’이며, 이 게시물에 소개된 다양한 기법은 공격자가 고객과 얼마나 ‘밀착’되어 있는지를 보여줍니다. 공격자는 포트폴리오를 효과적으로 다각화해 은행에 돈을 입금할 수 있는 방법을 알고 있습니다.

이 인시던트의 공개적인 특성으로 인해 공격자들이 특정 표적의 기술 스택을 더 잘 이해할 수 있게 되었다는 점도 주목할 만합니다. 이는 향후 Falcon 제품 내에서 CVE가 발견될 경우 관련성이 높아질 수 있습니다. 공격자들은 점점 더 정교해지고 있으며, 기술 스택 퍼즐의 조각이 하나씩 추가될 때마다 퍼즐을 풀기가 더 쉬워집니다.