EMSISOFT EDR/안티랜섬웨어 - MOVEit 공격으로부터 배우기, 알아야 할 사항과 해야 할 일

EMSISOFT EDR/안티랜섬웨어  - MOVEit 공격으로부터 배우기, 알아야 할 사항과 해야 할 일

 

2023년 5월 마지막 날, Progress Software의 MOVEit 파일 전송 플랫폼 고객은 타협을 경험하기 시작했고 이러한 타협은 매우 큰 뉴스를 만들기 시작했습니다. 상당한 양의 데이터가 공격자에 의해 유출되었고 피해자는 데이터 공개와 관련하여 강탈당했습니다. 알려진 취약점에 대한 패치가 제공되었지만 이 손상 이벤트는 끝나지 않았습니다.

 

MOVEit 공격에 대한 EMSISOFT 안티랜섬웨어 정보 제공

MOVEit 공격은 이전에 알려지지 않은 하나 이상의 제로 데이 취약점을 이용했습니다. 즉, 고객이 패치 적용에 주의를 기울이더라도 취약점이 발견된 시점과 패치가 릴리스 및 적용되는 시점 사이에 여전히 취약하고 손상되었을 가능성이 매우 높습니다. . 추가 취약점이 발견되었으며 Progress에서 문제를 패치합니다. 

이러한 공격은 랜섬웨어 강탈의 오랜 역사를 가진 러시아어를 사용하는 사이버 범죄 그룹인 Cl0p에 기인합니다. 이 글을 쓰는 시점에서 미국 CISA 고위 관계자는 여러 국가의 여러 정부 기관이 피해를 입었음에도 불구하고 이러한 공격이 러시아 정부에 의해 조정되고 있다고 믿지 않는다고 밝혔습니다 .

왜 MOVEit인가?

MOVEit은 악용되는 첫 번째 파일 전송 플랫폼이 아닙니다. Bleeping Computer는 "과거에 Accellion FTA, GoAnywhere MFT 및 SolarWinds Serv-U에서 제로데이 취약점을 사용한 유사한 공격"이 있었다고 지적합니다 . 공격자의 동기를 확실하게 알 수는 없지만 파일 전송 응용 프로그램은 여러 가지 이유로 표적이 될 수 있습니다.

파일 전송 애플리케이션은 소규모 공급업체에서 개발하는 경향이 있으며 애플리케이션 보안과 관련하여 소규모 공급업체는 능력이 떨어진다는 인식이 지속적으로 존재합니다. 또한 파일 전송 애플리케이션은 개인이 아닌 조직에서 배포하는 경향이 있어 피해자가 비용을 지불할 가능성이 높아집니다. 마지막으로 가장 중요한 것은 이러한 애플리케이션이 데이터를 보유하고 있다는 것입니다. 

이 모든 것은 파일 전송 애플리케이션이 매력적인 표적이 되고 거의 확실하게 다시 표적이 될 것임을 의미합니다.

그래서 이것에 대해 무엇을 할 수 있습니까? 파일 전송이 필요하지만 이러한 플랫폼을 통해 라우팅되는 데이터를 어떻게 더 잘 보호할 수 있습니까?

 

알려지지 않은 것으로부터 보호

몇 가지 일반적인 "제로데이로부터 보호하는 방법" 조언으로 방어에 대해 논의해 보겠습니다.

 

• 응용 프로그램을 보호하기 위해 누구나 할 수 있는 가장 중요한 일은 패치를 적용하는 것입니다 . 패치는 제로 데이 공격으로부터 사용자를 보호하지는 않지만 알려진 취약점을 수정하여 공격 표면을 낮춥니다.
• 어떤 응용 프로그램이 취약할지 모른다면 취약성 스캐너를 시작하는 것이 좋습니다. 네트워크를 스캔하여 응용 프로그램과 해당 버전을 식별한 다음 해당 응용 프로그램의 패치가 뒤처져 있는지 알려줍니다.
• 응용 프로그램을 인터넷에 노출시키는 것은 그 자체로 큰 위험입니다. 가능한 경우 웹 애플리케이션 방화벽(WAF)을 사용하십시오 . WAF는 애플리케이션과 인터넷 사이에 위치하여 트래픽에 문제가 없는지 검사합니다. 그러나 WAF는 제한된 수의 애플리케이션에 대해서만 알고 있으며 공급업체가 취약한 애플리케이션에 사용할 수 있는 패치를 제공할 수 있는 것보다 더 빨리 새로운 공격자 기술에 대한 업데이트를 받지 못할 수 있습니다.
• 일반적으로 애플리케이션을 인터넷에 노출할 필요가 없다면 하지 마십시오. 가능한 경우 서비스에 액세스하려면 VPN이 필요합니다 . VPN이 실행 가능한 솔루션이 아닌 경우 특정 IP 주소의 액세스를 제외하고 애플리케이션에 대한 모든 액세스를 거부하도록 구성된 방화벽을 고려하십시오. 애플리케이션에 대한 액세스를 더 엄격하게 제어할수록 손상될 가능성이 줄어듭니다.
• 애플리케이션이 실행되는 서버에는 EDR(Endpoint Detection and Response) 방어 기능이 설치되어 작동해야 합니다. 장치에 EDR을 설치할 수 없는 경우(프린터 또는 스마트 전구 등) 해당 장치는 분리된 격리된 네트워크에 연결해야 합니다. EDR을 설치할 수 없는 모든 항목을 이미 손상된 것으로 취급하고 중요한 파일이나 기타 데이터를 호스트할 수 있는 네트워크의 모든 항목에서 멀리 유지하십시오.
• 정기적인 로그 분석은 위의 접근 방식이 놓친 공격을 포착할 수 있는 가능성을 제공하지만 이를 위해서는 해당 응용 프로그램에 대한 상당한 지식이 필요합니다.
• 마지막으로 침해 사건이 발생할 때를 대비한 사고 대응 계획을 준비하십시오 . 침해 확산을 방지하기 위해 네트워크를 잠그는 방법, 포렌식 분석을 위해 데이터를 캡처하는 방법, 필요한 경우 해당 데이터를 검토하는 데 도움을 줄 수 있는 타사 보안 전문가와 기존 관계를 유지하는 방법을 알고 있습니다.

 

이 모든 조언은 다소 일반적이지만(알려지지 않은 모든 공격으로부터 모든 것을 보호하는 방법은 다소 광범위한 주제 공간) 파일 전송 애플리케이션을 구체적으로 방어하는 방법에 대한 조언은 더 세분화할 수 있습니다.

 

파일 전송 플랫폼 보호

파일 전송 애플리케이션에는 일반적으로 사용자 자격 증명을 기반으로 액세스를 제한하는 기능이 있습니다. 각 사용자에 대한 개별 자격 증명을 보유하고 각 사용자의 액세스를 반드시 액세스 권한이 있어야 하는 항목으로 가능한 한 많이 제한하는 것이 중요합니다. 제로 데이 공격으로부터 직접 보호하지는 못하지만 일부 공격이 발생하는 시기를 감지하는 데 도움이 될 수 있습니다. 이제 파일 전송 애플리케이션에서 볼 수 있는 몇 가지 광범위한 제로 데이 공격 범주를 살펴보겠습니다.

 

• 첫 번째는 한 사용자가 다른 사용자의 데이터에 액세스할 수 있는 취약점입니다. 취약점의 특정 세부 사항에 따라 기본 파일 서버 수준에서 파일 및 폴더 제한(파일 전송 응용 프로그램에서 제공하는 제한 사항에 추가)을 갖는 것이 여기에서 도움이 될 수 있습니다. 어떤 IP가 어떤 사용자 자격 증명에 정기적으로 액세스하는지 추적하는 자동화된 로그 파일 분석도 여기에서 도움이 될 수 있습니다. 사용자 계정이 일반적으로 해당 계정과 연결되지 않았거나 일반적으로 다른 계정.
• 또 다른 유형의 취약성은 공격자가 먼저 한 사용자의 데이터를 손상시키지 않고도 모든 사용자의 데이터에 액세스할 수 있도록 허용하는 것입니다. 여기에서 비정상적인 수준의 활동 또는 일반적이지 않은 명령 사용을 찾을 수 있는 로그 파일 분석이 매우 유용합니다. 하나 이상의 허니팟 서버를 배포하면 여기에서도 도움이 될 수 있습니다. 실제처럼 보이는 서버를 설정합니다. 여러 개의 (가짜) 사용자 계정이 있고 각 계정에 (시뮬레이션된) 데이터가 있습니다. 여기에 로그 파일 분석기를 붙이고 로그 파일 분석기가 로그인 시도 이외의 다른 항목(로그인 성공, 파일 전송 등)을 발견하면 문제가 있다는 것을 알게 되며 실제 라이브 서버에 적용하는 것.
• 파일 전송 애플리케이션에서 발생할 수 있는 마지막 주요 제로 데이 취약점 유형이자 MOVEit 공격을 가능하게 한 취약점은 임의 코드 실행입니다.이것은 공격자가 응용 프로그램에 존재하는 모든 방어를 바로 날려버릴 수 있고 실제로 파일 전송 응용 프로그램을 호스팅하는 운영 체제가 페이로드를 실행하도록 할 수 있음을 의미합니다. MOVEit의 경우 SQL 인젝션 취약점이 악용되어 랜섬웨어 페이로드가 폭파되었습니다. 그런 다음 랜섬웨어는 MOVEit 소프트웨어 자체를 통해 데이터가 유출되는 대신 데이터를 유출하는 작업을 수행했습니다. 이러한 유형의 제로 데이 취약점은 모든 애플리케이션, 파일 전송 등에 영향을 미칠 수 있습니다. 그리고 대부분의 일반적인 제로 데이 완화 조언과 마찬가지로 "모든 것이 다른 것과 접촉하지 않도록 하십시오"가 가장 좋은 조언입니다.

 

귀하의 방어는 파일 전송 응용 프로그램이 실행되는 권한을 제한하는 것으로 시작됩니다. 가능하면 관리자 수준 권한으로 해당 응용 프로그램을 실행하지 마십시오. 자체 컨테이너나 가상 머신에서 잠글 수 있다면 그렇게 하십시오. 완전히 격리된 네트워크에 있을 수 있다면 훨씬 더 좋습니다. 어떤 상황에서도 파일 전송 애플리케이션이 작업을 수행하는 데 절대적으로 필요하지 않은 파일 하나에 액세스할 수 없어야 합니다.

여기에서 고객이 실제로 파일 전송 응용 프로그램을 사용하는 방법에 대해 알고 있으면 도움이 될 수 있습니다. 고객이 귀하에게 파일을 업로드하기 위해 파일 전송 애플리케이션이 독점적으로 사용되는 사용 사례를 고려하십시오. 이 경우 백그라운드에서 실행되고 파일 업로드가 완료되면 스캔하는 스크립트가 있습니다. 작업이 완료되는 즉시 해당 파일을 파일 전송 서버에서 파일 전송 서버가 액세스할 수 없는 저장소 위치로 이동합니다. 이렇게 하면 파일 전송 애플리케이션이 임의의 코드 실행을 허용하는 제로 데이에 의해 손상되는 경우 코드가 어떤 데이터에도 액세스할 수 없습니다.

파일 전송 애플리케이션을 통해 사용자가 데이터를 사용할 수 있도록 해야 하는 경우 최소한 파일 전송 서버에서 실행되는 악성 애플리케이션이 사용할 수 있는 모든 자격 증명에 대해 읽기 전용으로 만들 수 있는지 여부를 고려하십시오. 이렇게 하면 최소한 "공격자가 데이터를 보았을 수 있음"으로 문제의 잠재적 범위를 좁히고 "공격자가 데이터를 수정 및/또는 삭제했을 수 있음"을 다루지 않습니다.

 

EMSISOFT의 결론 

제로데이 취약점으로부터 파일 전송 애플리케이션을 방어하는 것은 실제로 최소 권한 원칙 으로 귀결됩니다 . 네트워크에 연결된 모든 것이 절대적으로 필요한 대상과만 통신할 수 있고 가능한 모든 항목에 EDR이 설치되어 있는지 확인하십시오. 일정 수준의 영구적인 권한 있는 액세스를 절대적으로 제공해야 하는 경우 파일 전송 서비스에 액세스하려면 가능하면 사용자가 VPN을 사용해야 합니다.

지금 다운로드: Emsisoft Anti-Malware 무료 평가판

세계 최고의 랜섬웨어 전문가가 제공하는 바이러스 백신 소프트웨어입니다. 지금 무료 평가판을 받으세요.지금 사용해 보세요. 아래 링크에 접속하여 무료 평가판을 사용해 보세요.

 

https://www.emsisoft.co.kr 

EMSISOFT 차세대 백신 EDR