(1) 개요

• 2024년 7월 19일, Windows 운영 체제에 영향을 미치는 CrowdStrike Falcon® 센서의 최신 패치 업데이트에 윈도우 시스템이 비정상 종료(BSOD)되는 문제가 발생하여 수정 사항이 즉시 배포됨.
• CrowdStrike가 배포한 잘못된 업데이트로 인해 전 세계의 Windows 컴퓨터에서 BSoD 화면이 나타나 광범위한 글로벌 혼란이 일어남.
• 위협 행위자들은 이 이벤트를 악용하여 라틴 아메리카(LATAM)에 있는 CrowdStrike 고객의 Windows 시스템을 타겟으로 하는 악성 파일을 배포하기도 하였음.

링크: https://cybersecuritynews.com/threat-actor-exploits-crowdstrike-falcon-sensor-issues/

https://securityaffairs.com/165920/security/crowdstrike-epic-fail-crashed-windows.html

(2) 피해 규모

• Microsoft는 전 세계적으로 850만 대의 컴퓨터가 글로벌 IT 서비스 중단으로 인해 사용할 수 없게 되었을 것으로 추정한다고 밝혔음.
• 호주 시드니 공항에서 여행객들은 지연과 취소를 겪었고, 홍콩, 인도, 두바이, 베를린, 암스테르담에서도 마찬가지로 피해를 겪음. 연방항공청에 따르면, Allegiant Air, American, Delta, Spirit, United 등 최소 5개 미국 항공사가 모든 항공편을 한동안 중단하였음.
• 7개 주에 52개 병원을 둔 Providence Health의 최고정보책임자인 BJ 무어는 "우리는 재앙이 다가왔다는 걸 알았습니다."라고 말하며 그는 15,000대의 서버가 다운되었고 Providence의 150,000대 컴퓨터 중 40,000대가 영향을 받았으며, "사이버 공격보다 더 심각합니다."라고 덧붙였음.
• 미국에서 가장 큰 은행 중 하나인 TD Bank의 고객은 온라인 계좌에 접속하는 데 문제가 있다고 보고하며,여러 주 및 지방 법원 시스템은 정전으로 인해 하루 종일 문을 닫았음.

링크: https://www.nytimes.com/2024/07/19/business/microsoft-outage-cause-azure-crowdstrike.html

https://www.bbc.com/news/articles/cpe3zgznwjno

(3) 기술적 세부사항

윈도우즈 시스템에서 채널 파일은 다음 디렉터리에 있음.

C:\Windows\System32\drivers\CrowdStrike\

"로 시작하는 파일 이름이 있음.C-”. 각 채널 파일에는 고유 식별자로 번호가 할당됨. 이 이벤트의 영향을 받는 채널 파일은 291이며 ""로 시작하는 파일 이름을 가짐.C-00000291-” 그리고 a로 끝남. .sys 연장의 채널 파일은 SYS 확장자로 끝나지만, 커널 드라이버가 아님.

채널 파일 291은 Falcon이 명명된 파이프를 평가하는 방법을 제어함. Windows 시스템에서 실행됨. 명명된 파이프는 Windows에서 일반, 프로세서 간 또는 시스템 간 통신에 사용됨.

UTC 04:09에 발생한 업데이트는 사이버 공격에서 일반적인 C2 프레임워크에서 사용되는 새로 관찰되고 악의적인 명명된 파이프를 대상으로 설계되었음. 구성 업데이트에서 논리 오류가 트리거되어 운영 체제가 충돌하였음.

링크: https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

(4) CrowdStrike 문제를 악용한 공격 분석

해당 공격 분석은 공격자가 CrowdStrike 문제를 악용해 RemCos 맬웨어로 Windows 시스템 공격을 한 사례임.

ZIP 아카이브( SHA256: c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2)에는 컨텐츠 업데이트 문제를 해결하는 유틸리티인 것처럼 위장한 스페인어 지침이 포함되어 있음.

사용자는 DLL 검색 순서 하이재킹을 통해 HijackLoader를 로드하는 Setup.exe( )을 실행하라는 메시지를 받음.

SHA256: 5ae3838d77c2102766538f783d0a4b4205e7d2cdba4e0ad2ab332dc8ab32fea9

HijackLoader 는 감지를 피하기 위해 설계된 모듈식 로더이며 maidenhair.cfg( SHA256: 931308cfe733376e19d6cd2401e27f8b2945cec0b9c696aebe7029ea76d45bf6)라는 구성 파일을 사용하여 최종 RemCos 페이로드를 실행함.

RemCos 페이로드는 C2( 명령 및 제어 ) 서버에 접속함. 213.5.130[.]58[:]433.

CrowdStrike는 또한 자사 브랜드를 사칭하는 타이포스쿼딩 도메인 여러 개를 식별하였음. 이 사건은 위협 행위자가 Falcon 콘텐츠 문제를 활용하여 악성 파일을 배포한 첫 번째 사례로 관찰됨.

링크: https://cybersecuritynews.com/threat-actor-exploits-crowdstrike-falcon-sensor-issues/

(5) Ioc

주요 IOC

링크:

https://cybersecuritynews.com/threat-actor-exploits-crowdstrike-falcon-sensor-issues/

(6) 추가 관련 위험성

CrowdStrike Intelligence는 해커들이 사용하는 여러 가지 공격 전술을 보고함.

1. 피싱 캠페인: 해커들은 CrowdStrike 지원 서비스인 것처럼 가장한 사기성 이메일을 보내 고객을 속여 민감한 정보를 공개하거나 무단 액세스를 허용하려고 함.
2. 사회 공학: 전화 통화 중에 CrowdStrike 직원을 사칭하는 해커가 있는 경우가 있었는데, 이는 피해자를 조종하여 보안을 손상시키려는 것일 가능성이 높음.
3. 허위 정보: 일부 공격자는 자신을 연구원이라고 소개하고 기술적 문제와 사이버 공격의 연관성을 보여주는 증거가 있다고 거짓 주장하며 모호한 수정 조언을 제공함.
4. 악성 소프트웨어 배포: 해커들은 콘텐츠 업데이트 문제로부터 자동으로 복구한다는 이름의 스크립트를 판매하려 하고 있지만, 이는 오히려 악성 코드를 도입하거나 새로운 취약점을 생성할 수 있음.

링크: https://cybersecuritynews.com/hackers-exploiting-crowdstrike/

(7) 대응 방안

< 방법: 안전 모드에서 문제 파일 삭제 >

1. 안전 모드로 부팅 → 복구 화면에서 '고급 복구 옵션 보기'를 클릭 → 고급 복구 옵션 메뉴에서 '문제 해결'을 선택 → '고급 옵션'을 선택 → '시작 설정'을 선택하고 '다시 시작'을 클릭 → 재부팅 후 4 또는 F4 키를 눌러 안전 모드에서 PC를 시작
2. 안전 모드에서 명령 프롬프트(관리자) 또는 Windows PowerShell(관리자) 실행
3. C:\Windows\System32\drivers\CrowdStrike 디렉터리로 이동
4. C-00000291*.sys 패턴과 일치하는 파일 검색 및 삭제

링크:

https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=1&categoryCode=&nttId=71500