Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

공격자의 눈높이 높이기: 마이크로 세분화로 카세야와 같은 공격으로부터 조직을 보호하는 방법

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
7월 12, 2021
23 분 읽기

IT 보안 벤더가 경계를 늦출 수 없는 이유 중 하나는 사이버 범죄 커뮤니티의 끊임없는 혁신입니다. 지식은 많은 조직을 놀라게 할 만큼 빠른 속도로 지하 포럼을 통해 널리 퍼져 나갑니다. 따라서 최근 카세야 랜섬웨어 공격에 악명 높은 솔라윈즈 캠페인에 사용된 기법 중 일부가 적용된 것을 보고 놀라지 않을 수 없었습니다.

그러나 마이크로세그멘테이션을 적재적소에 배포함으로써 조직은 초기 제로데이 악용 위험을 최소화하고 후속 명령 및 제어 통신을 차단하는 등 악의적인 공격자들의 삶을 훨씬 더 어렵게 만들 수 있었습니다.

카세야 공격에서는 어떤 일이 일어났나요?

Kaseya는 주로 관리형 서비스 제공업체(MSP)에 소프트웨어를 제공하여 중소기업을 위한 패치 및 원격 모니터링과 같은 필수 IT 작업을 간소화합니다. 이번 공격의 표적이 된 카세야 VSA 제품은 솔라윈즈 소프트웨어의 경우와 마찬가지로 네트워크와 컴퓨팅 장치를 원격으로 모니터링하고 관리하는 핵심 작업을 수행할 수 있는 높은 권한이 부여되어 있어 멀웨어를 널리 확산시키는 데 이상적인 선택이 될 수 있습니다.

공격의 배후에 있는 REvil 랜섬웨어 계열사가 얻을 수 있는 추가적인 이점은 카세야의 고객 특성입니다. MSP는 각각 공격자가 감염시키고 갈취할 수 있는 다수의 고객을 보유하고 있습니다. 이는 쉽게 돈을 벌고자 하는 사이버 범죄자들에게는 꽤 좋은 ROI입니다.

카세야는 공격에 대한 대응을 자세히 설명했습니다. 이 벤더는 미국의 휴가 주말 직전인 7월 2일에 침해에 대해 처음 통보를 받았습니다. 위협 행위자는 온프레미스 Kaseya VSA의 웹 인터페이스에서 제로데이 인증 우회 익스플로잇을 사용한 것으로 보입니다. 이를 통해 인증된 세션을 확보하고 페이로드를 업로드한 다음 SQL 인젝션을 통해 명령을 실행할 수 있었습니다.

MSP의 카세야 VSA 서버에 액세스할 수 있는 권한을 가진 이들은 '카세야 VSA 에이전트 핫픽스'라고 불리는 가짜 업데이트를 이들 조직의 고객에게 푸시할 수 있었는데, 실제로는 레블/소디노키비 랜섬웨어였습니다.

잠재적인 40,000개 고객사 중 60개 미만의 MSP가 영향을 받은 것으로 추정됩니다. 하지만 그 여파는 학교부터 슈퍼마켓까지 전 세계 약 1,500개 조직이 랜섬웨어에 감염되는 등 MSP의 다운스트림 고객들이 랜섬웨어에 감염되는 결과를 낳았습니다.

악용된 제로데이 취약점에 대한 패치가 배포되었지만, 이미 피해를 입은 기업에게는 너무 늦었습니다.

마이크로 세분화가 도움이 되는 방법: 인바운드 트래픽

MSP는 Kaseya VSA 웹 인터페이스에 대한 관리 액세스를 제한하여 초기 유출을 완화할 수 있었습니다. 이렇게 하면 소규모 바스티온 호스트의 특정 인증된 사용자만 관리 포트에서 Kaseya 소프트웨어에 액세스할 수 있습니다.

사실상 마이크로 세분화를 사용하여 공격 표면을 줄임으로써 사이버 범죄자들이 제로데이 익스플로잇을 배포하는 데 훨씬 더 많은 노력을 기울여야 하는 추가적인 장벽을 두는 것입니다. 여기에 권한이 제한된 사용자를 위한 멀티팩터 인증을 결합하면 사이버 범죄자가 네트워크에 침입하는 것이 기하급수적으로 어려워집니다.

잠기지 않은 문을 찾기 위해 네트워크를 탐색하는 데 더 많은 시간을 소비하고 더 많은 '소음'을 내도록 함으로써 위협 탐지 및 대응 도구가 어둠 속에서 몰래 돌아다닐 때 이를 '감지'할 수 있도록 도와줍니다.

마이크로 세분화가 도움이 되는 방법: 아웃바운드 트래픽

마이크로 세분화가 도움이 되는 두 번째 방법은 감염된 엔드포인트에서 인터넷으로의 아웃바운드 통신입니다.

사이버 범죄자는 일반적으로 명령 및 제어(C&C) 서버와 통신하여 지침을 제공하고 악성 페이로드를 다운로드해야 합니다. 정책을 통해 Kaseya 인프라의 아웃바운드 연결을 잘 알려져 있고 사전 승인된 IP 주소로만 제한하면 공격자의 추적을 차단할 수 있습니다. 범죄자가 자신의 서버와 통신할 수 없으면 공격의 다음 단계로 진행할 수 없습니다.

제로 트러스트는 세분화에서 시작됩니다

카세야 및 솔라윈즈와 같은 랜섬웨어 공격으로부터 조직을 보호하려면 조직은 전체 IT 인프라에 걸쳐 강력하고 포괄적인 제로 트러스트 정책과 관행을 개발해야 합니다. 제로 트러스트는 보안 침해가 발생하고 범죄자가 네트워크 어딘가에서 잠기지 않은 문을 발견할 수 있기 때문에 세분화에서 시작됩니다. 핵심은 그들이 더 이상 나아가지 못하도록 하는 것입니다.

보안에는 만병통치약이 없습니다. 하지만 이와 같은 마이크로 세분화를 적용하면 공격자의 삶을 훨씬 더 어렵게 만들어 최소한 탐지 가능성을 높이고, 이상적으로는 공격자가 포기하고 다른 곳으로 이동하도록 만들 수 있습니다.

관련 주제

No items found.

관련 문서

랜섬웨어 차단: 일루미오로 위협 파악하기
Ransomware Containment

랜섬웨어 차단: 일루미오로 위협 파악하기

랜섬웨어를 차단하기 위해 실시간 애플리케이션 및 트래픽 가시성이 필수적인 이유와 제로 트러스트 세분화가 이를 안전하게 제공하는 방법을 살펴보세요.

Read more
랜섬웨어 차단을 위한 취약성 평가
Ransomware Containment

랜섬웨어 차단을 위한 취약성 평가

위험 기반 취약성 점수 및 마이크로 세분화를 사용하여 패치의 우선 순위를 지정하고 랜섬웨어가 확산되기 전에 위험한 포트를 차단하는 방법을 알아보세요.

Read more
일루미오로 LockBit 랜섬웨어 공격을 차단하는 방법
Ransomware Containment

일루미오로 LockBit 랜섬웨어 공격을 차단하는 방법

록빗 랜섬웨어의 작동 방식과 2022년 여름, 일루미오 제로 트러스트 세분화가 록빗 랜섬웨어 공격을 차단한 방법을 알아보세요.

Read more
No items found.

위반 가정.
영향 최소화.
복원력 향상.

제로 트러스트 세분화에 대해 자세히 알아볼 준비가 되셨나요?

Learn more