크라우드스트라이크, ‘2023 위협 헌팅 보고서’ 발표

방어를 우회하기 위한 신원 기반 공격, 상호작용형 침입 급증

2023-08-29     길민권 기자

크라우드스트라이크가 오늘 ‘크라우드스트라이크 2023 위협 헌팅 보고서(CrowdStrike 2023 Threat Hunting Report)’를 발표했다고 밝혔다.

이 보고서는 크라우드스트라이크의 제6회 연례 보고서로, 작년 7월부터 6월까지 크라우드스트라이크 위협 사냥꾼과 정보 분석가들이 관찰한 공격 동향과 기술에 대해 다룬다.

특히 이번 보고서는 블랙햇 USA 2023에서 처음 등장한 크라우드스트라이크 공격 대응 작전 팀이 발표했으며, 신원 기반 공격의 대규모 증가, 클라우드 공격자의 전문성 증가, 원격 모니터링 및 관리(RMM) 도구 악용 급증, 최저치를 경신한 브레이크아웃 타임 등에 대한 내용을 담고 있다.

이번 보고서의 내용은 다음과 같다.

◇커버로스팅(Kerberoasting) 신원 공격 전년 대비 583% 급증

이 공격은 공격자가 마이크로소프트 액티브 디렉터리 서비스 계정에 접근하기 위해 악용되며, 더 많은 권한을 제공하거나 공격이 탐지되는 시간을 늦춘다. 키보드로 직접 자행하는 상호작용형 침입(interactive intrusion) 공격자의 62%가 증명된 계정을 남용했고, 클라우드 인스턴스 메타데이터 API를 통해 비밀번호와 기타 계정 정보를 수집하려는 시도는 160% 증가했다.

◇RMM 도구를 악용 전년 대비 312% 증가

미국 사이버인프라보안국(CISA)의 보고서에 따르면, 공격자들은 탐지를 회피하거나 기업의 시스템에 자연스럽게 섞여 들어가기 위해 점점 더 합법적이고 잘 알려진 원격 IT 관리 애플리케이션을 사용해 중요 데이터에 접근하거나 랜섬웨어를 퍼트리고 있다.

◇평균 ‘브레이크아웃 타임(breakout time)’ 감소

공격자가 초기 진입 이후 다른 호스트로 이동하기까지 걸리는 시간이 작년 84분에서 올해 79분으로 줄어 역대 최저치를 경신했다. 올해 일어난 가장 빠른 브레이크아웃 시간은 7분이다.

◇키보드로 직접 자행하는 상호작용형 침입 40% 증가

특히, 금융 산업에서는 해당 유형의 공격이 전년 대비 80% 증가한 것으로 나타났다.

◇범죄 또는 지하 커뮤니티에서의 브로커 광고 접근 147% 증가

접근 권한을 가진 계정 확보가 쉬워지면 사이버 범죄의 진입 장벽을 낮추고, 기존 공격자들이 더 효율적인 공격을 자행할 수 있다.

◇클라우드 환경 공격을 위한 리눅스 권한 상승 도구 린피스(linPEAS) 악용 사례 3배 증가

이 도구를 악용할 경우, 클라우드 환경 메타데이터, 네트워크 속성과 다양한 인증에 접근해 공격할 수 있다.

애덤 마이어스(Adam Meyers) 크라우드스트라이크 공격 대응 작전 총괄은 “지난 1년 간 215개가 넘는 공격자들을 추적한 결과, 클라우드와 소프트웨어의 취약점을 공략하기 위해 새로운 우회로를 통해 증명된 계정을 남용하는 등 점차 복잡해지는 위협을 목도하고 있다”며 “공격자들은 점점 빨라지고 있고, 전통적인 탐지 수단을 피하기 위한 전술을 사용하고 있다. 보안 담당자들은 단 7분간 이뤄지는 공격에 대응할 수 있는 해결책을 가지고 있는지 자문해야 한다”고 말했다.


◆하반기 최대 정보보호 컨퍼런스 PASCON 2023 개최-보안교육7시간 이수 가능

○ 주최: 데일리시큐

○ 후원: 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회, 한국화웨이

○ 참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업 정보보호 담당자, 개인정보보호 담당자, IT담당자 등 1,000여 명 참석

(※보안실무자가 아니면 참석금지)

○ 일시: 2023년 9월 5일 화요일(오전9시~오후5시30분)

○ 장소: 더케이호텔서울 2층 가야금홀 전관

○ 솔루션전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션

○ 참가기업 : △좋을 △블랑코코리아 △클라우드네트웍스 △굿모닝아이텍 △노르마 △오픈텍스트 △넥스원소프트 △모니터랩 △옥타코 △트렌드마이크로 △지란지교에스앤씨 △파수 △롤텍 △아이티윈 △이지시큐 △엠클라우독 △퓨쳐시스템 △씨디네트웍스 △센티널테크놀로지 △다크트레이스(Darktrace) △지란지교데이터 △에프원시큐리티 △에스에스알 △인스피언 △스콥정보통신 △한국전자인증 △디지서트 △엘세븐시큐리티 △트리니티소프트 △스냅태그 △KISIA

○ 보안교육인증: 공무원 및 기업 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간 수료증 발급

○ 참석문의: 데일리시큐 길민권 기자/ mkgil@dailysecu.com

사전등록: 클릭

○ 공공, 기업 보안책임자/실무자가 아니면 참석이 금지됩니다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★