평균 사이버 범죄 발생 시간
79
자료 제목 :
크라우드스트라이크 2023년 위협 헌팅 보고서
CrowdStrike 2023 Threat Hunting Report
자료 출처 :
CrowdStrike
원본자료 다운로드
발행 날짜 :
2023년 08월 08일
보안

“유출된 ID 관련 보안 위협 급격히 증가” 크라우드스트라이크 보고서

Jon Gold | CSO 2023.08.09
크라우드스트라이크(CrowdStrike)의 최근 보고서에 따르면, 현재 가장 큰 사이버보안 위협은 특정 시스템에 대한 합법적인 액세스 권한을 보유하고 있는 공격자다. 
 
ⓒ Getty Images Bank

보고서에 따르면, 목표물에 액세스하기 위해 손상된 신원 정보를 사용하는 '대화형 침입(interactive intrusion)'이 최근 많이 발생하고 있다. 크라우드스트라이크는 대화형 침입을 '공격자가 피해자의 시스템에서 불법적인 목적을 달성하기 위해 적극적으로 활동하는 행위'로 정의한다. 지난 한해동안 정부 지원을 받는 해킹 집단뿐 아니라 조직적인 해킹 집단은 향상된 피싱 기법과 소셜 엔지니어링 트레이드크래프트를 통해 공격 수위를 높였다.

크라우드스트라이크의 인텔리전스 책임자 아담 마이어스는 "크라우드스크라이크가 목격한 가장 큰 추세는 모든 것이 ID 정보로 이동하고 있다는 점이다. 공격의 80%가 ID 및 인증정보 유출과 관련 있었다"라고 말했다.

이런 인증정보는 이메일 피싱과 소셜 엔지니어링을 사용하는 전통적인 방식으로 유출될 수도 있고 다크웹에서 구매할 수도 있다. 사이버 범죄자는 목표 시스템에 일단 접근한 이후에는 다양한 기술을 사용해 목적을 달성한다. 

보고서 집필팀은 원격 모니터링 및 관리 소프트웨어의 사용 역시 급격히 증가하고 있다고 말했다. 하지만 마이어스는 “위협 행위자는 자신의 운영 방식을 방해하는 보안 도구가 있다는 사실을 알고 있으므로 걸리지 않는 기술을 사용하려고 한다”라고 말했다. 손상된 로그인 ID는 탐지하기 어렵기 때문에 일반적으로 비정상적인 계정의 동작에 대한 모니터링을 통해 발견해야 한다. 

또한 마이어스는 "많은 기업이 마이크로소프트에 올인했다. 마이크로소프트는 좋은 OS와 생산성 제품군을 보유하고 있지만 보안이 취약했던 역사가 있다"라며, '마이크로소프트 단일 문화'에서 벗어나는 것이 현재의 ID 기반 공격 흐름을 막는 데 긍정적인 역할을 할 것이라고 조언했다.


커버로스팅 공격 증가

특히 윈도우 시스템에 대한 커버로스팅(Kerberoasting) 공격이 증가하고 있다. 커버로스팅격은 액티브 디렉토리 내의 서비스 계정에 대한 '오프라인' 무차별 대입 공격으로, 크라우드스트라이크는 이런 공격이 최근에 특히 성공적이었다고 말했다. 윈도우는 커버로스를 키 인증 방법으로 사용한다. 

또한 보고서 집필팀은 서비스 제공업체와 구성에 따라 메타데이터, 네트워크 속성, 심지어 보안 자격 증명을 포함해 클라우드 환경에 대한 정보 열거에 사용할 수 있는 린피스(LinPEAS)와 같은 권한 상승 도구의 사용으로 인해 클라우드 기반 위협 역시 커지고 있다고 경고했다. 

크라우드스트라이크는 모든 클라우드 워크로드 인스턴스에 온프레미스 보안 기술을 적용하고 해당 인스턴스에서 화이트리스트 주소로 아웃바운드 연결을 제한할 것을 권장했다.
editor@itworld.co.kr
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.