상세 컨텐츠

본문 제목

CISA, Pulse Secure 기기에서 발견된 악성코드 분석 및 경고해

국내외 보안동향

by 알약4 2021. 7. 23. 09:26

본문

 

 

CISA analyzed stealthy malware found on compromised Pulse Secure devices

 

미국의 사이버 보안 및 인프라 보안국(CISA)이 해킹된 Pulse Secure 기기에서 발견된 악성코드 샘플 13개에 대한 보안 경고를 발표했으며, 이 중 대부분은 안티바이러스 제품에서 탐지되지 않았다고 밝혔습니다.

 

전문가들은 CISA에서 분석한 악성코드 샘플 중 하나만 VirusTotal에 업로드 되어 있었으며, 탐지율은 매우 낮은 상태라 전했습니다.

 

CISA에서는 각 악성코드에 대한 분석 보고서(MAR)를 발표했으며, 이 보고서에는 공격자가 사용한 기술, 전술, 절차(TTPs), 침해 지표(IOCs)도 포함되어 있습니다.

 

“CISA는 Pulse Secure 해킹 사고와 관련한 지속적인 대응 중 Pulse Secure 기기를 악용하는데 사용된 악성코드 샘플 13개를 분석했습니다. CISA는 사용자 및 관리자가 공격자가 사용한 기술, 전술, 절차(TTPs), 침해 지표(IOCs)를 확인하기 위해 아래 악성코드 분석 보고서(MAR) 13건을 확인할 것을 권장합니다.”

 

정부 전문가들은 공격자들이 20206월부터 Pulse Secure 기기를 공격하기 위해 CVE-2019-11510, CVE-2020-8260, CVE-2020-8243, CVE-2021-2289를 포함한 알려진 취약점 다수를 악용하려 시도하고 있다고 보고했습니다.

 

타깃 네트워크에 대한 액세스 권한을 얻으면, 공격자는 백도어 액세스 권한을 얻기 위해 웹셸을 배치했습니다.

 

CISA가 분석한 파일 중 일부는 들어오는 웹 요청 데이터를 확인하고 파싱하도록 설계된 웹셸을 심기 위해 파일을 수정하는 셸 스크립트였습니다.

 

해킹된 Pulse Connect Secure 기기에서 발견된 파일 중 일부는 합법적인 스크립트를 수정한 버전이었습니다.

 

또한 웹셸은 지속성을 얻고 기기에 원격으로 접근하는데 사용되었습니다.

 

CISA는 관리자에게 아래와 같은 조치를 취할 것을 권장했습니다.

 

- 안티바이러스의 서명 및 엔진을 최신 버전으로 유지하기

- 운영 체제의 패치를 최신 상태로 유지하기

- 파일 및 공유 서비스 비활성화 하기 (해당 서비스가 필요한 경우 강력한 암호나 Active Directory 인증 사용하기)

- 원치 않는 소프트웨어 애플리케이션을 설치하고 실행할 수 있는 사용자의 권한 제한하기 (꼭 필요한 경우가 아닐 경우 로컬 관리자 그룹에 사용자 추가하지 않기)

- 강력한 비밀번호 정책을 사용하고 정기적으로 암호를 변경하도록 구현하기

- 아는 사람이 보낸 이메일이라도 첨부파일을 열 때 주의하기

- 원치 않는 연결 요청을 거부할 수 있도록 구성된 기관의 워크스테이션에서 개인 방화벽 활성화하기

- 에이전시 워크스테이션 및 서버에서 불필요한 서비스 비활성화하기

- 의심스러운 이메일 첨부파일을 검색 및 제거하기 (스캔한 첨부파일의 확장자가 파일 헤더와 일치하는지 확인해 트루 파일 타입인지 확인하기)

- 사용자의 웹 브라우징 습관을 모니터링하고 바람직하지 않은 콘텐츠를 제공하는 사이트에 대한 접근 제한하기

- 이동식 미디어(USB 드라이브, 외장 드라이브, CD )를 사용할 때 주의하기

- 인터넷에서 다운로드한 모든 소프트웨어를 실행 전 스캔하기

- 최신 위협에 대한 상황을 항상 인식하고 적절한 액세스 제어 목록(ACL) 구현하기

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/120412/hacking/pulse-secure-cisa-malware.html

https://us-cert.cisa.gov/ncas/current-activity/2021/07/21/malware-targeting-pulse-secure-devices

관련글 더보기

댓글 영역