보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

미국 CISA, 애저와 MS 365 내 악성 행위 탐지 도구 무료로 배포

  |  입력 : 2020-12-30 13:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
솔라윈즈 사태 분석 이어진 결과 “범인들이 피해자의 클라우드에 접속하려 했다”
CISA, 때마침 일부 클라우드 내에서의 악성 행위 탐지하는 도구 배포하기 시작


[보안뉴스 문가용 기자] 미국 국토안보부 산하 사이버 보안 전담 기관인 CISA가 무료 툴을 공개했다. 이름은 스패로우(Sparrow.ps1)로, 애저(Azure)와 마이크로소프트 365 환경에서 사용자와 애플리케이션들을 위협할 수 있는 비정상 및 악성 행위들을 탐지하는 기능을 가지고 있다고 한다.

[이미지 = utoimage]


CISA는 US-CERT 웹사이트를 통해 이 툴을 배포한다는 소식을 알리며 “사건 대응 전담 팀을 위한 도구로서 개발했다”고 밝혔다. 또한 최근에 여러 산업들에서 고르게 발견되고 있는 아이덴티티 기반 혹은 인증 기반 공격을 탐지하는 데에 특화되어 있다고도 설명했다. 즉 정상 로그인 크리덴셜을 훔쳐 접속하는 공격 전략에 대한 방어 도구라는 것이다.

이 도구는 현재 깃허브(https://github.com/cisagov/Sparrow)를 통해 배포되고 있다. CISA는 스패로우에 대해 다음과 같이 간략하게 설명한다. “스패로우는 필요한 파워셸 모듈들을 분석 기계에 설치하고, 애저 및 MS 365의 통합 감사 로그를 확인해 특정 침해지표가 나타났는지 살피며 이를 통해 애저 AD 도메인들을 전부 목록화 합니다. 여기에 더해 애저 서비스와 마이크로소프트 그래프 API 권한을 같이 비교해 악성으로 판별될 수 있는 행위들을 식별해냅니다. 그 결과는 CSV 파일로 저장됩니다.”

스패로우를 설치하기 위해 필요한 파워셸 모듈들은 다음과 같다.
1) 클라우드커넥트(CloudConnect) :
https://www.powershellgallery.com/packages/CloudConnect/1.1.2
2) 애저AD(AzureAD) : https://www.powershellgallery.com/packages/AzureAD/2.0.2.128
3) MS온라인(MSOnline) : https://www.powershellgallery.com/packages/MSOnline/1.1.183.57

CISA는 애저와 MS 365 사용자들과 관리자들에게 스패로우의 활용을 적극 권장하고 있다. 이를 통해 보다 빠른 대응을 함으로써 피해를 최소화 할 수 있기 때문이라고 한다.

최근 미국에서는 일명 ‘솔라윈즈(SolarWinds) 사태’가 터져 공급망과 클라우드를 겨냥한 해킹 공격에 대한 관심이 높아진 상태다. 해킹 단체들이 솔라윈즈라는 회사의 네트워크 모니터링 솔루션의 업데이트 배포 인프라에 침투해 업데이트 파일을 감염시키고, 이 감염된 파일을 유포해 솔라윈즈의 고객들에 선버스트(SUNBURST)라는 백도어를 심은 사건이다. 미국 연방 기관들 다수와 MS를 포함한 거대 IT 기업들이 이 공격에 당했다.

이 사건을 계속해서 수사 중이었던 MS는 최근 “공격자들의 궁극적 목표는 클라우드 내 보관되어 있던 디지털 자산이었던 것으로 보인다”는 중간 결과를 발표했다. 그러면서 공격자들의 공격 진행 과정을 다음과 같이 설명했다.
1) 솔라윈즈의 업데이트 인프라 감염
2) 가짜 업데이트를 통해 선버스트 멀웨어 살포
3) 선버스트 멀웨어를 사용해 공격 표적 엄선
4) 공격 표적의 네트워크에 침투해 클라우드로 이동

이런 맥락에서 CISA가 클라우드 내 이상 행동 탐지 툴을 발표한 것은 시기적절하다고 볼 수 있다. 다만 다른 유명 클라우드 서비스인 AWS나 구글 클라우드(Google Cloud) 등에 대한 탐지 도구가 앞으로 더 나올 계획인 것인지, 현재 공개된 스패로우가 다른 클라우드 서비스와 어느 정도의 호환성을 가지고 있는지는 알 수 없다.

3줄 요약
1. 미국의 CISA, 애저와 MS 365 환경에서의 이상 행동 탐지하는 도구 무료로 배포.
2. 애저와 MS 365 사용자들에게 ‘강추’되고 있음. 깃허브에 호스팅 되어 있음.
3. 솔라윈즈 공격자들의 궁극적 목표가 클라우드였다는 분석이 나오는 상황.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북