피싱 및 자격 증명 손상과 관련된 침해는 위협 행위자가 표적 공격과 기회 공격을 실행하는 데 전술을 얼마나 자주 사용했는지 때문에 최근 몇 년 동안 많은 관심을 받았습니다. 하지만 그렇다고 해서 엔터프라이즈 조직이 취약성 패치에 대한 관심을 조금이라도 줄일 수 있다는 의미는 아닙니다.
이번 주 Kaspersky의 보고서에 따르면 지난해 악성 이메일 및 해킹된 계정과 관련된 위반보다 인터넷 연결 애플리케이션의 취약점 악용으로 인한 초기 침입이 더 많았습니다. 결합 된. 그리고 회사가 2022년 XNUMX분기까지 수집한 데이터는 올해에도 같은 추세가 나타날 수 있음을 시사합니다.
카스퍼스키의 2021년 분석 사고 대응 데이터에 따르면 취약성 악용과 관련된 위반이 31.5년 전체 사고의 2020%에서 53.6년 2021%로 급증했습니다. 같은 기간 동안 초기 액세스 권한을 얻기 위해 손상된 계정을 사용하는 것과 관련된 공격은 31.6년 2020%에서 17.9%로 감소했습니다. % 작년. 피싱 이메일로 인한 초기 침입은 같은 기간 동안 23.7%에서 14.3%로 감소했습니다.
익스체인지 서버 결함이 익스플로잇 열풍을 부채질하다
Kaspersky는 작년 익스플로잇 활동의 급증이 2021년 XNUMX월 ProxyLogon 결함 (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). 이를 함께 연결하면 공격자가 온프레미스 Exchange Server에 대한 완전한 원격 제어 권한을 얻을 수 있습니다.
조직화된 범죄 조직과 중국의 국가 지원 그룹을 포함한 공격자들은 Microsoft가 결함에 대한 패치를 발표하기 전에 수만 개의 취약한 Exchange Server 시스템을 신속하게 악용하고 웹 셸을 떨어뜨렸습니다. 취약점은 편재성과 심각성으로 인해 상당한 우려를 불러일으켰습니다. 그들은 심지어 미국 법무부가 FBI가 전례 없는 조치를 취할 수 있도록 승인하도록 촉구했습니다. ProxyLogon 웹 셸을 사전에 제거 수백 개의 조직에 속한 서버에서 — 대부분의 경우 알림 없이.
또한 2021년 익스플로잇 활동을 주도한 것은 Exchange Server 취약점의 또 다른 트리오였습니다. 집합적으로 ProxyShell이라는 레이블이 지정됨 (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523) 공격자가 랜섬웨어를 드롭하고 비즈니스 이메일 손상(BEC) 공격에 광범위하게 사용했습니다.
Kaspersky의 글로벌 긴급 대응 팀 책임자인 Konstantin Sapronov는 XNUMX년이 지난 후에도 ProxyLogon 및 ProxyShell 취약점이 계속해서 많은 익스플로잇 활동의 대상이 되고 있다고 말했습니다. 이러한 결함 중 가장 심각한 것 중 하나(CVE-2021-26855)도 가장 많이 표적이 되었습니다. Kaspersky는 ProxyLogon 세트의 일부인 취약점이 22.7년에 대응한 취약점 악용과 관련된 모든 사건의 2021%에서 악용되는 것을 관찰했으며 올해에도 공격자들 사이에서 이 결함이 계속해서 선호되고 있다고 Sapronov는 밝혔습니다.
2022년에도 동일한 착취 추세가 나타날 가능성이 있음
올해 몇 가지 심각한 취약점이 드러났지만 — 유비쿼터스 Apache Log4j 취약점 (CVE-2021-44228) — 2021년에 가장 많이 악용된 취약점은 2022년에도 Exchange 서버 버그를 넘어 매우 널리 퍼져 있다고 Sapronov는 말합니다. 예를 들어, Kaspersky는 Microsoft의 MSHTML 브라우저 엔진(지난 2021월 패치된 CVE-40444-XNUMX)의 결함을 가장 큰 결함으로 식별했습니다. 심하게 공격받은 취약점 2022년 XNUMX분기.
"MS Exchange Server 및 라이브러리 Log4j와 같은 널리 사용되는 소프트웨어의 취약점으로 인해 수많은 공격이 발생했습니다."라고 Sapronov는 지적합니다. "기업 고객에게 우리는 패치 관리 문제에 세심한 주의를 기울이라는 조언을 합니다."
패치 우선순위를 정할 시간
다른 이들은 취약점 익스플로잇 활동의 유사한 급증에 주목했습니다. 42월에 Palo Alto Networks의 Unit 31 위협 연구 팀 연구원들은 XNUMX% 또는 XNUMX건 중 거의 XNUMX건, 그들은 2022년 그 시점까지 관련 취약점 익스플로잇을 분석했습니다. 그 중 절반 이상(55%)에서 공격자는 ProxyShell을 표적으로 삼았습니다.
Palo Alto 연구원은 또한 공격자가 일반적으로 CVE가 발표된 지 몇 분 후에 방금 공개된 결함이 있는 시스템을 스캔하는 것을 발견했습니다. 한 예로 F5 네트워크 어플라이언스(CVE-2022-1388)의 인증 우회 결함이 취약점 공개 후 처음 2,552시간 동안 10회 표적이 된 것을 관찰했습니다.
악용 후 활동은 발견하기 어렵습니다.
Kaspersky의 사고 대응 데이터 분석에 따르면 거의 63%의 사례에서 공격자는 초기 진입 후 한 달 이상 네트워크에서 눈에 띄지 않았습니다. 대부분의 경우 이는 공격자가 PowerShell, Mimikatz 및 PsExec과 같은 합법적인 도구 및 프레임워크를 사용하여 데이터를 수집하고 권한을 에스컬레이션하고 명령을 실행했기 때문입니다.
누군가 침해를 재빨리 알아차렸다면 일반적으로 공격자가 랜섬웨어 공격과 같이 명백한 피해를 입혔기 때문입니다. Sapronov는 "데이터가 암호화되어 있고 서비스를 사용할 수 없으며 모니터에 랜섬웨어 메모가 있으면 랜섬웨어 공격을 쉽게 감지할 수 있습니다."라고 말합니다.
그러나 대상이 회사의 데이터인 경우 공격자는 필요한 정보를 수집하기 위해 피해자의 네트워크를 돌아다니는 데 더 많은 시간이 필요합니다. 이러한 경우 공격자는 더 은밀하고 조심스럽게 행동하므로 이러한 종류의 공격을 탐지하기가 더 어렵습니다. "이러한 사례를 탐지하기 위해 EDR(Extended Detection and Response)과 같은 원격 측정 기능을 갖춘 보안 도구 스택을 사용하고 공격자가 사용하는 만연한 도구를 탐지하기 위한 규칙을 구현하는 것이 좋습니다."라고 그는 말합니다.
Vulcan Cyber의 선임 기술 엔지니어인 Mike Parkin은 공격자가 네트워크를 뚫을 수 있는 모든 기회를 잡을 것이라는 사실이 기업 조직에 대한 실질적인 교훈이라고 말합니다.
“악용할 수 있는 다양한 취약점으로 인해 증가세를 보이는 것은 놀라운 일이 아닙니다.”라고 그는 말합니다. 사회적으로 조작된 자격 증명 공격에 비해 취약점의 수치가 더 높은지 여부는 말하기 어렵다고 그는 지적합니다.
“그러나 핵심은 위협 행위자가 작동하는 익스플로잇을 사용할 것이라는 것입니다. 일부 Windows 서비스에 새로운 원격 코드 익스플로잇이 있는 경우 패치가 출시되거나 방화벽 규칙이 배포되기 전에 가능한 한 많은 시스템을 위반하고 침입할 것입니다.”라고 그는 말합니다.
진짜 문제는 롱테일 취약점입니다. ProxyLogon과 같이 오래되고 취약한 시스템이 누락되거나 무시되는 취약점은 패칭이 우선되어야 한다고 Parkin은 덧붙였습니다.
