현대 기술은 우리에게 많은 것을 제공합니다.

내부자 공격의 50% 이상에 사용되는 권한 승격 공격


권한 상승 결함은 악의적인 목적으로 또는 위험한 도구를 위험한 방식으로 다운로드하여 네트워크에서 승인되지 않은 활동을 수행할 때 기업 내부자가 사용하는 가장 일반적인 취약점입니다.

2021년 XNUMX월부터 XNUMX월까지 수집된 데이터를 기반으로 한 크라우드스트라이크 보고서 내부자 위협이 증가하고 있으며 권한 상승 결함의 사용이 무단 활동의 중요한 요소임을 보여줍니다.

보고서에 따르면, 회사에서 기록된 내부자 위협의 55%는 권한 상승 익스플로잇을 기반으로 하며, 나머지 45%는 공격적인 도구를 다운로드하거나 오용하여 실수로 위험을 초래합니다.

사기꾼은 일반적으로 재정적 인센티브를 받았기 때문에, 악의로 인해 또는 상사와의 차이로 인해 고용주에게 등을 돌립니다.

CrowdStrike는 익스플로잇을 사용하여 소프트웨어를 설치하거나 보안 테스트를 실행하는 등 회사에 대한 악의적인 공격이 아닌 경우에도 사건을 내부자 위협으로 분류합니다.

그러나 이러한 경우 회사를 공격하는 데 사용되지는 않지만 일반적으로 위험한 방식으로 사용되어 잠재적으로 위협 행위자가 악용할 수 있는 위협이나 악성 코드를 네트워크에 도입할 수 있습니다.

Crowdstrike는 표적 조직 내에서 시작된 공격의 비용이 악의적인 경우 평균 648.000달러, 비악의적인 경우 485.000달러라는 사실을 발견했습니다. 2023년에는 이 수치가 훨씬 더 높아질 수도 있습니다.

내부자 위협으로 인해 막대한 금전적 비용이 발생할 뿐만 아니라, 대규모 파업 브랜드 및 평판 손상의 간접적인 영향을 강조합니다.

전형적인 내부자 공격

Crowdstrike는 관리 권한을 얻기 위해 권한 상승 취약점을 사용하는 것이 많은 내부자 공격에 매우 중요하다고 설명합니다. 대부분의 경우 사기꾼은 네트워크 환경에 대한 낮은 수준의 액세스부터 시작하기 때문입니다.

권한이 높을수록 공격자는 무단 소프트웨어 다운로드 및 설치, 로그 파일 삭제, 심지어는 관리 권한이 필요한 도구를 사용하여 컴퓨터의 문제 진단과 같은 작업을 수행할 수 있습니다.

CrowdStrike의 관찰에 따르면 부도덕한 내부자가 지역 권한을 확대하기 위해 가장 많이 악용하는 결함은 다음과 같습니다.

  • CVE-2017-0213: Windows 결함으로 인해 COM 인프라를 활용하여 권한 상승이 허용됩니다.
  • CVE-2022-0847 (더티파이프): Linux 커널 파이프 작업 관리자.
  • CVE-2021-4034(폰킷): Polkit 시스템 서비스에 영향을 미치는 Linux 버그입니다.
  • CVE-2019-13272: 커널 프로세스에서 사용자 권한의 부적절한 처리와 관련된 Linux 취약점입니다.
  • CVE-2015-1701: 무단 코드 실행을 위한 커널 모드 드라이버 'win32k.sys'와 관련된 Windows 버그입니다.
  • CVE-2014-4113: 'win32k.sys'도 대상으로 하지만 다른 공격 방법이 포함되어 있습니다.

위의 결함은 역사적으로 위협 행위자의 공격에 사용되었기 때문에 CISA의 알려진 악용 가능한 취약점(KEV) 목록에 이미 나열되어 있습니다.

시스템에 이러한 결함이 패치되더라도 사용자는 상승된 권한으로 실행되는 애플리케이션의 DLL 하이재킹 결함, 안전하지 않은 파일 시스템 권한 또는 서비스 구성, BYOVD(Bring Your Own Vulnerable Driver) 공격과 같은 다른 수단을 통해 상승된 권한을 얻을 수 있습니다.

내부자 공격 다이어그램
내부자 공격 다이어그램
출처: 크라우드스트라이크

Crowdstrike는 유럽의 소매 회사에 영향을 미치는 CVE-2017-0213의 여러 악용 사례를 확인했습니다. 직원은 WhatsApp을 통해 uTorrent를 설치하고 게임을 하기 위해 익스플로잇을 다운로드했습니다. 또 다른 사건은 미국의 한 언론사 직원이 해고된 사건이다.

호주 회사의 직원이 PwnKit 익스플로잇을 발견했습니다. ολογίας που προσπάθησε να αποκτήσει δικαιώματα διαχείρισης για σκοπούς αντιμετώπισης προβλημάτων υπολογιστή.

CVE-2015-1701 익스플로잇의 예로는 미국 기술 회사의 직원이 기존 제어 장치를 우회하여 승인되지 않은 Java 가상 머신을 설치하려고 시도한 경우가 있습니다.

이러한 내부자 위협 사건의 대부분은 악의적인 공격으로 간주되지 않지만 장치 작동 방식을 수정하거나 네트워크에서 잠재적으로 악의적이거나 안전하지 않은 프로그램을 실행함으로써 위험을 초래합니다.

내부 정보 오류로 인해 위험이 발생함

Crowdstrike가 기록한 기밀 사건 중 거의 절반은 통제를 벗어나는 익스플로잇 테스트, 적절한 보호 장치 없이 공격적인 보안 도구 실행, 테스트되지 않은 코드 다운로드 등 의도하지 않은 사고와 관련이 있습니다.

예를 들어, CrowdStrike는 네트워크의 나머지 부분과 분리된 가상 머신을 통하지 않고 프로덕션 워크스테이션에서 직접 익스플로잇 및 익스플로잇 킷을 테스트하는 보안 전문가로 인해 일부 사고가 발생했다고 밝혔습니다.

분석가들은 이러한 유형의 사례 대부분이 Metasploit Framework 및 ElevateKit과 같은 도구와 관련되어 있으며, 부주의한 활동으로 인해 가장 일반적으로 발생하는 취약점은 다음과 같다고 보고합니다.

  • CVE-2021-42013: Apache HTTP Server 2.4.49 및 2.4.50의 경로 탐색 취약점.
  • CVE-2021-4034 (폰킷): Polkit 시스템 서비스의 범위를 벗어난 취약점입니다.
  • CVE-2020-0601: Windows CryptoAPI의 스푸핑 취약점.
  • CVE-2016-3309: Windows 커널의 권한 에스컬레이션 문제입니다.
  • CVE-2022-21999: Windows 인쇄 스풀러의 권한 승격 취약성.

이러한 결함을 기업 네트워크에 도입하면 이미 네트워크에 기반을 두고 있는 위협 행위자에게 악용할 수 있는 추가 수단을 제공함으로써 전반적인 보안 위험이 증가할 수 있습니다.

그러나 더 중요한 것은 위협 행위자가 가짜 개념 증명 익스플로잇이나 악성 코드를 설치하는 보안 도구를 만드는 것이 드문 일이 아니라는 것입니다. .

예를 들어, XNUMX월에 위협 행위자는 Cobalt Strike 백도어로 장치를 감염시키는 가짜 Windows 증명 익스플로잇을 배포했습니다.

또 다른 공격에서 Rapid7은 위협 행위자가 Windows 및 Linux 악성 코드를 설치하는 제로 익스플로잇을 위해 가짜 PoC를 배포했다는 사실을 발견했습니다.

두 시나리오 모두 워크스테이션에 가짜 익스플로잇을 설치하면 기업 네트워크에 대한 초기 액세스가 허용되어 사이버 스파이 활동, 데이터 도난 또는 랜섬웨어 공격으로 이어질 수 있습니다.



VIA : bleepingcomputer.com

Google 뉴스에서 TechWar.gr을 팔로우하세요.

답변