주요 콘텐츠로 건너뛰기
인텔리전스 다이제스트

(랜섬)현재 Microsoft 365 사용자는 어디에 취약한가요?

클라우드 환경이 랜섬웨어 공격에 안전하다고 누가 말했나요?

로드먼 라메자니안 - 엔터프라이즈 클라우드 보안 고문

2022년 8월 3일 7분 읽기

기업과 사용자들 사이에서 클라우드 환경은 랜섬웨어의 위협으로부터 안전하다는 믿음이 널리 퍼져 있습니다. 하지만 최근 Proofpoint 연구원들이 발견한 바에 따르면, 악의적인 공격자는 플랫폼의 기본 파일 '자동 저장' 기능 덕분에 제공되는 Microsoft 365 파일 버전 백업을 악용하여 랜섬웨어 공격을 일으킬 수 있습니다.

간단히 말해, 사이버 범죄자는 백업된 파일을 포함하여 알려진 모든 버전의 파일을 전용 백업이나 공격자의 암호 해독 키 없이는 복구할 수 없는 방식으로 암호화할 수 있습니다.

그림 1. SaaS 애플리케이션에서 발견된 멀웨어 수(MS 팀즈 포함)

안타깝게도 랜섬웨어가 Microsoft 365의 영역을 침범한 것은 이번이 처음이 아닙니다. 6년 전으로 거슬러 올라가면, Cerber 랜섬웨어 변종은 Microsoft 365를 겨냥하여 기본 Microsoft 365 보안을 우회하는 새로운 제로데이 공격으로 수백만 명의 사용자를 노출시켰습니다.

어떻게요? 악성 파일을 첨부한 피싱 이메일, 사용자를 속여 매크로 콘텐츠를 허용하도록 유도하는 방법, 타사 애플리케이션을 무기화하는 방법 등 오늘날에도 여전히 사용되고 있는 유사한 기법을 사용합니다.

클라우드 서비스는 단일 에코시스템에 방대한 수의 사용자가 모이기 때문에 사이버 범죄자의 주요 표적이 됩니다. 잘 설계된 랜섬웨어 공격이 Microsoft 365 서비스를 사용하는 많은 기업에 미칠 수 있는 피해를 상상해 보세요. 2020년 솔라윈즈와 Microsoft에 대한 첫 번째 공격에서 보았듯이, 경제적 영향은 매우 치명적일 수 있습니다.

이러한 침해는 어떻게 발생했을까요?

클라우드 서비스 및 애플리케이션은 그 어느 때보다 기업에게 미션 크리티컬한 요소입니다. 따라서 범죄자들이 피해자가 몸값을 지불할 의향이 훨씬 더 높다는 것을 알기 때문에 Microsoft 365와 같은 클라우드 플랫폼을 계속 노리는 것은 당연한 일입니다. 여기서 공격 벡터는 클라우드 백업을 위한 기본 Microsoft 365 기능을 악용하는 것입니다. 기본 제공 도구와 매개 변수를 사용하는 '기본 제공' 위협은 일반적으로 더 쉽게 악용될 수 있고 탐지 및 방지하기가 더 어렵기 때문에 완화하기가 더 어렵습니다.

무엇을 할 수 있나요?

모범 사례를 조합하면 이와 같은 공격의 영향을 크게 줄일 수 있으며, 특히 초기 공격 벡터가 여전히 Microsoft 365 계정 탈취를 통한 침해인 경우 더욱 그렇습니다.

단계 인증 및 다단계 인증(MFA) 강제 적용, 강력한 비밀번호 표준 적용, 엄격한 신원 액세스 제어 유지, 직원 인식 교육 프로그램에 대한 지속적인 투자와 같은 기본적인 조치를 간과해서는 안 됩니다.

그림 2: Skyhigh Security: 탐지된 행동의 이상 징후 카테고리

위에서 언급한 이유로 이러한 위험을 완전히 방지하는 것은 항상 어려운 일입니다. 따라서 버전 백업 제한 및 자동 저장 구성의 변조에 대한 경고 신호일 수 있는 비정상적인 관리 작업이나 데이터 액세스 요청 등 잠재적으로 위협이 될 수 있는 의심스러운 이상값 및 활동을 감지하도록 트리거 및 이상 매개변수를 설정하세요.

많은 타사 애플리케이션은 OAuth 토큰을 통해 SaaS 플랫폼(이 경우 Microsoft 365 등)에 연결합니다. 환경에 로그인하는 새 사용자와 달리 OAuth 토큰은 초기 부여 후 ID 공급자를 통해 인증할 필요가 없습니다. 앱이 OAuth를 통해 Microsoft 365 및 해당 데이터에 액세스하면 액세스가 해지될 때까지 해당 액세스 권한이 무기한 유지됩니다. 따라서 의심스러운 앱이 Microsoft 365 테넌트로 다시 액세스하는 경우 토큰 및 액세스를 해지해야 합니다.

조직은 항상 '유출을 가정'하는 사고방식을 채택하여 최악의 상황에 대비해야 합니다. 따라서 지금과 같은 시기에는 검증된 BC/DR 복구 절차 외에 오프라인 백업도 나쁘지 않습니다.

그림 3. Skyhigh Security: 연결된 앱의 액세스 권한 취소

 

Skyhigh Security?

로드먼 라메자니안

저자 소개

로드먼 라메자니안

엔터프라이즈 클라우드 보안 관리자

11년 이상의 광범위한 사이버 보안 업계 경력을 보유한 Rodman Ramezanian은 엔터프라이즈 클라우드 보안 고문으로 Skyhigh Security 에서 기술 자문, 지원, 솔루션 설계 및 아키텍처를 담당하고 있습니다. 이 역할에서 Rodman은 주로 호주 연방 정부, 국방 및 기업 조직에 중점을 두고 있습니다.

로드먼은 적대적 위협 인텔리전스, 사이버 범죄, 데이터 보호 및 클라우드 보안 분야를 전문으로 합니다. 그는 호주 신호 감독국(ASD)에서 승인한 IRAP 평가자이며 현재 CISSP, CCSP, CISA, CDPSE, Microsoft Azure 및 MITRE ATT&CK CTI 자격증을 보유하고 있습니다.

로드먼은 복잡한 문제를 간단한 용어로 표현하여 일반인 및 신규 보안 전문가가 사이버 보안의 대상, 이유, 방법을 이해할 수 있도록 돕는 데 강한 열정을 가지고 있습니다.

공격 하이라이트

  • 클라우드 랜섬웨어 공격의 첫 단계는 피싱 캠페인, 무차별 암호 대입 공격 및/또는 Microsoft OneDrive/SharePoint와 통합되는 OAuth 토큰을 이용하는 악성 타사 애플리케이션과 같은 일반적인 수법을 사용하는 경향이 있습니다.
  • Microsoft 365 계정이 침입하면 플랫폼 전체에서 사용자 파일을 검색할 수 있습니다.
  • 공격자는 이전 파일 버전의 클라우드 백업을 생성하는 기본 '자동 저장' 및 '버전 제어' 기능을 악용하기 시작합니다(사용자가 편집한 파일의 이전 사본을 복구하는 데 도움을 주기 위한 목적).
  • 문서 라이브러리 버전 제한 번호를 낮은 숫자로 줄이면 공격자는 해당 버전 제한보다 파일을 아주 약간만 편집한 다음 암호화하면 파일을 액세스할 수 없게 만들 수 있습니다.
  • 외부 백업이 없는 경우 피해자는 몸값을 지불해야 합니다.