- CrowdStrike, 2024 Gartner® Magic Quadrant™의 엔드포인트 보호 플랫폼 부문에서 리더로 선정
맬웨어 및 지능형 공격 테스트
CrowdStrike Falcon® 평가판에는 맬웨어 샘플과 고급 공격 기술을 안전하게 테스트할 수 있는 가상 맬웨어 랩에 대한 액세스가 포함되어 있습니다. 이 단계는 평가를 위한 선택적 단계로, 차세대 바이러스 백신 솔루션인 CrowdStrike Falcon® Prevent가 환경을 보호하는 방법을 시연합니다.
경고: 이 테스트에는 실제 맬웨어가 포함되어 있습니다. 따라서 워크스테이션에서 테스트를 수행해서는 안 됩니다. 테스트는 조직의 내부 시스템과 격리된 전용 맬웨어 테스트 환경에서만 수행해야 합니다. 이 가이드의 단계는 CloudShare에서 호스팅하는 가상 맬웨어 랩 또는 사용자의 랩에서 테스트할 수 있도록 작성되었습니다.
예상 시간
수행하려는 테스트의 양에 따라 최소 20분 이상 소요됩니다.
1. 가상 랩에 액세스하기
이미 자체 맬웨어 랩을 설정한 경우 이 단계를 건너뛰고 2단계로 넘어갑니다.
- 아직 설정하지 않은 경우, Falcon 평가판 팀(FalconTrial@CrowdStrike.com)으로 연락하여 가상 맬웨어 랩에 대한 액세스를 요청합니다. 이 랩은 CloudShare에서 호스팅합니다.
- CloudShare에서 이메일 초대를 발송합니다. 링크를 클릭하고 안내에 따라 등록을 완료하세요.
- 탐색 모음에서 가상 맬웨어 랩 탭을 클릭하여 테스트 머신에 액세스합니다. 랩 업로드에는 몇 분 정도 걸릴 수 있습니다. 2단계로 이동합니다.
2. 랩 준비하기
맬웨어 샘플을 다운로드합니다.
샘플 다운로드를 두 번 클릭하여 모든 파일을 다운로드합니다. Falcon 센서를 설치하기 전에 샘플을 다운로드해야 합니다. 이전에 이 단계를 건너뛴 경우, 환경을 복구하면 기본 상태로 돌아갈 수 있습니다.
환경 복구 방법:
- 환경 작업 > 환경 복구를 선택합니다.
- 스크립트가 모든 샘플을 검색하여 데스크톱의 샘플 파일 폴더에 배치합니다.
- 계속하려면 스크립트 안에 아무 키나 입력합니다.
Falcon 센서 배포
샘플을 다운로드한 후 자체 랩 또는 제공된 가상 환경에서 테스트를 시작하기 전에 각 호스트에 센서를 배포하고 나서 센서가 성공적으로 설치되고 클라우드에 연결되었는지 확인해야 합니다.
단계별 지침:
- 평가판 계정에 로그인합니다.
- 운영 체제에 따라 Falcon 리소스 센터 > 필수 기술 > "내 엔드포인트 보호"를 선택합니다. 제공되는 센서 배포 프로세스 안내를 따릅니다.
- 센서 배포에 대한 자세한 도움말: https://www.crowdstrike.com/ko-kr/free-trial-guide/start-and-install/
활성 호스트 및 방지 정책 확인
- 새로 설치한 센서에는 방지 정책이 있어야 합니다.
- CrowdStrike Falcon 플랫폼에서 확인합니다. 호스트 설정 및 관리 > 호스트 관리로 이동합니다. 호스트 이름 CSFALCONPREVENT가 표시되는지 확인합니다. 방지 정책 열에 platform_default가 할당된 정책으로 표시되어야 합니다.
- Windows Security를 통해 확인합니다. 바이러스 및 위협 방지에서 CrowdStrike Falcon 센서를 찾습니다.
3. 비악성 테스트
- 비악성 샘플로 테스트하여 호스트에 기본 방지 정책에 따라 작동하는 센서가 있는지 확인합니다.
- 샘플 파일을 두 번 클릭하고 비악성을 선택한 다음 cs_maltest.exe를 실행합니다.
- 기본 Windows 방지 정책을 사용하면 여기에 제시된 메시지와 유사한 두 개의 메시지가 클라이언트 시스템에 표시될 수 있습니다.
이렇게 하면 Falcon 플랫폼에서도 탐지가 생성됩니다.
- 엔드포인트 보안 > 활동 대시보드로 이동합니다. 새로운 탐지 카드에 4개의 새로운 탐지(샘플 탐지 3개 포함)가 표시되어야 합니다. 가장 최근 탐지 카드에도 새로운 심각도 높은 탐지가 표시되어야 합니다.
- 이제 엔드포인트 보안 > 엔드포인트 탐지로 이동합니다. 호스트 CSFALCONPREVENT에 심각도 높은 탐지가 표시되어야 합니다.
- 테스트할 때마다 새로운 탐지가 생성됩니다.
- 기본 방지 정책이 활성화된 상태로 센서를 설치했으므로 라이브 샘플로 테스트할 준비가 완료되었습니다.
4. 맬웨어 테스트
센서를 설치한 후에는 실제 맬웨어로 테스트를 시작할 수 있습니다. 맬웨어는 컴퓨터, 네트워크 또는 서버와 같은 엔드포인트에 해를 끼치는 것을 목적으로 하는 소프트웨어입니다.
- 샘플 파일을 두 번 클릭하고 맬웨어를 선택하면 당사가 제공한 맬웨어 샘플을 확인할 수 있습니다.
- 이 샘플을 사용하여 Falcon 플랫폼에서 탐지를 생성하고 엔드포인트 탐지 페이지에서 생성된 탐지를 관리합니다.
- Windows 탐색기에서 맬웨어 샘플을 실행합니다.
- 맬웨어 샘플을 두 번 클릭합니다.
- 이제 Falcon 플랫폼에서 엔드포인트 보안 > 엔드포인트 탐지로 돌아가 전체 탐지 세부 정보 아이콘을 클릭합니다.
- explorer.exe가 상위 프로세스임을 확인합니다.
- 이를 통해 공격이 어떻게 실행되었는지 이해할 수 있습니다.
- 명령 프롬프트(cmd.exe)에서 샘플을 실행합니다.
- 명령 프롬프트를 엽니다.
- 샘플을 가져와 명령 프롬프트에 업로드합니다.
- 엔드포인트 탐지 페이지로 이동하여 탐지를 선택합니다. 이제 맬웨어의 상위 프로세스가 cmd.exe인 것을 확인합니다.
5. 랜섬웨어 테스트
최근 몇 년 동안 랜섬웨어는 가장 만연하며 문제가 되는 맬웨어 유형 중 하나로 부상했습니다.
이에 따라 CrowdStrike는 Locky 및 WannaCry와 같은 유명한 랜섬웨어 계열의 최근 샘플을 수집하여 랩에서 사용할 수 있도록 했습니다.
- 2017년 영국 국립보건원을 공격한 랜섬웨어인 WannaCry부터 시작하겠습니다.
- 샘플 파일을 두 번 클릭하고 랜섬웨어를 선택한 다음 WannaCry를 실행합니다. Windows 및 CrowdStrike Falcon 센서 알림이 모두 표시되어야 합니다.
- 랜섬웨어 샘플로 돌아가서 Locky를 실행합니다.
- Locky 탐지의 실행 세부 정보로 이동합니다. 시행된 조치, 사용된 전술 및 기법과 기타 유용한 정보를 확인할 수 있습니다.
6. PowerShell 테스트
악의적인 공격자가 PowerShell을 악의적으로 사용하여 시스템이 손상될 수 있습니다. Falcon이 공격 지표(IOA*)를 사용하여 악성 PowerShell 스크립트를 식별하고 차단하는 방법을 살펴보겠습니다.
- 데스크톱 > 샘플 파일 > IOAs-행동으로 이동합니다.
- Credential_Dumping.bat 배치 파일을 두 번 클릭합니다. 이 스크립트는 인코딩된 PowerShell 명령을 실행하여 자격 증명을 캡처합니다.
- 엔드포인트 탐지 페이지로 이동하여 새 탐지를 검사합니다.
- 실행 세부 정보 창에서 명령줄 세부 정보를 찾아 디코딩 완료 표시 토글이 켜져 있는지 확인합니다. 사용된 명령줄 인수 전체를 확인할 수 있습니다. 이 정도 수준의 세부 정보를 제공하는 바이러스 백신(AV) 솔루션은 당사가 유일합니다. 이 PowerShell 스크립트가 어떻게 Mimikatz를 다운로드했는지 확인할 수 있습니다.
*CrowdStrike Falcon®은 공격 지표(IOA)를 사용하여 공격자가 공격에 성공하는 동안 수행해야 하는 일련의 행동을 나타냅니다. IOA는 이러한 단계의 실행, 공격자의 의도, 공격자가 달성하려는 결과와 관련이 있습니다. 이를 통해 Falcon은 공격자가 사용하는 전술, 기술 및 절차를 기반으로 알려지지 않은 새로운 위협을 식별하고 차단할 수 있습니다.
7. 지속성 테스트
지속성이란 악의적인 행위자가 정보를 훔치려는 의도로 네트워크에서 탐지되지 않은 채 장기간 계속 존재하는 것을 의미합니다. Falcon이 IOA*를 사용하여 악의적인 공격자의 은신 시도를 식별하고 차단하는 방법을 살펴보겠습니다.
- 데스크톱 > 샘플 파일 > IOAs-행동으로 이동합니다.
- Sticky_Keys.bat 배치 파일을 두 번 클릭합니다.
- 파일은 명령 프롬프트 창에서 실행됩니다.
- 공격자가 사용자 이름이나 비밀번호를 제공하지 않고도 컴퓨터에 로그인할 수 있도록 레지스트리 키를 몰래 수정합니다.
- 가상 랩 키보드를 사용하여 "ctrl+alt+delete 보내기" 버튼을 선택하면 Windows 잠금 화면이 나타납니다.
- 왼쪽 하단의 액세스 용이성 옵션을 클릭하고, 표시되는 화면에서 액세스 용이성 옵션을 클릭합니다.
- 키보드 없이 입력(온스크린 키보드) 상자를 체크 표시한 다음 적용을 누릅니다.
Falcon을 사용하지 않았더라면 공격자에게 전체 시스템 액세스 권한(NT AUTHORITYSYSTEM)을 부여하는 명령 프롬프트가 표시되었을 것입니다. 이는 맬웨어를 사용하지 않는 공격자 행동의 예시로, 기존 AV 솔루션은 일반적으로 놓치는 경우가 많습니다. Falcon은 맬웨어가 사용되지 않았는데도 이 지속성 메커니즘을 중지했습니다.
- 활동 대시보드와 엔드포인트 탐지 페이지의 가장 최근 탐지 아래에서 새 중요 경보를 확인할 수 있습니다.
- Windows 잠금 화면을 종료하고 Falcon 플랫폼으로 다시 전환합니다.
- 엔드포인트 탐지 페이지에서 새 알림을 확장하면 reg.exe가 차단되었음을 알 수 있으며 전술 및 기법이 어떻게 지속되는지 확인할 수 있습니다. IOA 설명에서 레지스트리 키 조사를 권장하는 이유를 살펴보세요.
참고: 이 두 예제는 맬웨어를 사용하지 않았으며, 파일 없는 공격에 대한 예제로 제공되었습니다. Falcon은 의심스러운 동작을 식별하여 사용자를 보호함으로써 IOA의 강력한 기능을 입증했습니다. IOA는 전달 방식에 관계없이 공격 행위를 식별합니다.
8. 피싱 공격 테스트
피싱 공격은 악의적인 공격자가 개인이나 조직을 사칭하여 정보를 탈취하는 사기입니다.
- 이 시나리오에서는 악성 첨부 파일이 포함된 이메일을 열어 피싱 공격을 시뮬레이션해 보겠습니다.
- 가상 맬웨어 랩에서 Outlook을 열고 받은 편지함으로 이동합니다. 활성화 마법사 메시지는 취소해도 좋습니다. Richard가 보낸 이메일을 엽니다. 이 피싱 공격은 사용자에게 호텔 숙박 요금 미납이 있다고 주장합니다.
- Folio-0701-2017-00873.xls를 두 번 클릭합니다. 다운로드 열기, 저장 또는 취소 옵션이 표시됩니다. 이 예제에서는 다운로드한 파일을 엽니다.
- 첨부된 Excel 파일을 열면 Microsoft Visual Basic 오류 및 CrowdStrike Falcon 메시지가 나타납니다.
- 이는 Falcon이 문서가 백그라운드에서 악성 페이로드를 실행하는 것을 중지했음을 나타냅니다.
- 첨부 파일을 열면 Falcon 플랫폼에서 새 알림이 트리거됩니다.
- 엔드포인트 탐지 페이지에서 새 경보를 확장하면 이 위협이 Outlook.exe에서 발생했으며 Excel 첨부 파일이 PowerShell을 시작했음을 명확하게 알 수 있습니다.
- PowerShell이 수행한 작업에 대한 자세한 내용을 보려면 실행 세부 정보 > 명령줄로 이동하세요. PowerShell이 숨겨진 명령을 실행하고 Github에서 악성 스크립트를 다운로드하려고 시도한 것을 확인할 수 있습니다.
- 해시 정책 관리는 탐지에서 바로 수행할 수 있습니다.
- 즉, 악성 파일에 대한 탐지가 생성되면 선택한 알림의 오른쪽에 있는 실행 세부 정보 창을 사용하여 해당 파일을 즉시 블랙리스트에 추가할 수 있습니다.
- 선택한 해시에 대한 해시 정책 업데이트 버튼을 클릭하기만 하면 변경 사항을 적용할 수 있습니다. 사용자 지정 애플리케이션이 잘못된 경보을 유발하여 화이트리스트에 추가해야 하는 경우에도 같은 방법을 사용합니다.
9. 애플리케이션 관리 테스트
Falcon을 사용하면 조직의 고유한 요구 사항에 따라 애플리케이션을 수동으로 차단하거나 허용할 수 있습니다.
- 애플리케이션을 실행합니다.
- 데스크톱 > 샘플 파일 > 비악성으로 이동합니다.
- Show_a_Hash.exe 애플리케이션을 두 번 클릭하여 실행합니다. (이 애플리케이션은 명령 프롬프트에 자체 파일 해시를 표시하는 것 외에는 아무 작업도 수행하지 않습니다.)
- 해당 해시를 사용하여 파일을 블랙리스트에 추가하고 다시 실행되지 않도록 합니다.
- 명령 프롬프트 또는 아래에서 해시를 복사합니다.
4e106c973f28acfc4461caec3179319e784afa9cd939e3eda41ee7426e60989f
수동으로 IOC 추가
- 엔드포인트 보안 > IOC 관리로 이동합니다.
- 지표 추가 > 해시 추가를 클릭합니다.
수동으로 해시 추가
- 복사한 해시를 상자에 붙여넣기 합니다.
- 모든 호스트를 체크한 다음 플랫폼 > Windows, 작업 > 차단 블록 및 탐지로 표시, 심각도 > 심각을 선택합니다.
- 해시 추가를 클릭하여 완료합니다.
- 애플리케이션을 다시 실행합니다.
- 데스크톱으로 다시 이동한 다음(명령 프롬프트 창은 종료) Show_a_Hash.exe를 두 번 클릭하고 이번에는 실행되지 않는지 확인합니다.
- Falcon 플랫폼에서 엔드포인트 탐지로 이동하여 새 경보를 검사합니다.
- 해시 정책 관리는 탐지에서 바로 수행할 수 있습니다. 즉, 악성 파일에 대한 탐지가 생성되면 선택한 알림의 오른쪽에 있는 실행 세부 정보 창을 사용하여 해당 파일을 즉시 블랙리스트에 추가할 수 있습니다.
- 선택한 해시에 대한 해시 정책 업데이트 버튼을 클릭하기만 하면 변경 사항을 적용할 수 있습니다. 사용자 지정 애플리케이션이 잘못된 경보을 유발하여 화이트리스트에 추가해야 하는 경우에도 같은 방법을 사용합니다.
중요 내용: Falcon은 상용 맬웨어 공격부터 보다 복잡한 피싱에 이르기까지 모든 유형의 공격으로부터 사용자를 보호할 수 있다는 점을 확인했습니다. 또한 Falcon이 PowerShell과 같은 도구를 활용하는 표적 공격의 전형적인 전술을 차단하는 것도 확인했습니다.
빠른 속도, 간결성, 효과는 중요한 가치이지만, 솔루션이 경보 및 이벤트 분류를 쉽게 처리하는 방법을 제공하지 않는다면 또 다른 문제에 직면할 수밖에 없습니다.
도움이 되었나요?
도움이 되었나요?
여러분의 피드백은 매우 소중하며 여러분과 다른 가이드 사용자들에게 더 나은 서비스를 제공하는 데 도움이 됩니다. 평가판 가이드의 본 섹션에 대한 피드백을 falcontrial@crowdstrike.com으로 보내 주시면 감사하겠습니다.
